instituto politÉcnico nacional fierro… · actividad 3.2 presentar el análisis costo/beneficio...

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA

UNIDAD PROFESIONAL “ADOLFO LÓPEZ MATEOS” SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS

MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS

“METODOLOGÍA PARA LA CREACIÓN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIÓN ANTE DESASTRES EN LOS

SISTEMAS DE TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA

MANUFACTURA”

DIRECTOR DE TESIS:

M. en C. LEOPOLDO ALBERTO GALINDO SORIA

DICIEMBRE 2010

T E S I S

Q U E P A R A O B T E N E R E L G R A D O D E

MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS

P R E S E N T A:

ING. ISRAEL FRANCISCO MONTOYA FIERROS

METODOLOGÍA PARA CREACIÓN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIÓN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA.

Agradecimientos A Dios: Por el apoyo en tiempo y recursos. A mi Esposa e Hijo: Por el apoyo moral. A la Empresa: Por el apoyo económico. Al M. en C. Leopoldo Galindo: Por el apoyo intelectual. Ing. Israel Francisco Montoya Fierros

Diciembre 2010

Resumen

Metodología para la creación de un plan para la continuidad y recuperación ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

METODOLOGÍA PARA LA CREACIÓN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIÓN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGÍAS DE LA

INFORMACIÓN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA.

RESUMEN El presente documento resume el trabajo realizado y logros obtenidos en materia de Continuidad y Recuperación ante Desastres; esta visión de continuidad operacional se refleja en el diseño de procesos, la elección e implementación de recursos de infraestructura, elementos tecnológicos y de servicios, con énfasis en la redundancia y la tolerancia a fallas, así como en la selección, entrenamiento y evaluación del personal. Una amenaza nunca va a desaparecer, siempre estará presente en todos los procesos de una organización. Por lo anterior, buscando un mejoramiento permanente en los estándares de respuesta y continuidad, se ha esforzado en perfeccionar y formalizar un método que proporcione una secuencia definida de pasos para elaborar de manera sistemática un plan para la continuidad y recuperación ante desastres en los Sistemas de Tecnologías de la Información y Comunicaciones aplicado a la Industria de la Manufactura, tomando como base los Marcos de Referencia de las Normas BS 25999, ISO/IEC 24762 y la metodología DRII sobre Continuidad del Negocio, logrando la siguiente metodología: Fase 1: Conocer y planificar el medio ambiente organizacional; Fase 2: Analizar, evaluar y diagnosticar riesgos y su impacto al negocio; Fase 3 Desarrollar el plan de continuidad y estrategias de recuperación ante desastres; Fase 4: Capacitar, probar y ejercitar; Fase 5: Auditoría, mantenimiento y actualización. La metodología objeto de estudio de éste trabajo es el artefacto inicial con el que toda empresa debería contar sin importar las iniciativas de negocio que tenga previsto lanzar (arquitecturas empresariales, rediseño de procesos, arquitectura orientada a servicios, automatización y mejora de procesos de negocio), permite que la organización esté preparada ante una interrupción de su negocio, por medio de la definición y documentación de procedimientos y estrategias de recuperación.

Resumen

Metodología para la creación de un plan para la continuidad y recuperación ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

METHODOLOGY FOR THE CREATION OF A PLAN FOR THE CONTINUITY AND RECOVERY BEFORE DISASTERS IN THE TECHNOLOGY SYSTEMS OF THE

INFORMATION AND TELECOMMUNICATIONS IN INDUSTRY OF THE MANUFACTURE.

ABSTRACT

The present document summarizes the accomplished work and achievements obtained in Continuity and Recovery matter before Disasters, this operational continuity vision is reflected in the processes design, the election and implementation of infrastructure resources, technological elements and of services, with emphasis in the redundancy and the tolerance to defects, as well as in the selection, training and evaluation of the personal.

A threat never is going to disappear, always will be present in all the processes of an organization. For the foregoing, seeking a permanent improvement in response and continuity standards, it has been strengthened in perfecting and formalizing a method that provide a defined steps sequence to elaborate of systematical way a plan for the continuity and recovery before disasters in the Technology Systems of the Information and Communications applied to Industry of the Manufacture, taking as base the Reference Framework of the norms BS 25999, ISO/IEC 24762 and the methodology DRII on continuity of the business, achieving the following methodology: Phase 1: Knowledge of the environment of the organization and Planning of the project; Phase 2: Analysis and risks evaluation and your impact to the business; Phase 3: Development of continuity plan and strategies; Phase 4: Training, test and exercise; Phase 5: Audit, maintenance and update. The methodology object of study of this work is the initial appliance with all the one which company would have to count without importing the business initiatives that has anticipated to launch ( entrepreneurial architectures, I redesign of processes, architecture guided to services, automation and improvement of business processes), permits that the organization be prepared before an interruption of their business, by means of the definition and procedures and strategies documentation of recovery.

Índice

Metodología para la creación de un plan para la continuidad y recuperación i ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

ÍNDICE Índice de Tablas y Figuras iv Glosario de Términos viii

Introducción

0.1 Presentación del Proyecto de Tesis. xii 0.2 Marco metodológico para el desarrollo del Proyecto de Tesis. xiii 0.3 Presentación del Documento del Proyecto de Tesis. xiv

Capítulo 1.- Marco Conceptual y Contextual.

1.1 Marco Conceptual. 1 1.1.1 Elaboración de la Pirámide Conceptual. 1 1.1.2 Descripción de los términos de la Pirámide Conceptual. 2 1.2 Marco Contextual. 6 1.2.1 Descripción del Medio Ambiente Temporal. 6 1.2.1.1 Evolución de las TIC en la Industria de la Manufactura. 6 1.2.1.2 Evolución de los conceptos de Continuidad de Negocio. 7 1.2.2 Descripción del Medio Ambiente Físico. 8 1.2.2.1 El imperativo: asegurar la continuidad de negocio. 9 1.2.2.2 Estrategias y planes para la continuidad de negocio. 9

Capítulo 2.- Análisis, Evaluación y Diagnóstico de la Situación Actual.

2.1 Introducción. 13 2.2 Estándares y mejores prácticas para la Planeación de la Continuidad del Negocio y

Recuperación ante Desastres de TI 14

2.3 Justificación del Proyecto de Tesis. 22 2.4 Definición de los Objetivos del Proyecto de Tesis. 22 2.4.1 Objetivo General. 22 2.4.2 Objetivos Particulares. 23

Capítulo 3.- Metodología Propuesta.

3.1 Introducción. 24 3.2 Metodología propuesta. 25 Marco metodológico integral para el desarrollo de la metodología propuesta 28 Fase 1 Conocer y planificar el medio ambiente organizacional. 31 Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. 35 Fase 3 Desarrollar el plan de continuidad y estrategias de recuperación ante

desastres. 42

Fase 4 Capacitar, probar y ejercitar. 48 Fase 5 Auditoría, mantenimiento y actualización. 51

Índice

Metodología para la creación de un plan para la continuidad y recuperación ii ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

Capítulo 4.- Aplicación de la Metodología. Caso de Estudio: Empresa de Manufactura de Empaques de Cartón.

4.1 Introducción. 55 4.2 Desarrollo de la metodología propuesta. 56 Fase 1 Conocer y planificar el medio ambiente organizacional. 56 Actividad 1.1 Conocer el medio ambiente general. 56 Actividad 1.2 Identificar la estructura organizacional de la empresa. 58 Actividad 1.3 Definir la Arquitectura de Macroprocesos. 60 Actividad 1.4 Definir equipos de planificación y sus responsabilidades. 62 Actividad 1.5 Definición de objetivos, alcance y escenarios del

problema. 65

Actividad 1.6 Concientización y aprobación por parte de los directivos. 66 Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. 67 Actividad 2.1 Identificación de las funciones, servicios y recursos

críticos del área. 67

Actividad 2.2 Análisis, Evaluación y Diagnóstico de riesgos. 71 Actividad 2.3 Control de riesgos. 74 Actividad 2.4 Análisis de Impacto al Negocio. 76 Actividad 2.5 Evaluación y Diagnóstico del Análisis de Impacto del

Negocio. 84

Fase 3 Desarrollar el plan de continuidad y estrategias de recuperación ante

desastres. 85

Actividad 3.1 Diseñar las estrategias de continuidad de la organización. 85 Actividad 3.2 Presentar el análisis costo/beneficio de las estrategias de

continuidad. 92

Actividad 3.3 Negociación y firma de contratos con los proveedores de servicios.

97

Actividad 3.4 Adquisición de la infraestructura de TIC’s. 98 Actividad 3.5 Preparación del sitio alterno. 101 Actividad 3.6 Definir los procedimientos de recuperación. 104 Fase 4 Capacitar, probar y ejercitar 112 Actividad 4.1 Definir objetivos de entrenamiento. 112 Actividad 4.2 Desarrollar e implementar varios tipos de programas de

entrenamiento. 113

Actividad 4.3 Identificar otras oportunidades de educación. 114 Actividad 4.4 Descripción de las pruebas. 115 Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. 116 Actividad 4.6 Ejercitación de las pruebas. 117

Índice

Metodología para la creación de un plan para la continuidad y recuperación iii ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

Fase 5 Auditoría, Mantenimiento y Actualización. 119 Actividad 5.1 Auditoria al Plan de Continuidad. 119 Actividad 5.2 Mantenimiento al Plan de Continuidad. 131 Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. 132 Actividad 5.4 Mecanismo de actualización del Plan de Continuidad. 133 Actividad 5.5 Mecanismo de distribución del Plan de Continuidad. 134

Capítulo 5.- Resultados Obtenidos, Valoración de Objetivos, Trabajos Futuros y Conclusiones del Proyecto de Tesis.

5.1 Valoración de los resultados obtenidos. 135 5.2 Valoración de Objetivos. 136 5.1.1 Valoración del Objetivo General 136 5.1.2 Valoración de los Objetivos Particulares 136 5.3 Trabajos Futuros. 138 5.4 Conclusiones del Proyecto de Tesis. 139

Bibliografía.

142

Referencias a Internet.

144

Anexos. Anexo A.

A.1

Anexo B. B.1

Índice

Metodología para la creación de un plan para la continuidad y recuperación iv ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

ÍNDICE DE TABLAS Y FIGURAS

Introducción

Cuadro 0.1 Marco metodológico integral para el desarrollo del proyecto de tesis. ix Figura 0.1 Estructura del documento del proyecto de tesis. X

Capítulo 1.- Marco Contextual y Conceptual.

Figura 1.1 Pirámide Conceptual adaptada de [Galindo, 2005]. 1 Figura 1.2 Evolución de los Conceptos de Continuidad. 8 Cuadro 1.1 Criterios de la seguridad de la información. 11 Figura 1.3 Modelo cíclico dinámico de un Plan de Continuidad en un Modelo de

Negocio. 11

Capítulo 2.- Análisis, Evaluación y Diagnóstico de la Situación Actual.

Figura 2.1 Relación de los procesos de negocio con los Sistemas de Información. 14 Figura 2.2 Convergencia de estándares y mejores prácticas. 15 Figura 2.3 Estándares internacionales, buenas prácticas y metodologías en

general para el desarrollo del documento de lineamientos de Continuidad del Negocio.

16

Cuadro 2.1 Comparativo de los estándares, buenas prácticas y metodologías del Gobierno de TI, en relación con los elementos necesarios para una infraestructura de TI segura.

17

Cuadro 2.2 Ventajas y Desventajas de los estándares, buenas prácticas y metodologías para emprender un modelo de gestión para la Planeación de la Continuidad del Negocio y Recuperación ante Desastres del Gobierno de TI.

19

Figura 2.4 Estándares internacionales, buenas prácticas y metodologías orientadas, para realizar el documento de lineamientos de Continuidad del Negocio propuesto.

21

Capítulo 3.- Metodología Propuesta.

Figura 3.1 Mapa de ruta de la metodología propuesta. 25 Figura 3.2 Descripción de la metodología propuesta. 27 Cuadro 3.1 Marco metodológico integral para el desarrollo de la metodología

propuesta. 28

Figura 3.3 Diagrama de flujo (relaciones) entre procesos de negocio. 32 Figura 3.4 Equipos de trabajo para respuesta a incidentes 33 Figura 3.5 Tiempos y puntos objetivos de recuperación. 35 Cuadro 3.2 Probabilidad de ocurrencia de un riesgo. 37 Cuadro 3.3 Impacto potencial de un riesgo. 37 Cuadro 3.4 Matriz de nivel de riesgo. 37 Figura 3.6 Evaluación y diagnóstico del análisis de impacto al negocio. 38 Cuadro 3.5 Disponibilidad de los servicios. 45

Índice

Metodología para la creación de un plan para la continuidad y recuperación v ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

Capítulo 4.- Aplicación de la Metodología, Caso de Estudio: Empresa de Manufactura de Empaques de Cartón.

Figura 4.1 Diagrama tipo mapa mental de la Organización. 57 Figura 4.2 Organigrama general de la empresa objeto de estudio. 58 Figura 4.3 Organigrama del área funcional de apoyo TI, de la empresa objeto de

estudio. 59

Figura 4.4 Macro procesos de la empresa objeto de estudio. 60 Figura 4.5 Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la

empresa objeto de estudio. 61

Figura 4.6 Equipos de trabajo para respuesta a incidentes. 62 Cuadro 4.1 Funciones de los equipos de respuesta a incidentes. 63 Cuadro 4.2 Definición de objetivos, alcance y escenarios de los equipos de

respuesta a incidentes. 65

Cuadro 4.3 Tabla de solución integral para el desarrollo de la metodología propuesta.

66

Cuadro 4.4 Identificación de las funciones, servicios y recursos críticos por área. 67 Cuadro 4.5a Probabilidad de Ocurrencia de un riesgo. 71 Cuadro 4.5b Impacto potencial de un riesgo. 71 Cuadro 4.5c Matriz de nivel de riesgo. 71 Cuadro 4.6 Análisis y evaluación de la probabilidad ocurrencia y el impacto

potencial de un riesgo. 72

Cuadro 4.7a Diagnóstico del nivel de riesgo. 73 Cuadro 4.7b Nivel de riesgos. 73 Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones

mínimas de operación. 74

Cuadro 4.9 Identificación del tiempo objetivo de recuperación y su impacto al negocio, en las funciones, servicios y recursos críticos por área.

76

Cuadro 4.10 Análisis de impacto al negocio. 80 Cuadro 4.11 Cruz de información Sistemas vs Funciones. 81 Cuadro 4.12 Cruz de información Sistemas vs Sistemas. 82 Cuadro 4.13 Prioridad y nivel de riesgo de los Sistemas de Información Basados en

Computadora. 83

Cuadro 4.14 Matriz de prioridad y nivel riesgo para la recuperación de los Sistemas de Información.

83

Cuadro 4.15 Evaluación y diagnóstico del análisis de impacto al negocio. 84 Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la

empresa en estudio. 85

Figura 4.7a Arquitectura del Sistema ERP de la empresa objeto de estudio. 87 Figura 4.7b Arquitectura del Centro de Procesamiento de Datos CPD, de la

empresa objeto de estudio. 87

Figura 4.7c Arquitectura del Sistema de Telecomunicaciones de la empresa objeto de estudio.

88

Cuadro 4.17 Solicitud de Propuestas/Solicitud de Calificaciones “RFP/RFQ”. 89

Índice

Metodología para la creación de un plan para la continuidad y recuperación vi ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

Figura 4.8 Arquitectura del Centro de Procesamiento de Datos CPD, propuesta. 90 Cuadro 4.18a Compra de Hardware requerido para la estrategia de continuidad

propuesta. 92

Cuadro 4.18b Arrendamiento de Hardware requerido para la estrategia de continuidad propuesta.

92

Cuadro 4.18c Arrendamiento Software requerido para la estrategia de continuidad propuesta y CPD alterno.

93

Cuadro 4.19 Cursos de capacitación requeridos para la estrategia de continuidad propuesta.

93

Cuadro 4.20 Beneficios estimados de la estrategia de continuidad propuesta. 94 Cuadro 4.21 Parámetros para el análisis de rentabilidad (TMAR), de la estrategia de

continuidad propuesta. 95

Cuadro 4.22 Resumen de resultados del análisis de sensibilidad, de la estrategia de continuidad propuesta.

95

Cuadro 4.23a Análisis de rentabilidad a tasa del 8%, de la estrategia de continuidad propuesta.

96

Cuadro 4.23b Análisis de rentabilidad a tasa del 10%, de la estrategia de continuidad propuesta.

96

Cuadro 4.24 Contrato de prestación de servicios informáticos para el proveedor del CPD externo.

97

Cuadro 4.25 Parámetros a considerar en la selección y adquisición de hardware y software del CPD.

98

Cuadro 4.26 Contrato para la adquisición de la infraestructura de TI. 100 Figura 4.9 Diagrama de flujo de respuesta a emergencia y restauración. 104 Cuadro 4.27 Procedimientos de respuesta a emergencias y restauración para el

salvamento de los servicios críticos. 105

Cuadro 4.28 Interrupción importante de la producción: Desastres Naturales. 106 Cuadro 4.29 Relaciones con empleados: Desastres Humanos. 108 Cuadro 4.30 Avería del Centro de Procesamiento de Datos CPD: Desastres

Tecnológicos. 110

Cuadro 4.31 Plan de adiestramiento, pruebas y ejercitación del plan de continuidad. 113 Cuadro 4.32 Identificar oportunidades de educación. 114 Cuadro 4.33 Descripción de las pruebas. 115 Cuadro 4.34 Recomendaciones para la planificación de los escenarios de prueba y

su periodicidad. 116

Cuadro 4.35 Control de pruebas y aprobación del documento. 117 Cuadro 4.36 Guía para el desarrollo del ejercicio del plan de continuidad. 118 Cuadro 4.37 Metodología para realizar una auditoría de Sistemas de Información. 119 Cuadro 4.38 Programa de auditoría para realizar la revisión del control interno y

operaciones en el CPD. 121

Cuadro 4.39 Índice de las marcas de Auditoría. 123 Cuadro 4.40 Revisión del control utilizado para el ingreso de personal externo al

Centro de Procesamiento de Datos 123

Cuadro 4.41 Revisión de las claves utilizadas para el acceso al centro de procesamiento de información.

124

Índice

Metodología para la creación de un plan para la continuidad y recuperación vii ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

Cuadro 4.42 Inventario de Hardware y Software, ubicados en el Centro de

Procesamiento de Datos. 124

Cuadro 4.43 Verificación del inventario de cintas de respaldo (revisión selectiva). 125 Cuadro 4.44 Revisión de la seguridad física de las instalaciones del Centro de

Procesamiento de Datos. 125

Cuadro 4.45 Verificación de los contratos de mantenimiento del Centro de Procesamiento de Datos.

126

Cuadro 4.46 Verificación de los contratos de seguros. 126 Cuadro 4.47 Verificación del plan de continuidad del negocio. 127 Cuadro 4.48 Verificación del plan de continuidad del negocio. 128 Cuadro 4.49 Formulario de mantenimiento al Plan de Continuidad 131 Cuadro 4.50 Formulario de almacenamiento del Plan de Continuidad. 132 Cuadro 4.51 Historial de revisiones del Plan de Continuidad. 133 Cuadro 4.52 Mecanismo de Distribución del Plan de Continuidad. 134

Índice

Metodología para la creación de un plan para la continuidad y recuperación viii ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

GLOSARIO DE TÉRMINOS

Término Descripción

Información. Conjunto de datos que están organizados y que tienen un significado. Computación. Es una ciencia, en particular una rama de la matemática, que centra su

interés en el estudio y definición formal de los cómputos. Se le llama cómputo a la obtención de una solución o resultado, a partir de ciertos datos o entradas utilizando para ello un proceso o algoritmo.

Ciencias de la Computación.

Son aquellas que abarcan el estudio de las bases teóricas de la información y la computación y su aplicación en sistemas computacionales.

Sistemas Computacionales.

Es un conjunto de dispositivos electrónicos (Hardware), capaz de procesar información, de acuerdo con un programa (Software).

Informática. Es la ciencia aplicada que abarca el estudio y aplicación del tratamiento

automático de la información utilizando dispositivos electrónicos y sistemas computacionales. Conforme a ello, los sistemas informáticos deben realizar las siguientes tres tareas básicas:

Entrada: Captación de la información digital. Proceso: Tratamiento de la información. Salida: Transmisión de resultados binarios.

Sistema de Información Informático.

Es un conjunto de partes interrelacionadas, ordenadas y capaces de interconectarse: hardware, software y de Recurso Humano (humanware), que emplea computadoras como dispositivos programables para capturar, almacenar y procesar datos.

Programa Informático. Los Objetivos, Metas y estrategias, informáticas anuales relacionadas

con: los Sistemas de Información Informáticos y Estructuras de la Organización.

Plan Informático. Los Objetivos, Metas y estrategias, informáticas de mediano y largo

plazo, relacionadas con: los Sistemas de Información Informáticos y Estructuras de la Organización.

Estrategia Tecnológica Son los lineamientos técnicos, que la empresa requiere para determinar

los recursos informáticos que permitirá soportar y operar la Estrategia Institucional de Sistemas de Información Informáticos.

Índice

Metodología para la creación de un plan para la continuidad y recuperación ix ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.


Estrategia Institucional de Sistemas de Información Informáticos

Conjunto Integrado de Sistemas de información Informáticos, que pretende desarrollar, operar y explotar la empresa, para el corto y mediano plazo, y mediante los cuales estima satisfacer sus necesidades globales de información para controlar y coordinar las actividades operativas y administrativas fundamentales de la Organización.

Tecnologías de la Información y Comunicaciones TIC’s / TI

Son aquellas herramientas computacionales, informáticas y servicios de apoyo que procesan, almacenan, sintetizan, recuperan y presentan información representada en diversos ámbitos de la administración, las finanzas, la producción y la automatización de operaciones en los diferentes niveles de funcionamiento de una organización, a través de un conjunto de herramientas, soportes y canales para el tratamiento y acceso a la información.

Gobernabilidad de TI Consiste en la capacidad para controlar la formulación y la

implementación de la estrategia de TIC´s a fin de alcanzar ventajas competitivas para la organización en su conjunto.

Arquitectura Orienta a Servicios (por sus siglas en inglés, SOA)

Permite la creación de sistemas altamente escalables que reflejan el negocio de la organización, y a su vez brinda una forma bien definida de exposición e invocación de servicios, lo cual facilita la interacción entre diferentes Sistemas de Información Informáticos propios o de terceros.

Respaldo Interno Soluciones de respaldo que tienen como objeto resolver contingencias

leves que no precisen el desplazamiento fuera de los locales donde están ubicados los elementos informáticos afectados.

Respaldo Externo Tiene como objeto resolver contingencias graves (desaparición del

edificio, desaparición del Centro de Procesamiento de Datos, etc), que precisan el desplazamiento a ubicaciones diferentes a la habitual (Centro Alternativo de Respaldo).

Recuperación de los Servicios del Negocio

Proporciona procedimientos para mantener en funcionamiento en un sitio alterno las funciones esenciales estratégicas de la organización.

Plan de Recuperación del Negocio

Proporciona los procedimientos para recobrar la operación del negocio, inmediatamente después de la ocurrencia de un desastre.

Índice

Metodología para la creación de un plan para la continuidad y recuperación x ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.


Evaluación del Riesgo Metodología orientada a determinar la vulnerabilidad de la Organización. Con base en los diversos riesgos encontrados, se les asigna un valor específico, según la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo.

Análisis de Impacto al Negocio (por sus siglas en inglés, BIA)

A través de esta metodología se hace un análisis de todos los procesos y aplicaciones dentro de la Empresa a través de un cuestionario que se aplica en diversos niveles. Como resultado se llega a determinar el portafolio de procesos y aplicaciones críticas, así como los Requerimientos Mínimos y las características de cada uno de ellos.

Riesgo El impacto y la probabilidad de que una amenaza pueda afectar

adversamente la capacidad de una organización para lograr sus estrategias y objetivos de negocio.

Contingencia Cualquier suceso que interrumpa el normal funcionamiento de la

organización por un periodo de tiempo lo suficientemente largo como para que su impacto resulte grave.

Desastre Cualquier EVENTO MAYOR que afecte el funcionamiento normal de

las operaciones de un negocio. Estos pueden ser Naturales, Humanos y Técnico.

Tiempo Objetivo de Recuperación (por sus siglas en inglés, RTO)

El tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados.

Punto Objetivo de Recuperación (por sus siglas en inglés, RPO)

El punto en el cuál fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento.

“Cold Site” Centro de Procesamiento de Datos con Infraestructura básica, tarda

varios días en operar. “Hot Site” Centro de Procesamiento de Datos Parcialmente configurado, tarda

menos de un día en operar. “Warm Site” Centro de Procesamiento de Datos Listo para operar en pocas horas. “RFP/RFQ” Solicitud de Propuestas/Solicitud de Calificaciones. “QoS” Calidad en el Servicio “Quality of Service”.

Índice

Metodología para la creación de un plan para la continuidad y recuperación xi ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.


“High Availability” Alta Disponibilidad: Implementación de controles preventivos, detectivos y correctivos para procurar la disponibilidad continúa de los sistemas críticos de la organización.

“Fault Tolerance” Tolerancia a fallas: Un sistema “fault-tolerant” puede continuar brindado

servicios a pesar de fallas de software o hardware. “Load Balancing” Balanceo de cargas: Sistemas que comparten la carga de trabajo para

evitar recursos ociosos y bajo desempeño (performance) “Single Point of Failure” SPF’s: Redundancia en los Puntos Probables de Falla. “Downtime” Caída de los Sistemas de TIC’s

Introducción y Presentación al Proyecto de Tesis

Metodología para la creación de un plan para la continuidad y recuperación xii ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

INTRODUCCIÓN

0.1 PRESENTACIÓN DEL PROYECTO DE TESIS Las Tecnologías de Información y Comunicaciones (TIC´s) han reemplazado los dos elementos básicos que sustentaron la economía durante los últimos dos siglos: el “obrero” y el “capital” han sido suplantados por la “Información” y el “Conocimiento”. No cabe duda que la sociedad post-industrial ha dado paso a la sociedad de la Información en la que los avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red la Información, los procesos y los conocimientos han afectado profundamente las tradicionales formas de producción. Las tecnologías de información representan oportunidades y amenazas importantes, por lo que es recomendable que se tomen en cuenta al formularse las estrategias del negocio. Los adelantos tecnológicos afectan en forma drástica los productos, servicios, mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura, prácticas de mercadotecnia y la posición competitiva de las empresas. Las propuestas para evitar interrupciones y asegurar una reducción razonable del riesgo han sido numerosas. Los instrumentos empleados han dejado de lado la fuerte carga tecnológica para enfrentarse con las demandas operativas de las Organizaciones, asumen nuevos principios: se alinean con los objetivos de la organización integrándose directamente en la empresa y conformando procesos en constante evolución, se ajustan al dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo. La Metodología propuesta hace frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organización, desde la perspectiva: para eliminar las amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo físico (“appliances”, “firewalls”,…), y de entorno (“controles de acceso”,…), minimiza los efectos implantando sistemas redundantes y transfiere los riesgos residuales a una compañía de seguros que asume dicho riesgo.


Metodología para la creación de un plan para la continuidad y recuperación xiii ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

0.2 MARCO METODOLÓGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS El siguiente cuadro muestra el marco metodológico (Basado en [Galindo, 2008]), el cual describe una serie de actividades a emplear, sus correspondientes técnicas, herramientas y productos a obtener para el desarrollo del proyecto de tesis: Cuadro 0.1 Marco metodológico integral para el desarrollo del proyecto de tesis (Elaboración propia, basado en

[Galindo, 2008]).

MARCO METODOLÓGICO

ACTIVIDADES (¿Qué hacer?)

TÉCNICAS(¿Cómo hacerlo?)

HERRAMIENTAS(¿Con qué hacerlo?)

METAS(¿Qué obtener en particular?)

1. Definir el tema. -Observación -Investigación

-Método científico Especificar la oportunidad ó

problemática que se puede considerar como tema de estudio.

2. Recopilar información del tema.

-Investigación. -Recopilación bibliográfica.

-Libros -Revistas

-Periódicos -Internet.

Identificar y aislar la problemática ú oportunidad para obtener una visión

sistémica del tema de estudio.

3. Desarrollar el marco metodológico.

-Definición del marco metodológico.

-Procesador de palabras.

Definir las actividades que se tienen que hacer para realizar el proyecto de

tesis.

4. Definir el marco conceptual.

-Observación -Investigación.

-Recopilación bibliográfica. -Definición del marco

Conceptual

-Libros del tema -Diccionarios

-Enciclopedias -Pirámide Conceptual.


Delimitar los conceptos y describir los términos generales empleados en el

proyecto de tesis.

5. Identificar y analizar la situación actual. Definir la justificación. Definir Objetivo general y específicos.

-Definir una visión global del tema en cuestión a tratar.

-Conocer conceptos básicos para la definición de Objetivos. - Elaborar tabla de ventajas y

desventajas.

-Libros, -Revistas -Internet.


Obtener un análisis de las ventajas y desventajas de la metodología

propuesta y modelos existentes en el mercado.

A partir del análisis, hacer una justificación lógica que defienda el estudio del proyecto en cuestión.

Definir los alcances o resultados a obtener.

6. Desarrollar la metodología.

-Investigación. -Analizar, Identificar y definir la

metodología de desarrollo.

-Libros -revistas -Internet

-periódicos

Obtener un conjunto de actividades que conformen la metodología a

desarrollar.

7. Construcción de un modelo.

-Definir las partes que conformaran el modelo a

seguir.

-Procesador de

palabras.

Concebir un modelo a seguir con el conjunto de actividades definidas

anteriormente. 8. Implementar en forma

real el modelo. -Aplicar modelo en una

empresa. -Hoja de cálculo

Adquirir una aplicación en el mundo real, del uso del modelo.

9. Redactar el documento de tesis.

-Conocer la metodología para el desarrollo y redacción de un proyecto de tesis de maestría

-Procesador de textos -Editor de imágenes

-Hoja de cálculo

Obtener un documento escrito del proyecto de tesis.

10. Presentar el examen de grado.

-Investigar los lineamientos institucionales de SEPI-ESIME para presentar el examen de

grado.

-Internet -Entrevista

Conseguir el grado de Maestro en ciencias en ingeniería de sistemas.


Metodología para la creación de un plan para la continuidad y recuperación xiv ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

0.3 PRESENTACIÓN DEL DOCUMENTO DEL PROYECTO DE TESIS.

A continuación, se presenta el modelo: antes, cambio, después [Basado en Galindo, 2008]; en él, se plantea el medio ambiente general de la Organización para proponer una mejora con apoyo del área de Tecnologías de la Información y Comunicaciones (TIC’s) con énfasis en la Continuidad del Negocio, de una empresa de Manufactura de Empaques de Cartón y Papel:

Figura 0.1 Estructura del documento del proyecto de tesis.


Metodología para la creación de un plan para la continuidad y recuperación xv ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

Aunque nuestro país todavía se encuentra en una etapa incipiente; pero sin duda de crecimiento, en lo que respecta a la adopción de Planes para la continuidad y recuperación ante desastres por parte de las PyME; el Capítulo 1, puede ayudar a entender por qué las empresas necesitan ineludiblemente contar con un Plan de Continuidad y Recuperación ante Desastres. Considerando que una interrupción prolongada, en las operaciones de los Sistemas de Tecnologías de la Información y Comunicaciones, puede suspender la continuidad de las operaciones de una empresa y, eventualmente, llevarla incluso a la quiebra, es importante considerar el Gobierno de TI y las mejores prácticas para asegurar la continuidad del negocio. Para ello se tienen varios conjuntos de recomendaciones que destacan internacionalmente, como se estudiará en el Capítulo 2. En el capítulo 3, se propone una metodología para la continuidad y recuperación ante desastres de TIC´s en la industria de la manufactura, por lo que una aproximación acertada es conocer con detalle la organización que se quiere proteger. No sólo se deben identificar los riesgos, también evaluarlos para posteriormente decidir sobre las medidas que puedan mitigarlos. Para ello, se deberá identificar los activos de la empresa, así como las debilidades que puedan padecer, estimando probabilidades de ocurrencia y asignándoles una importancia para la misión de la empresa. En el capítulo 4, se aplicará la metodología propuesta, se estudiará la criticidad de las TIC´s en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TIC´s estén disponibles el mayor tiempo posible, que obligue a que se reanude rápidamente su funcionamiento, so pena de que su interrupción perjudique o degrade los objetivos y la calidad de la actividad en concreto. En un Plan de continuidad se invierte, no se gasta, adoptar el Plan impacta en la organización, en las funciones y en las responsabilidades, éste debe ser un elemento vivo, que se mantenga, pruebe y actualice periódicamente. Aumentar las medidas para garantizar la disponibilidad de los servicios informáticos genera confianza y acerca a los usuarios a la informática, como se verá en el Capítulo 5. Por último, se mostrará las Referencias Bibliográficas y a Internet, así como, los Anexos correspondientes.

Capítulo 1 Marco Conceptual y Contextual Metodología para la Creación de un Plan para la Continuidad y Recuperación ante Desastres en los Sistemas de Tecnologías de la Información y Telecomunicaciones en la Industria de la Manufactura.

Capítulo 1

Marco Teórico Conceptual y Contextual

Metodología para la creación de un plan para la continuidad y recuperación Página 1 ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

CAPÍTULO 1.-

MARCO CONCEPTUAL Y CONTEXTUAL.

Uno de los primeros pasos para la elaboración de un Proyecto de Tesis consiste en la Descripción, Fundamentación y elección del tema, seguido de la estructuración y sustentación conceptual de la hipótesis, cuya finalidad es la de delimitar el problema y generar explicaciones tentativas del fenómeno en estudio. 1.1 Marco Conceptual. La elaboración del marco Conceptual ayuda, a la definición de los elementos involucrados, esto es, definir específicamente que conceptos se emplearán en el Proyecto de Tesis. 1.1.1 Elaboración de la Pirámide Conceptual. Para iniciar, es necesario identificar los elementos conceptuales involucrados en éste proyecto. Para ello, se crea una pirámide conceptual [Galindo 2005]. La base de la pirámide contiene el concepto más general y de ahí hacia arriba, se va particularizando:

Arquitectura de Proceso

Arquitectura de Información

Arquitectura de Datos

Arquitectura de Sistemas

Arquitectura Tecnológica

Administración de la

Continuidad del Negocio (BCM)

Plan de Continuidad de Negocio

(BCP)

Plan de Recuperación de Desastres

(DRP)

Instituto Internacional de Recuperación ante Desastres

(DRII)

Instituto de Continuidad del Negocio (BCI)

Asociación de Auditoría y Control de Sistemas de Información

(ISACA, CobIT)

Consorcio internacional de Certificación de Seguridad de

Sistemas de Información (ISC²)

Organización Internacional para la Estandarización (ISO)

Instituto Británico de Normas (BSI)

Figura 1.1 Pirámide Conceptual adaptada de [Galindo, 2005]

Capítulo 1



1.1.2 Descripción de los términos de la Pirámide Conceptual. Arquitectura Tecnológica. Establecer el diseño básico general de los sistemas de información asegurando que no sufran anquilosamiento ni obsolescencia, éste diseño busca establecer un marco conceptual que oriente los proyectos de transformación y evolución de los sistemas, de forma que se mantengan integrados de un modo coherente. [Akella, Buckow, y Rey, 2009]

Arquitectura de Sistemas.

Es la organización fundamental de un sistema, que incluye sus componentes, las relaciones entre sí y el ambiente, y los principios que gobiernan su diseño y evolución. [ANSI/IEEE 1471-2000, 2001] Arquitectura de Datos. Provee a cualquier ámbito de negocio una herramienta de trabajo, a partir de la cual es factible la gestión organizada de los datos que representan los distintos conceptos de negocio involucrados en un proceso, permite la clasificación y organización de los elementos de dato para una fácil localización y consulta de los mismos, en cada una de las capas y subdivisiones; facilitando así la reutilización y no la creación de nuevos elementos de dato. [GEL-XML, 2009] Arquitectura de Información. La Arquitectura de Información es una disciplina que organiza conjuntos de información, permitiendo que cualquier persona los entienda y los integre a su propio conocimiento, de manera simple. [Mabilon, 2009] Arquitectura de Procesos. Representa el conjunto de procesos esenciales de la empresa, mostrando sus relaciones entre sí y sus interacciones con clientes y proveedores [Österle, 1995]. Los procesos esenciales son los encargados de crear y comercializar los productos y servicios de la empresa y constituyen la base para su ventaja competitiva [Hammer, Champy, 1993].

Capítulo 1



Plan de Recuperación de Desastres (Disaster Recovery Planning, o DRP). Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los servicios informáticos críticos en caso de contingencia. [BCI Internacional, 2009] Plan de Continuidad del Negocio (Business Continuity Planning, o BCP). Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudación oportuna y ordenada de los procesos del negocio generando un impacto mínimo o nulo ante una contingencia. [BCI Internacional, 2009] Administración de la Continuidad del Negocio (Business Continuity Management, o BCM). Proceso administrativo completo que identifica impactos potenciales que pueden afectar la organización y provee la estructura para dar flexibilidad y Respuestas efectivas para salvaguardar los intereses de los accionistas, la reputación, la marca y actividades de valor agregado. [DRII Internacional, 2008] Instituto Británico de Normas (British Standards International, o BSI) Organismo nacional de normas del Reino Unido, independiente con integridad e innovación en la creación de normas que fomentan las mejores prácticas reconocidas alrededor del mundo. Desarrolla y comercializa normas y soluciones de estandarización que satisfacen las necesidades de las empresas y la sociedad. Norma BS 25999 Continuidad del Negocio: Ayuda a establecer las bases de un sistema BCM\BCP y se ha concebido para mantener en marcha las actividades durante una interrupción, ya sea debido a un siniestro o catástrofe importante o bien debido a un incidente menor. Proporciona una base para comprender, desarrollar e implantar la continuidad de la actividad comercial en una organización y otorga confianza en los negocios de empresa a empresa y de empresa a cliente. Así mismo, contiene un conjunto exhaustivo de controles basados en las mejores prácticas de BCM\BCP y abarca todo el ciclo de vida de la gestión de continuidad de la actividad comercial. [BCI México, 2007].

Capítulo 1



Organización Internacional para la Estandarización (International Organization for Standardization, o ISO) Es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas de la industria. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. Norma ISO/IEC 27001 Seguridad de la información: Es un estándar publicado por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI), se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales, adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. [Dirección General de Normas, México, 2007]. Instituto Internacional de Recuperación ante Desastres (Disarter Recovery Institute International, o DRII) Fundado en 1988, por un grupo de profesionales de la industria para desarrollar y estandarizar la profesión del planificador de continuidad del negocio, es líder mundial en el establecimiento de estándares, cursos y certificaciones reconocidos internacionalmente para la administración de continuidad de negocio [DRII Internacional, 2010]. Instituto de Continuidad del Negocio (Business Continuity Institute, o BCI) Apoya y orienta a sus socios, promocionando las normas más elevadas en materia de competencias profesionales y ética de las prestaciones y del mantenimiento de servicios y planificación de la continuidad de negocio. A través de su plan de certificación, proporciona a sus miembros un estatus internacionalmente reconocido, puesto que la afiliación profesional del BCI demuestra la capacidad de sus miembros de llevar a cabo una gestión de continuidad del negocio a un nivel muy elevado. [BCI México, 2009]

Capítulo 1



Asociación de Auditoría y Control de Sistemas de Información (Information Systems and Audit Control Association, o ISACA) Organización global que establece pautas para los profesionales de gobernabilidad, control, seguridad y auditoría de información. Juntos, ISACA y su Instituto de Gobernabilidad de TI asociado (ITGI) lideran la comunidad de control de Tecnologías de la Información. Objetivos de Control para la Información y la Tecnología Relacionada (Control Objetives for Information and Related Technology, o COBIT): Es el marco de referencia aceptado internacionalmente de las mejores prácticas para el control de la información, infraestructura de TI y los riesgos que conllevan. Inicialmente, COBIT se utilizó para la realización de auditorías a las áreas de Tecnologías de la Información. Sin embargo, en los últimos años COBIT a evolucionado para convertirse en el modelo a seguir para la implementación de Gobernabilidad en Tecnologías de Información (IT Governance), contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. [ISACA México, 2010] Consorcio internacional de Certificación de Seguridad de Sistemas de Información (International Information Systems Security Certification Consortium, o ISC²). Organización internacional, dedicada a mantener una base de conocimiento para los profesionales dedicados a la seguridad de los Sistemas de Información, certifica profesionales sobre una consensuada base de conocimientos profesionales y administra los exámenes de la certificación asegurando el mantenimiento de las credenciales, por medio de la educación continua. Certificación Profesional en Seguridad de Sistemas de Información (Certified Information Systems Security Professional, o CISSP): Certificación creada a partir de la base de conocimiento en seguridad de los sistemas de información mantenida por la ISC². No asociada a ninguna tecnología o proveedor, la más antigua certificación profesional enfocada exclusivamente a la seguridad informática [ISC² Internacional, 2010].

Capítulo 1



1.2 Marco Contextual. Para el desarrollo del proyecto de Tesis, es necesario conocer previamente en términos generales, la naturaleza del problema en cuestión, por tal motivo es necesario investigar los antecedentes de la situación a tratar, lo cual nos permitirá identificar el medio ambiente y las áreas en donde se desenvuelve el problema, así como los elementos y relaciones fundamentales que serán objeto de estudio [Galindo 2005]. 1.2.1 Descripción del Medio Ambiente Temporal. Las tecnologías de información representan oportunidades y amenazas importantes, por lo que es recomendable que se tomen en cuenta al formularse las estrategias del negocio. Los adelantos tecnológicos afectan en forma drástica los productos, servicios, mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura, prácticas de mercadotecnia y la posición competitiva de las empresas. (Dubelaar, Sohal, Savi, 2005). 1.2.1.1 Evolución de las TIC´s en la industria de la manufactura. La década de los ´80, fue testigo de una revolución en las filosofías de dirección y de tecnologías aplicadas a la producción. Chase y Aquilano [Chase, 2000], refieren a la producción Justo a Tiempo (JIT) como el mayor adelanto en la filosofía de fabricación, comparable en su impacto con la cadena de montaje de Henry Ford a inicios del pasado siglo. Al JIT se unió el Control de Calidad Total (TQC) y juntos, forman la "piedra angular" de las prácticas industriales de empresas de excelencia. Por el mismo tiempo, la tecnología acudió al rescate de la manufactura, incorporándose nuevas tecnologías en el accionar de las fábricas, términos como fabricación integrada por computadora (CIM), diseño asistido por computadora (CAD), fabricación asistida por computadora (CAM), sistemas flexibles de fabricación (FMS), planificación de necesidades de materiales (MRP), planificación de los recursos de manufactura (MRPII), entre otros, se han hecho muy conocidos y convertido en conceptos cotidianos para los fabricantes actuales. Los primeros sistemas creados para integrar los datos y organizar los diferentes procesos productivos tuvieron su inicio con las aplicaciones MRP, mismas que evolucionaron a lo que hoy conocemos como sistemas ERP (planeación de los recursos empresariales).

Capítulo 1



Estos sistemas son básicos para comprender cómo la Tecnología de Información ha aportado ventajas competitivas al sector industrial. Es importante considerar la contribución significativa que el Internet, e-commerce, y e-business, ha brindado a las industrias de la manufactura, como una oportunidad de desarrollo, expansión y diversificación como respuesta al mercado en constante cambio. 1.2.1.2 Evolución de los Conceptos de Continuidad del Negocio. Hacia principios de los años setenta del pasado siglo, Normal L. Harris, Edward S. Devlin y Judith Robey [Barnes, 2001], tratando de encontrar un método de planificación y gestión que evitara la continua atención de problemas de forma aleatoria, es decir “apagar fuegos”, dieron lugar al nacimiento de una actividad que en principio se llamó Planeación de Contingencias (CP). Posteriormente, esa misma actividad se denominó Planeación de la Recuperación ante Desastres (DRP), según el diccionario de la RAE en su segunda acepción, contingencia es “Algo que puede suceder o no suceder”, y en su tercera acepción, “Riesgo”. De esta forma, no limitamos las causas a “Desastres”, lo que parece indicar que otros incidentes menos espectaculares no son tenidos en cuenta. Hasta ese momento, las actividades de planificación y prevención estaban dirigidas hacia las operaciones informáticas que en la mayor parte de los casos se encontraban centralizadas en el departamento de Informática e, incluso, en un lugar físico concreto. Con el paso del tiempo y la aparición de la Informática distribuida, al extenderse por toda la organización las funciones soportadas en medios Informáticos y Telemáticos, esa actividad vario su alcance y vino a llamarse Planeación de la Continuidad del Negocio (BCP). La palabra negocio, tiene claros matices mercantiles, y dado que hoy todas las organizaciones, sean mercantiles, empresas o entidades públicas, dependen del correcto funcionamiento de las Tecnologías de la Información y de las Comunicaciones, hablar de continuidad del “Negocio” sería limitar el alcance, por lo que sería más correcto hablar de continuidad del “Servicio”. Sin embargo, dentro del ámbito de los profesionales de las Tecnologías de la Información, “Continuidad del Negocio” ha venido a transformarse en un término comúnmente aceptado, tanto para organizaciones mercantiles como para organismos públicos. Hoy día, el concepto de Planeación de la Continuidad del Negocio, está siendo sustituido por el de Administración de la Continuidad del Negocio; es decir, no se limita a la planificación de la continuidad, sino a la gestión integral de la misma.

Capítulo 1



La figura 1.2, muestra la evolución de los conceptos de continuidad:

Figura 1.2 Evolución de los Conceptos de Continuidad [fuente Insys, 2009].

La Administración de la Continuidad del Negocio es reconocida como una buena práctica profesional y es parte integral del buen gobierno de las organizaciones; de esta forma, toma una dimensión estratégica y no es considerado como una mera herramienta operativa, sino un enfoque global de la actividad que integra un amplio espectro de actividades de gestión encaminadas al objetivo final de la organización. En particular, crea el marco estratégico y operativo para revisar, y modificar cuando sea necesaria la forma en que la organización proporciona sus productos y servicios, al mismo tiempo que aumenta su resistencia frente a interrupciones o pérdida. 1.2.2 Descripción del Medio Ambiente Físico.

Las Tecnologías de Información y Comunicaciones (TIC´s), han reemplazado los dos elementos básicos que sustentaron la economía durante los últimos dos siglos: el “obrero” y el “capital” han sido suplantados por la “Información” y el “Conocimiento”. No cabe duda que la sociedad post-industrial ha dado paso a la sociedad de la Información en la que los avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red la Información, los procesos y los conocimientos han afectado profundamente las tradicionales formas de producción. Será la historia la que en el futuro evalúe los resultados de este cambio de era, dimensionando las transformaciones que están afectando a las empresas en estos momentos.

Capítulo 1



La era de la sociedad de la Información nos ha sumergido en un mundo confuso, dominado por un orden mundial interconectado y por tanto más abierto, complejo, diverso y a la vez, más peligroso. Frente a esta realidad, la operatividad de la organización de los sistemas de información ocupa un lugar preponderante, ligado a la condición imprescindible de su disponibilidad absoluta. 1.2.2.1 El imperativo: asegurar la continuidad de negocio. Las propuestas para evitar estas interrupciones y asegurar una reducción razonable del riesgo han sido numerosas. Los Planes de Recuperación ante Desastres (DRP) fueron los primeros instrumentos desarrollados en este sentido hace más de 20 años, superados una década después por los Planes de Continuidad del Negocio (BCP). En la actualidad, los instrumentos empleados han dejado de lado la fuerte carga tecnológica que caracterizaba a los planes anteriores para enfrentarse con las demandas operativas de las Organizaciones. Para lograr este fin, los planes asumen nuevos principios: se alinean con los objetivos de la organización integrándose directamente en la empresa y conformando procesos en constante evolución. Este espíritu alienta a los planes para la Administración de la Continuidad del Negocio (BCM), que se ajustan al dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo, afectado por cambios que deben ser analizados y tratados consecuentemente (implantación de nuevos controles, cambios de responsables, imprevistos, etc.). 1.2.2.2 Estrategias y planes para la continuidad de negocio. La probabilidad de que una amenaza pueda afectar adversamente la capacidad de la Organización para lograr sus estrategias y objetivos de negocio, se le denomina “Riesgo”. Las estrategias de las organizaciones para asegurar la continuidad del negocio combinan diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos. Una alteración de esta continuidad que impacte en forma relevante el normal desarrollo de un servicio considerado crítico, teniendo su origen en la falla de un componente o la interrupción de una tarea, constituye una “Contingencia”; sin estar necesariamente prevista, el “Desastre”, a su vez, ocurre cuando este suceso interrumpe el normal

Capítulo 1



funcionamiento de la organización por un periodo de tiempo lo suficientemente largo como para que su impacto resulte grave. Las causas que originan los desastres, en cuanto a su naturaleza, se tipifican en:

Naturales: Incendios. Terremotos. Inundaciones. Tornados. Huracanes. Hundimientos. Exhalaciones volcánicas.

Humanos: Amenazas de Bomba. Huelgas. Plantones. Empleados Inconformes. Empleados Mal Capacitados. Disturbios Sociales.

Técnicos: Fallas en el Equipo de Cómputo o algún Periférico Fallas en el Equipo de Soporte del Centro de Cómputo Fallas en Equipo de Telecomunicaciones o algún componente de la red Fallas en el Enlace Infección de Virus Falla de aplicaciones.

Entonces, los Procedimientos de Contingencia, los podemos focalizar en los criterios de seguridad, ver cuadro 1.1, como: a) confidencialidad, b) integridad y c) disponibilidad. Por ello, se separan las políticas y diseños operacionales de continuidad de negocio más transparentes como (tener discos tolerantes a fallas o servidores espejados, así como contratos concurrentes con más de un proveedor de comunicaciones), de los planes de contingencia y procedimientos de recuperación:

Capítulo 1



Cuadro 1.1 Criterios de la Seguridad de la Información [Fuente KPMG, 2010].

Entonces, para concluir, un Plan de Continuidad en un Modelo de Negocio es: una secuencia definida de pasos para elaborar de manera sistemática un método que proporciona una combinación de diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos, estos elementos se muestran en la figura 1.3:

Ventaja competitiva

Gestión de riesgos

Impulsores de creación de valor

Capacidad clave

Plan de Continuida

d del Negocio

Manejo de incidentes

Incidente

Gestión de riesgos

Manejo de incidentes

Recuperación del Negocio

Plan de Recuperación

ante Desastres

Manejo de crisis

Establecer

Implementar y Operar

Monitorear y Revisar

Mantener y Mejorar

Plan

Do

Check

Act

Requisitos y Expectativas

Resultados esperados

Mejora continua

Figura 1.3 Modelo Cíclico Dinámico de un Plan de Continuidad en un Modelo de Negocio [Elaboración propia].

Capítulo 1



De donde el objetivo de la tesis será en principio, analizar los procesos, métodos o metodologías que puedan crear un Plan de Continuidad en un Modelo de Negocio, para así poder efectuar una evaluación seguida de un diagnóstico, y determinar su viabilidad, para en su caso proponer una metodología que pueda cumplir con las necesidades para la creación de un Plan para la Continuidad y Recuperación ante Desastres en los Sistemas de TIC’s en la Industria de la Manufactura. En Resumen, en el presente capítulo se ha presentado, como la manufactura ha recibido recientemente cierto empuje de las tecnologías de la información, permitiendo el diseño y desarrollo simultáneo de productos, procesos y actividades de apoyo, aportando una base confiable y flexible para el desarrollo de plataformas de ingeniería concurrente. Frente a esta realidad, la operatividad de los sistemas de información ocupa un lugar preponderante, ligado a la condición imprescindible de su disponibilidad absoluta. Ahora, en el siguiente capítulo, se presenta como los planes de continuidad y recuperación ante desastres hacen frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organización, teniendo en cuenta las implicaciones relacionadas con el cumplimiento de las normativas para garantizar el éxito en la gestión de la Información, tomando en cuenta los referentes que brindan los estándares para su seguridad.

Capítulo 2 Análisis, Evaluación y Diagnóstico de la Situación Actual. Metodología para la Creación de un Plan para la Continuidad y Recuperación ante Desastres en los Sistemas de Tecnologías de la Información y Telecomunicaciones en la Industria de la Manufactura.

Capítulo 2

Análisis, evaluación y diagnóstico de la situación actual


CAPÍTULO 2.-

ANALISIS, EVALUACIÓN Y DIAGNÓSTICO DE LA SITUACIÓN ACTUAL

En el capítulo anterior, se estudió la seguridad de la información y la continuidad del negocio como dos componentes críticos de la estrategia futura de muchas organizaciones a nivel nacional e internacional. Los Planes de Recuperación ante Desastres (DRP) fueron los primeros instrumentos desarrollados en este sentido hace más de 20 años, superados una década después por los Planes de Continuidad del Negocio (BCP). A continuación, se estudiará el desarrollo del documento de lineamientos que permite a la organización definir políticas, normas, procedimientos y estándares, de acuerdo a los requerimientos de su misión, basados en recomendaciones y mejores prácticas (frameworks) desarrollados con cooperación internacional; se busca, identificar herramientas o productos tecnológicos que apoyen los controles y que permitan mitigar el riesgo y mejorar de esta manera la seguridad de la información y la continuidad de las operaciones.

2.1 Introducción. En un mundo globalizado, dinámico e incierto como el de hoy, las Tecnologías de Información y Comunicaciones, juegan un papel preponderante y fundamental para el desarrollo de las Organizaciones desde diferentes ámbitos como el tecnológico, económico, financiero, de servicios y de producción entre otros, es fundamental una adecuada preparación y formación desde una óptica corporativa, hasta un enfoque de lo que llamamos hoy Gobierno de Tecnologías de la Información (Gobierno de TI) con el fin de dar respuesta a los innumerables requerimientos de éstas, porque más allá de los elementos puramente técnicos y tecnológicos, es primordial reconocer la organización como un todo, integral, holística y con una sinergia propia que procura el cumplimiento de sus objetivos enmarcados en aumentar la rentabilidad y las ganancias al máximo.

Dicho cambio hace necesaria una adecuada gestión de la información y el conocimiento; la figura 2.1, muestra la relación de los procesos de negocio con los Sistemas de Información, con el propósito de facilitar los procesos asociados con la innovación, el desarrollo de productos o servicios, la eficiencia en el uso de los recursos, la calidad y la toma de decisiones acertadas.

Capítulo 2



Figura 2.1 Relación de los procesos de negocio con los Sistemas de Información [Elaboración propia].

Sin embargo, en el afán de ingresar en el nuevo entorno, las empresas se ven enfrentadas a mayores riesgos que son cada vez más difíciles de controlar. Por tanto, se han iniciado planes que garantizan una adecuada gestión de la Información, por considerarse que ésta forma parte de los activos fundamentales de las Organizaciones, y se toma como base para diseñar la estrategia comercial y de competitividad en esta sociedad globalizada. Para garantizar el éxito en la gestión de la Información, se toman en cuenta los referentes que brindan los estándares para su seguridad. Con esto, se espera que la Información se proteja celosamente y se garantice la implantación de las estrategias que propician la integridad, la confidencialidad y la disponibilidad de ésta hacia los clientes. 2.2 Estándares y mejores prácticas para la Planeación de la Continuidad del Negocio y Recuperación ante Desastres de TIC’s. Actualmente, los servicios TIC’s, trascienden las fronteras de la organización convirtiéndose en productos de la compañía, situando a la gestión de los servicios TI como uno de los elementos clave que se debe tener en cuenta en la estrategia de negocio, tanto en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia

Capítulo 2



de la compañía ante situaciones críticas. Esto es, particularmente importante para las compañías del sector industrial, en este caso ya no basta con tener excelentes servicios de TIC’s, sino que es necesario demostrar a sus accionistas y clientes que disponen de una infraestructura tecnológica y de servicios fiables y bien gestionados. Adicionalmente las empresas deben tener en cuenta las implicaciones relacionadas con el cumplimiento de las normativas y leyes locales y globales, cuyo cumplimiento es preciso demostrar. En relación a la seguridad de la información, gestión del riesgo, continuidad de negocio y materias relacionadas, se incluye en la figura 2.2, una selección de los estándares, métodos de referencia y regulaciones más conocidas y relevantes:

• Definición de Procesos [BSI, 2009].ITIL

• Capacitación y Certificación en Planes de Contingencia [DRII, 2004].DRII

• Sistema de Gestión de la Calidad [ISO, 2009].ISO 9001

• Sistema de Gestión de Servicios de TI [ISO, 2009].ISO 20000

• Sistema de Gestión de Seguridad de la Información [ISO, 2009].ISO 27001

• Sistema de Gestión de Continuidad del Negocio [BCI, 2007].BS 25999

•Metodologías de Desarrollo de Software [Sotelo, 2008].CMMI / SSE – CMM

• Gobierno de TI [ISO, 2009].COBIT / ISO 38500

• Sistema de Gestión del Riesgo Empresarial [BSI, 2009].COSO

• Gobierno de las Inversiones en TI [Sotelo, 2008].Val IT

• Sistema de Gestión de Estrategia de Negocio [SDG Consulting, 2010].BSC

• Sistema de Gestión de Proyectos [Sotelo, 2008].PMBOK / PRINCE2

• Reguladores de Negocio [Sotelo, 2008].SOX, BASILEAII, PCI

Motivadores, Gobierno Corporativo, Gobierno de TI, Estándares y Mejores Prácticas, Procesos y Procedimientos, para la Convergencia de TIC’s

Figura 2.2 Convergencia de estándares y mejores prácticas [Elaboración propia].

Capítulo 2



Además, de los aquí resumidos, existen muchos otros estándares, guías, metodologías y buenas prácticas dedicados a distintos aspectos de la seguridad de la información, publicados por prestigiosas instituciones en todo el mundo. En el contexto de gestión de servicios de TIC’s para la Continuidad del Negocio, algunos estándares y buenas prácticas internacionales a considerar para realizar el documento de lineamientos, se muestran en la figura 2.3:

Figura 2.3 Estándares internacionales, buenas prácticas y metodologías en general para el desarrollo del documento de lineamientos de Continuidad del Negocio [Elaboración propia].

Capítulo 2



Los lineamientos para los servicios de TIC’s, cubren aspectos como: disponibilidad, desempeño, confidencialidad, integridad y controles de acceso físico, administrativos y lógicos, obteniendo un enfoque integral de acercamiento a la gestión del riesgo y al gobierno de TI, conformando una estrategia integrada para la seguridad de la información y la continuidad del negocio, basada en una estrategia efectiva de gestión de riesgos. El cuadro 2.1, muestra los elementos constitutivos necesarios para construir una infraestructura de TIC’s segura y una cultura de seguridad, comparando los estándares, buenas prácticas y metodologías comúnmente usados para la Planeación de la Continuidad del Negocio y Recuperación ante Desastres de TIC’s, debiendo cumplir con los objetivos de negocio y con los requerimientos legales para Gente/Procesos/Tecnología: Cuadro 2.1 Comparativo de los estándares, buenas prácticas y metodologías del Gobierno de TI, en relación con

los elementos necesarios para una infraestructura de TIC’s segura (Inicio) [Elaboración propia].

Elementos Estándares, Buenas Prácticas y Mundologías.

ISO 27001

ISO 17799/27002

ISO 24762

ISO 20000

ISO 27005

BS 25999

BS 25777

COBIT ITIL COSO M_o_R

Administración del riesgo

Continuidad del negocio

Control de acceso

Arquitectura segura de red y aplicación

Administración de: Configuraciones, Actualizaciones y Cambios

Monitoreo de la Seguridad y manejo de incidentes

Auditoría, rastreo y monitoreo de cumplimiento

Documentación y evidencia de procesos y operaciones

Entrenamiento en seguridad y sensibilización

Capítulo 2



Cuadro 2.1 Comparativo de los estándares, buenas prácticas y metodologías del Gobierno de TI, en relación con los elementos necesarios para una infraestructura de TIC’s segura (Final) [Elaboración propia].

Elementos Estándares, Buenas Prácticas y Mundologías.

MOF AU NZ/4360 NFPA 75 NFPA 1600 NIST SP 800-34 NIST DRII BCI ISACA ISC²

Administración del riesgo

Continuidad del negocio

Control de acceso

Arquitectura segura de red y aplicación

Administración de: Configuraciones, Actualizaciones y Cambios

Monitoreo de la Seguridad y manejo de incidentes

Auditoría, rastreo y monitoreo de cumplimiento

Documentación y evidencia de procesos y operaciones

Entrenamiento en seguridad y sensibilización

Estos lineamientos se enfocan en ofrecer las directrices para una gestión integral de la seguridad de la información, la prestación de servicios con calidad y la continuidad de las operaciones. El Cuadro 2.2, muestra las ventajas y desventajas de cada uno de estos estándares, buenas prácticas y metodologías en busca de una manera de generar un camino claro y expedito para luego poder emprender el desarrollo de un modelo de gestión para la Planeación de la Continuidad del Negocio y Recuperación ante Desastres de TIC´s:

Capítulo 2



Cuadro 2.2 Ventajas y Desventajas de los estándares, buenas prácticas y metodologías para emprender un modelo de gestión para la Planeación de la Continuidad del Negocio y Recuperación ante Desastres del

Gobierno de TI (Inicio) [Elaboración propia].

Estándares, Buenas Prácticas y Metodologías

Ventajas Desventajas

Estándares

ISO 27001 Orientada a la Gestión de la Seguridad de la Información.

Contempla parcialmente el tema de Continuidad del Negocio y Recuperación ante Desastres de TI.

ISO 24762 Guía para la provisión de servicios de recuperación de desastres como parte de la gestión de la continuidad del negocio.

Actualmente en Desarrollo.

ISO 20000 Orientada a la Gestión de Servicios de TI. No contempla el tema de Recuperación ante desastres de TI en la Continuidad del Negocio.

BS 25999 Orientada a la Gestión de la Continuidad del Negocio.

Contempla parcialmente el tema de Recuperación ante desastres de TI.

NFPA 75 Orientada a la Protección contra Incendios y la Continuidad del Negocio.


NIST SP 800-34 Guía para la planeación de Contingencias en los Sistemas de TI.

Contempla parcialmente el tema de Continuidad del Negocio.

Buenas Prácticas

ISO 17799/27002 Guía de buenas practicas que describe los objetivos de control y controles en la Administración de la Seguridad de la Información.

Contempla parcialmente el tema de Recuperación ante desastres de TI en la Continuidad del Negocio.

ISO 27005 Establece las directrices para la gestión del riesgo en la Seguridad de la Información.


BS 25777 Guía de buenas prácticas que establece un marco para crear y mejorar un sistema de gestión de continuidad de servicios en los Sistemas de TI.

Contempla parcialmente el tema de Continuidad del Negocio, se usa el estándar BS 25999 como complemento.

COBIT Brinda un marco de trabajo para la medición y monitoreo del desempeño de las Tecnologías de Información, definiendo las actividades de TI.

Contempla la mayoría de los procesos relacionados con la continuidad del servicio, no tiene un enfoque integrado de todo el proceso.

ITIL Guía de buenas prácticas destinadas a facilitar la entrega de servicios de TI de alta calidad abarcando la infraestructura, desarrollo y operaciones de TI.


COSO Identifica los factores que causan informes financieros fraudulentos y hace recomendaciones para reducir su incidencia.

No contempla el tema de Recuperación ante desastres de TI en la Continuidad del Negocio.

Los principales beneficios que se obtienen al usar estos estándares, buenas prácticas y metodologías son: (1) Identificar de forma proactiva los impactos de un trastorno operacional. (2) Proporcionar una respuesta efectiva que minimiza el impacto en la organización. (3) Mantiener la capacidad para gestionar los riesgos no asegurables. (4) Fomentar el trabajo entre equipos. (5) Mejorar la reputación y ventajas competitivas de la Organizacion en su capacidad para mantener, entregar y recuperarse de un desastre.

Capítulo 2



Cuadro 2.2 Ventajas y Desventajas de los estándares, buenas prácticas y metodologías para emprender un modelo de gestión para la Planeación de la Continuidad del Negocio y Recuperación ante Desastres del

Gobierno de TI (Final) [Elaboración propia].

Estándares, Buenas Prácticas y

Metodologías Ventajas Desventajas

Buenas Prácticas

M_o_R Proporciona un conjunto de principios y procesos genéricos para identificar, analizar y gestionar los riesgos que pueden ocurrir en un contexto de negocios.


MOF Detalla los procesos de gestión que deben utilizarse para administrar de manera eficaz los departamentos informáticos

Declinación de ITIL preconizada por Microsoft para administrar entornos basados en las tecnologías Microsoft Windows.

AU NZ/4360 Guía genérica para el establecimiento e implementación del proceso de administración de riesgos.

Aplicado a todas las etapas de la vida de una actividad, función, proyecto, producto o activo.

NFPA 1600 Manejo de Desastres/Emergencias y Programas de Continuidad del Negocio .

Dirigido a Técnicos y profesionales encargados del control y seguridad contra incendios.

Metodologías

NIST Agencia de la Administración de Tecnología de los Estados Unidos. Su misión es promover la innovación y la competencia industrial mediante biotecnología, nanotecnología, tecnologías de la información y fabricación avanzada.


DRII Desarrolla una base de conocimientos en la planificación de contingencias y el manejo de riesgos. Administra los principales programas de certificación de la industria

Contempla parcialmente el tema de Recuperación ante desastres de TI en la Continuidad del Negocio.

BCI Promociona normas en materia de competencias profesionales y ética de las prestaciones y del mantenimiento de servicios y planificación de la continuidad de negocios.


ISACA Dedicada a la práctica y al estudio de la auditoría, el control, la gobernabilidad de las TI, el análisis de riesgos y la seguridad informática.


ISC² Instituto Internacional de Capacitación y Certificación en Sistemas de Información.


En el diseño o posterior certificación de estos entornos de Continuidad del Negocio y Recuperación ante Desastres de TIC´s, aún no existe un estándar que sea claramente seguido por el mercado. Sin duda, ITIL tiene varios apartados donde se contemplan la mayoría de los procesos relacionados con la garantía de la continuidad del servicio, pero no tiene un enfoque integrado de todo el proceso. Las sociedades ISO/IEC han adoptado y desarrollado varios estándares que contemplan parcialmente este tema, como es la ISO 27001, actualmente está en desarrollo la norma ISO/IEC 24762 que es una guía para la provisión de servicios de recuperación de desastres como parte de la gestión de la continuidad del negocio tanto para servicios propios como para servicios externalizados.

Capítulo 2



La norma BS 25777, contiene una guía de buenas prácticas que establece cómo abordar la gestión de la continuidad de servicios de TIC’s en una organización, siguiendo el marco de referencia de la norma BS 25999, sistema de gestión de continuidad del negocio. El análisis y evaluación, anteriormente, expresado ha llevado a proponer al que suscribe, el siguiente diagnóstico de lineamientos que consideran la Continuidad del Negocio y Recuperación ante Desastres de TIC’s, ver figura 2.4, con el fin de plantear una ruta estratégica que le ofrezca a las Organizaciones la capacidad para estar mejor preparada ante un entorno cambiante y de alto riesgo:

Figura 2.4 Estándares internacionales, buenas prácticas y metodologías orientadas, para realizar el documento de lineamientos de Continuidad del Negocio propuesto [Elaboración propia].

Capítulo 2



2.3 Justificación del Proyecto de Tesis En base al análisis, evaluación y diagnóstico anterior, se concluye que: no existe para la industria de la manufactura, una metodología con un enfoque integrado de todo el proceso para la creación de Planes de Continuidad del Negocio y Recuperación ante Desastres de TIC’s, por lo tanto se justifica proponer una metodología para:

El cumplimiento regulatorio: Existe un creciente número de reglamentos y estándares a cumplir, normalmente el sector está basado en COBIT, ITIL, COSO, ISO 27001, ISO 17799/27002, ISO 27005, ISO 20000, ISO 24762, BS 25999, BS 25777:2008 (gestión de continuidad de TIC’s, es más concreto que el BS-25999 bajando a detalles como por ejemplo hablar de centros alternativos y de procedimientos específicos de TIC’s), DRII, BCI, ISACA.

La necesidad de los negocios: Para minimizar las pérdidas, Según Jim Hoffer de Health Management Technology (2009) sólo el 6% de las organizaciones que sufren una pérdida de datos catastrófica logra sobrevivir, mientras el 43% nunca vuelve a reabrir y el 51% cierra en el plazo de dos años.

La protección de personas y activos.

Crecimiento de vulnerabilidades de materialización de amenazas.

Necesidad del servicio continuo de TIC’s. Entonces, para conseguir lo anteriormente expresado, se deben establecer los objetivos generales y particulares, que son fundamentales para la elaboración del presente proyecto de tesis. 2.4 Definición de Objetivos del Proyecto de Tesis 2.4.1 Objetivo General Diseñar, proponer, aplicar y evaluar una metodología para establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que permita garantizar la continuidad de las operaciones del negocio.

Capítulo 2



2.4.2 Objetivos Particulares

Identificar y conocer el medio ambiente de las empresas de manufactura para efectuar un análisis y evaluación de las amenazas a la seguridad de la información y sus operaciones.

Identificar y conocer el medio ambiente de los estándares, mejores prácticas y metodologías en Recuperación ante Desastres como parte de la gestión de la Continuidad del Negocio en los Sistemas de TIC´s para efectuar un análisis y evaluación de su desempeño.

Diseñar y proponer una metodología para la creación de un plan para la

Continuidad y Recuperación ante Desastres en los Sistemas de Tecnologías de Información y Comunicaciones.

Aplicar la metodología propuesta en una empresa de manufactura, para garantizar la reanudación de los procesos críticos dentro de los márgenes de tiempo tolerables, asegurando la continuidad de las operaciones, minimizando la posibilidad de pérdida de información crítica para el negocio.

Tomando en cuenta lo anterior, en el presente capítulo se mostró como el gobierno de TI puede verse mejorado con la aplicación de estándares y buenas prácticas en TIC’s; sin embargo, su adopción en el país es aún incipiente, una explicación sería que los estándares enfocan la gestión de TIC’s por procesos, mientras que en la mayoría de entidades, la gestión organizacional y la de TIC’s continúa siendo funcional, basada en procedimientos, existiendo una escasa cultura de procesos a todo nivel (estratégico, táctico y operativo). Ahora, en el siguiente capítulo, se estudiará cómo se debe superar esta brecha, por medio de un método basado en procesos, que proporcione una secuencia definida de pasos para elaborar de manera sistemática un plan para la continuidad y recuperación ante desastres, a través de la selección de un conjunto de estándares, estableciendo las estrategias de adopción, a través de un buen candidato para marco de gobierno de TI con un buen nivel de madurez y que cubra la diversidad de actividades, complementado, en temas específicos con otros estándares, buenas prácticas y metodologías (manteniendo la concordancia).

Capítulo 3 Metodología Propuesta Metodología para la Creación de un Plan para la Continuidad y Recuperación ante Desastres en los Sistemas de Tecnologías de la Información y Telecomunicaciones en la Industria de la Manufactura.

Capítulo 3

Metodología Propuesta


CAPÍTULO 3. -

METODOLOGÍA PROPUESTA En el capítulo anterior, se estudió como en los entornos de Continuidad del Negocio y Recuperación ante Desastres de TIC´s; aún no existe, un estándar que sea claramente seguido por el mercado de la industria de la manufactura. A continuación, se estudiará como se debe superar esta brecha, a través de un método, que proporcione una secuencia definida de pasos para elaborar de manera sistemática a través de una metodología propuesta, un plan para la continuidad y recuperación ante desastres, a través de la selección de un conjunto de estándares, estableciendo la estrategia de adopción, por medio de un buen candidato para marco de gobierno de TI. 3.1 Introducción. Se puede comentar que, la mayoría de los productos y servicios que son solicitados por la sociedad son proporcionados por empresas, para ellas, es muy importante garantizar a sus clientes un adecuado nivel de seguridad, disponibilidad y confiabilidad de los procesos que son esenciales para su funcionamiento, asegurando la continuidad del negocio. Esta disponibilidad se puede ver afectada por factores accidentales, incidentales y humanos. Una de las recomendaciones para mitigar los riesgos es la necesidad de recuperar los recursos, ya sean humanos, de infraestructura, datos vitales y de tecnologías de la información requeridos, que permitan continuar con el funcionamiento normal de la organización, a través de:

Prevención/Reducción/Mitigación o Identificar y mitigar el riesgo

Respuesta y Manejo o Reacción planificada y manejo de un evento adverso

Recuperación o Recuperación y reanudación planificada de los servicios y operaciones

después de una interrupción Restauración

o Reparación o reemplazo del sitio primario de operaciones normales de la organización.

Capítulo 3



Entonces, ahora se presenta la metodología propuesta para la creación de un Plan para la Continuidad y Recuperación ante Desastres en los Sistemas de TIC’s en la Industria de la manufactura, tomando como marcos de referencia el estándar BS25999 (ver anexo A) y la metodología DRII (ver anexo B), de Continuidad del Negocio: 3.2 Metodología propuesta. La Metodología propuesta hace frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organización, a través de la identificación de las áreas de riesgo a que la empresa está expuesta, y sobre estas priorizar las medidas a adoptar para procurar una continuidad operacional, desde la perspectiva: para eliminar las amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo físico (“appliances”, “firewalls”,…), y de entorno (“controles de acceso”,…), minimiza los efectos implantando sistemas redundantes y transfiere los riesgos residuales a una compañía de seguros que asuma dicho riesgo. La misma, se presenta a continuación de manera general y posteriormente se estudiará con mayor detalle:

Metodología para la creación de un Plan para la Continuidad y Recuperación ante Desastres en los

Sistemas de TIC´s en la industria de la manufactura.

Fase 1.

Conocer y planificar el

medio ambiente organizacional.

Fase 2.

Analizar y evaluar riesgos y su impacto al

negocio.

Fase 3.

Desarrollar el plan de

continuidad y estrategias de recuperación ante desastres.

Fase 4.

Capacitar, probar y ejercitar.

Fase 5.

Auditoría, mantenimiento y actualización.

DRP

BCP

Figura 3.1 Mapa de ruta de la metodología propuesta [Elaboración propia].

Capítulo 3



Objetivo General de la Metodología propuesta. Establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que provee direccionamiento, soporte, equipamiento, metodologías y estándares para garantizar la continuidad de las operaciones del negocio.

A continuación, se describe de forma general la metodología propuesta: Fase I.- Conocer y Planificar el Medio Ambiente Organizacional. En esta fase, se establece la necesidad de desarrollar el Plan de Continuidad en la organización, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para ello, es importante: conocer previamente en términos generales, la naturaleza de la situación, en cuestión. Por tal motivo, es necesario investigar los antecedentes de la problemática a tratar; lo cual, permitirá identificar el medio ambiente y las áreas donde se desenvuelve el problema. Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. En esta fase, se identifican las amenazas internas y externas, incluyendo concentraciones de riesgo, permitiendo su gestión de priorización y control para formar una base en la que se establezca un programa de control y un plan de acción de gestión de riesgo, identificando las actividades de misión crítica de la organización, sus dependencias y sus puntos de fallas así como el análisis de impacto y el efecto que se generaría en caso de la pérdida, o interrupción de las actividades de misión crítica. Fase III.- Desarrollar el plan de continuidad y estrategias de recuperación ante desastres. En esta fase, se determinan los recursos mínimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudación y recuperación. Así mismo, se definen los procedimientos de notificación y escalamiento de emergencias y los criterios y procedimientos de activación de los planes de contingencia. Fase IV.- Capacitar, probar y ejercitar. En esta fase, se determina la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupción, evaluando el equipo y personal a cargo de cada

Capítulo 3



actividad crítica, realizando una prueba al sistema demostrando competencia y capacidad de continuidad del negocio, a través de la revisión de los estándares y mejores prácticas, identificando defectos y dificultades, proporcionando recomendaciones. Fase V.- Auditoría, Mantenimiento y Actualización. En esta fase, se revisan los estándares de Continuidad del Negocio y Recuperación ante Desastres de TIC´s aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estándares predefinidos, desarrollando una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. La figura 3.2, describe de forma más general la metodología propuesta:

Conocer y planificar el medio ambiente organizacional.

•A 1.1.‐ Conocer el medio ambiente

general.

•A 1.2.‐ Identificar la estructura

organizacional. de la empresa.

•A 1.3.‐ Definir la arquitectura de macroprocesos.

•A 1.4.‐ Definir equipos de planificación y sus responsabilidades.

•A 1.5.‐ Definición de objetivos, alcance y

escenarios del problema.

•A 1.6.‐ Concientización y aprobación por parte

de los directivos.

Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.

•A 2.1.‐ Identificación de las funciones, servicios y recursos críticos del área. •A 2.2.‐ Análisis,

evaluación y diagnóstico de riesgos. •A 2.3.‐ Control de

riesgos.

•A 2.4.‐ Análisis de impacto al negocio.

•A 2.5.‐ Evaluación y diagnóstico del análisis de impacto al negocio.

Desarrollar el plan de continuidad y estrategias de recuperación ante

desastres.

•A 3.1.‐ Diseñar las estrategias de

continuidad de la organización.

•A 3.2.‐ Presentar el análisis costo/beneficio de las estrategias de

continuidad. •A 3.3.‐ Negociación y firma de contratos con los proveedores de

servicios.

•A 3.4.‐ Adquisición de la infraestructura de

TIC’s.

•A 3.5.‐ Preparación del sitio alterno.

•A 3.6.‐ Definir los procedimientos de recuperación.


•A 4.1.‐ Definir objetivos de

entrenamiento.

•A 4.2.‐ Desarrollar e implementar varios

tipos de programas de entrenamiento.

•A 4.3.‐ Identificar otras oportunidades de

educación. •A 4.4.‐ Descripción de

las pruebas.

•A 4.5.‐ Planificar los escenarios de prueba y

su periodicidad. •A 4.6.‐ Ejercitación de

las pruebas.


•A 5.1.‐ Auditoría del Plan de Continuidad.

•A 5.2. Mantenimiento del Plan de Continuidad.

•A 5.3.‐ Mecanismo de almacenamiento. Del Plan de Continuidad.

•A 5.4.‐ Mecanismo de actualización del Plan

de Continuidad.

•A 5.5.‐ Mecanismo de distribución del Plan de

Continuidad.

Fase I. ‐ Fase II. ‐ Fase III. ‐ Fase IV. ‐ Fase V. ‐

Figura 3.2 Descripción de la metodología propuesta [Elaboración propia].

Capítulo 3



Marco metodológico integral para el desarrollo de la metodología propuesta. El siguiente cuadro muestra el marco metodológico [Basado en Galindo, 2008], el cual describe una serie de actividades a emplear, sus correspondientes técnicas, herramientas y productos a obtener para el desarrollo de la metodología propuesta:

Cuadro 3.1 Marco metodológico integral para el desarrollo de la metodología propuesta (Inicio).

Metodología para la creación de un plan para la continuidad y recuperación ante desastres en los Sistemas de

TIC´s en la Industria de la Manufactura.

METODOLOGÍA (¿Qué hacer

general?)

ACTIVIDADES (¿Qué hacer particular?)

TÉCNICAS (¿Cómo

hacerlo?)

HERRAMIENTAS (¿Con qué hacerlo?)

METAS (¿Qué obtener en particular?)

Fase I.- Conocer y

Planificar el Medio Ambiente Organizacional.

Actividad 1.1 Conocer el Medio Ambiente General. Actividad 1.2 Identificar la Estructura Organizacional de la Empresa. Actividad 1.3 Definir la Arquitectura de Macroprocesos. Actividad 1.4 Definir equipos de planificación y sus responsabilidades. Actividad 1.5 Definición de objetivos, alcance y escenarios del problema. Actividad 1.6 Concientización y aprobación por parte de los directivos.

-Observación -Investigación -Recopilación


-Conocer conceptos básicos para la definición

de Objetivos. -Definición del

marco Conceptual.

-Método científico. -Procesador de

textos. -Editor de imágenes.

- Establecer la necesidad de la continuidad del negocio. - Comunicar la necesidad de un Plan para la Continuidad del Negocio. - Comprometer la Alta Gerencia en los procesos de Continuidad del Negocio. - Establecer el Comité de Proyecto. -Identificar y ejecutar los requerimientos presupuestales. -Identificar los equipos de planificación y sus responsabilidades. - Dar respuesta a los requerimientos de la Gerencia y de documentación de los procesos de Continuidad del Negocio. - Reportar y obtener la aprobación del avance del proyecto.

Fase II.- Analizar, evaluar

y diagnosticar riesgos y su impacto al negocio.

Actividad 2.1 Identificación de las funciones, servicios y recursos críticos del área. Actividad 2.2 Análisis, Evaluación y Diagnóstico de riesgos. Actividad 2.3 Control de riesgos. Actividad 2.4 Análisis de Impacto al Negocio. Actividad 2.5 Evaluación y Diagnóstico del Análisis de Impacto del Negocio.

- Evaluar los

efectos de las interrupciones,

daños e impactos al negocio

- Establecer la metodología BIA (cuestionarios,

talleres, entrevistas, ...)

- Definir y categorizar las

funciones y registros críticos - Determinar las

franjas de tiempo de recuperación y requerimientos de recursos mínimos

- Identificar y categorizar los procesos del

negocio



-Hoja de cálculo

- La probabilidad de ocurrencia, en la organización, a un tipo específico de amenaza. - Una evaluación y análisis de riesgos. - Una estrategia de gestión de control de riesgo y plan de acción. - Inventario de los procesos críticos del negocio. - Secuencia de recuperación de procesos y sistemas críticos - Estimación del impacto operacional y financiero de una interrupción en los procesos críticos del negocio. - Identificación de los tiempos de recuperación para cada proceso crítico del negocio. - Identificación de los requerimientos mínimos de los procesos o aplicaciones críticas del negocio durante las operaciones de recuperación.

Capítulo 3



Cuadro 3.1 Marco metodológico integral para el desarrollo de la metodología propuesta (Continuación).




general?)


TÉCNICAS (¿Cómo

hacerlo?)



Fase III.- Desarrollar el

plan de continuidad y estrategias de recuperación

ante desastres.

Actividad 3.1 Diseñar las estrategias de continuidad de la organización. Actividad 3.2 Presentar el análisis costo/beneficio de las estrategias de continuidad. Actividad 3.3 Negociación y firma de contratos con los proveedores de servicios. Actividad 3.4 Adquisición de la infraestructura de TIC’s. Actividad 3.5 Preparación del sitio alterno. Actividad 3.6 Definir los procedimientos de recuperación.

- Desarrollar alternativas de

estrategias para: Refinar los

requerimientos mínimos para la recuperación. - Identificar las

alternativas viables para la recuperación.

- Seleccionar una estrategia de recuperación

eficiente. - RFP/RFQ.

- Respuesta a Emergencias. - Respuesta a emergencia y recuperación.



-Sistemas de información basados en

computadoras, especializados en

seguimiento, control y planes

de proyectos

- Identificar requerimientos para el desarrollo de los planes. - Definir requerimientos de control y administración de la continuidad. - Identificar y definir un formato y la estructura principal de los componentes de los planes. - Definir el sistema de gestión de crisis y continuidad del negocio. - Definir el sistema de evaluación de daños y reanudación. - Desarrollar el sistema de control de documentos de los equipos de operación del negocio. - Desarrollar la documentación de los equipos de recuperación de tecnología de información. - Desarrollar el sistema de telecomunicaciones. - Implementar los planes. - Establecer los procedimientos de control y distribución de los planes.

Fase IV.- Capacitar, probar y ejercitar.

Actividad 4.1 Definir objetivos de entrenamiento. Actividad 4.2 Desarrollar e implementar varios tipos de programas de entrenamiento. Actividad 4.3 Identificar otras oportunidades de educación. Actividad 4.4 Descripción de las pruebas. Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. Actividad 4.6 Ejercitación de las pruebas

-Establecer un programa de

ejercicios. -Definir escenarios

de desastre -Crear un

cronograma de ejercicios.

-Crear un plan de control y reporte de los ejercicios Retroalimentar y monitorear los

resultados de los ejercicios -Definir un

cronograma de mantenimiento de

los planes -Formular los

procedimientos de control de cambios



-Hoja de cálculo

- Verificación y validación que los miembros y personal se familiarizan con el entendimiento de roles, responsabilidades y autoridades en la operación de la continuidad del negocio y proceso de administración de crisis. - La formación de conciencia involucrando individuos usando la continuidad del negocio y los planes de gestión de crisis. - Probar la organización e infraestructura de la gestión de continuidad del negocio que incluye centros de comando, áreas de trabajo, recursos de recuperación de tecnología y telecomunicaciones. - Verificación y validación que el plan de continuidad de negocio refleja las actuales prioridades del negocio. - La oportunidad de identificar defectos y mejorías de la organización del Plan, administración de crisis y planes de continuidad de negocio. - Documentación y evaluación del ejercicio.

Capítulo 3



Cuadro 3.1 Marco metodológico integral para el desarrollo de la metodología propuesta (Final).




general?)


TÉCNICAS (¿Cómo

hacerlo?)



Fase V.- Auditoría,

Mantenimiento y Actualización.

Actividad 5.1 Auditoria al Plan de Continuidad. Actividad 5.2 Mantenimiento al Plan de Continuidad. Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. Actividad 5.4 Mecanismo de actualización del Plan de Continuidad. Actividad 5.5 Mecanismo de distribución del Plan de Continuidad.

- Definición y

documentación del programa de

auditoria. - Auditar el plan

de auditoria. - Buscar expertos

internos y externos.

- Aplicar los estándares de

auditoria. - Actualizar

estrategias del Plan, normas de requerimientos,

legislación, directrices de

buenas prácticas, estándares. - Actualizar análisis de impacto,

estrategias y planes a ser auditados.



-Hoja de cálculo

- Pruebas definidas y documentadas para la gestión y gobierno pro activo del programa de mantenimiento y monitoreo del Plan respecto a actividades de misión crítica y sus dependencias. - Detalles de todos los cambios de estrategias del Plan documentados con toda la historia de estrategias y detalles de control de versiones. - Identificación e inclusión de cambios en los sistemas y procesos de la organización. - Verificación y validación de análisis de impacto y de riesgos basados en las estrategias y planes de continuidad. - Verificación y validación que las estrategias y planes son actualizados, precisos y completos. - Verificación y validación que los planes continuidad de negocio siguen una secuencia lógica, formato, estructura conforme a las directrices y estándares de buenas prácticas. - Verificación y validación que el personal tiene entendido los roles de responsabilidad y le es claro el plan.

A continuación, se presenta la metodología propuesta a nivel de detalle:

Capítulo 3





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP

Fase I.- Conocer y Planificar el Medio Ambiente Organizacional. El objetivo de esta primera fase, es establecer la necesidad de desarrollar el Plan de Continuidad en la organización, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante: conocer previamente en términos generales, la naturaleza de la situación, en cuestión. Por tal motivo, es necesario investigar los antecedentes de la problemática a tratar; lo cual, permitirá identificar el medio ambiente y las áreas donde se desenvuelve el problema, así como los elementos y relaciones fundamentales que serán objeto de estudio [Galindo, 2005]. Actividad 1.1 Conocer el Medio Ambiente General. Conocer el supra o macro sistema: Empresa. Es necesario conocer: su visión, misión, políticas, sus planes y estrategias correspondientes, los objetivos a cumplir para esos fines, las funciones que definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo. Una vez conocido el medio ambiente general, se procede a identificar la estructura organizacional. Actividad 1.2 Identificar la Estructura Organizacional de la Empresa. Un aspecto fundamental en el conocimiento del medio ambiente es: identificar la estructura organizacional de la empresa o institución, y de las áreas particulares. Esto ayudará a ubicar las áreas que apoyará el sistema; así como, a quien se deberá entrevistar y pedir información para la construcción del mismo. Como una siguiente actividad, se procede a definir la Arquitectura de Macroprocesos de la Organización. Actividad 1.3 Definir la Arquitectura de Macroprocesos. Una vez ubicada el área ó áreas principales se debe, identificar una colección de procesos interrelacionados que generan un resultado bien definido dentro del funcionamiento de la empresa (macroproceso). Ahora bien, la estructura interna de cada macroproceso es similar en el sentido que contiene, a lo menos, una instancia de cada uno de los siguientes tipos de procesos: Ejecución: conjunto de subprocesos y actividades que transforma ciertos insumos y recursos en un “producto” que tiene valor para la empresa; Gestión: conjunto de

Capítulo 3



subprocesos y actividades que, a partir de requerimientos de clientes, dirigen la Ejecución; Mantención estado: conjunto de subprocesos y actividades que se alimenta de flujos de información que informan la situación de la Ejecución y Gestión y retroalimenta información actualizada de estado a éstos. La figura 3.3, modela las relaciones definidas en base a flujos físicos e información, siguiendo la notación IDEF0 (método de diagramación de procesos que tiene contenido, en el sentido de establecer con precisión los diferentes elementos del modelo y darle sentido en el contexto de lo que pretende el proceso):

GestiónInformación Input(Requerimientos de clientes)

Ejecución

Mantenciónestado

Informaciónestado

Información Output (Relación con cliente)

Flujo físico output ("Producto" al cliente externo o interno

Recurso

Información

Control

Información Input

Cambio estado(Transacciones)

(Instruccionesde ejecución)

Figura 3.3 Diagrama de flujo (relaciones) entre procesos de negocio [Arquitectura y diseño de procesos de negocio, Chile 2008].

Una vez conocido el medio ambiente organizacional, se procede a la definición de los equipos de planificación: Actividad 1.4 Definir equipos de planificación y sus responsabilidades. Para comenzar a construir el plan de continuidad de cada área, se conformará un equipo interdisciplinario apoyado por la dirección general de la entidad y coordinado por la dirección del área funcional, identificando al personal clave de TI y usuarios para la toma

Capítulo 3



de decisiones, detallando los roles e integrantes de cada equipo y asignando las responsabilidades en caso de desastre. La figura 3.4, muestra la participación de los equipos de trabajo, dependiendo de la interrupción y del tipo de activos afectados:

Figura 3.4 Equipos de trabajo para respuesta a incidentes [Elaboración propia]

Establecidos los equipos de trabajo, se procede a la definición de objetivos, alcance y escenarios del problema de continuidad. Actividad 1.5 Definición de objetivos, alcance y escenarios del problema. Los equipos definirán los objetivos, el alcance y los escenarios que se abarcarán con el plan que se está construyendo. Un aspecto importante, sobre el cual radica la continuidad del proyecto, es la concientización de los directivos. Actividad 1.6 Concientización y aprobación por parte de los directivos. Una vez terminadas estas tareas, el grupo debe presentar un informe a los directivos, quienes después de revisarlo deciden si dan su aprobación para que el proyecto siga adelante o, en caso contrario, solicitan revisión de alguno de los puntos expuestos.

Capítulo 3



Las responsabilidades del coordinador de esta etapa son:

Dirigir la definición de objetivos, políticas y actividades críticas. Coordinar y organizar directores por cada fase del proyecto. Controlar el proceso del Plan a través de métodos de control efectivo y gestión de

cambio. Presentar el proceso a Directivos y personal. Desarrollar el Plan y presupuesto para iniciar el proceso. Definir y recomendar procesos de estructura y gestión. Dirigir el proyecto a desarrollar e implementar el proceso del Plan.

Para ello, se proponen las siguientes acciones:

Establecer la necesidad de la continuidad del negocio Comunicar la necesidad de un Plan para la Continuidad del Negocio Comprometer la Alta Gerencia en los procesos de Continuidad del Negocio Establecer el Comité de Proyecto Identificar y ejecutar los requerimientos presupuestales Identificar los equipos de planificación y sus responsabilidades Desarrollar y coordinar las actividades de implementación del Plan Dar respuesta a los requerimientos de la Gerencia y de documentación de los

procesos de Continuidad del Negocio. Reportar y obtener la aprobación del avance del proyecto.

Una vez conocido y planificado el medio ambiente organizacional, en la Fase I, se procede realizar la Fase II, para lo cual se requiere:

Capítulo 3





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP

Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. Identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que puedan causar la interrupción o pérdida de las actividades críticas de la organización, permitiendo su gestión de priorización y control para formar una base en la que se establezca un programa de control y un plan de acción de gestión de riesgo, identificando las actividades de misión crítica de la organización, sus dependencias y sus puntos de fallas así como analizar el impacto y el efecto que se generaría en caso de la pérdida, o interrupción de las actividades de misión crítica. El análisis de impacto al negocio (BIA, por sus siglas en inglés) tiene en cuenta el Tiempo Objetivo de Recuperación (RTO) y el Punto Objetivo de Recuperación (RPO), como se muestra en la figura 3.5:

RTO: El tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados.

RPO: El punto en el cuál fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento.

Figura 3.5 Tiempos y puntos objetivos de recuperación [Fuente, Norma BS 25999, 2009].

Capítulo 3



El análisis de Impacto al Negocio, tiene por objetivo, la identificación de los procesos de gestión y supervisión de la Organización, para definir el compromiso compartido de todos los involucrados y plantear constancia de los riesgos. A continuación, se presenta la información básica a tener en cuenta para diseñar el cuestionario para el desarrollo del Análisis de Impacto al Negocio:

Datos básicos del proceso y de su dueño Frecuencia del proceso Períodos de tiempo críticos Tiempo máximo de interrupción Volumen de trabajo del proceso Indicadores y medidas de desempeño existentes Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos

legales, imagen - reputación y en general para la organización como negocio. Dependencias internas y externas Aplicaciones informáticas que lo soportan Procedimientos alternos existentes o sugeridos Efectividad de los procedimientos alternos Registros vitales de cada proceso Complejidad de recuperación de las dependencias evaluadas Recursos mínimos para la recuperación de cada dependencia.

Actividad 2.1 Identificación de las funciones, servicios y recursos críticos del área. En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el área y se priorizan de acuerdo con la razón de ser de la misma dentro de la organización, determinando, a su vez, en qué recursos (computacionales o logísticos) se apoya, y de esta manera establecer la criticidad de los recursos. Para cada prioridad se señalará el tiempo máximo de espera para que se reanuden los servicios, así como la identificación de los registros de datos e información vital para la operación de dichas funciones y servicios. Con la información anterior, se está en condición para la identificación de los riesgos por prioridad y de esta manera iniciar el Análisis, Evaluación y Diagnóstico de riesgos.

Capítulo 3



Actividad 2.2 Análisis, Evaluación y Diagnóstico de riesgos. Determinar la probabilidad anual de ocurrencia de un riesgo, el impacto potencial de un riesgo y la matriz de nivel de riesgo; para de ésta manera, obtener las vulnerabilidades frente a las pérdidas y valoración del riesgo por recurso en cada actividad que interviene; lo anterior, es presentado en los siguientes cuadros:

Cuadro 3.2 Probabilidad de Ocurrencia de un riesgo [Elaboración propia].

Tabla de probabilidad de ocurrenciaCalificación Cualidad Descripción

1 Raro Puede ocurrir sólo en circunstancias excepcionales 2 Improbable Puede ocurrir en algún momento 3 Posible Podría ocurrir en algún momento 4 Probable Probablemente ocurra en la mayoría de circunstancias 5 Casi certeza Se espera que ocurra en la mayoría de circunstancias

Cuadro 3.3 Impacto potencial de un riesgo [Elaboración propia].

Tabla de impacto potencialCalificación Descriptor Detalle

1 Insignificante Sin perjuicios, baja perdida financiera 2 Menor Tratamiento de primeros auxilios, liberado localmente, se contuvo

inmediatamente,perdida financiera media 3 Moderado Requiere tratamiento médico, liberado localmente, contenido con

asistencia externa, perdida financiera alta 4 Mayor Perjuicios extensivos, pérdida de capacidad de producción, liberación

externa, sin efectos nocivos, perdida financiera mayor 5 Catastrófico Muerte, liberación tóxica externa con efectos nocivos, enorme pérdida

financiera

Cuadro 3.4 Matriz de nivel de riesgo [Elaboración propia].

Matriz de nivel de riesgo

Probabilidad

de ocurrencia

Impacto potencial

1 2 3 4 5

1 B B M A A

2 B B M A C

3 B M A C C

4 M A A C C

5 A A C C C

B = Bajo, M = Medio, A = Alto, C = Catastrófico.

Capítulo 3



Actividad 2.3 Control de riesgos. Una vez que se determina el Análisis/Evaluación/Diagnóstico de riesgos de la actividad anterior, se procede a determinar un conjunto de estrategias a implementar para que cada proceso tenga condiciones mínimas para poder reanudarse y de ésta manera iniciar con el Análisis de Impacto al Negocio. Actividad 2.4 Análisis de Impacto al Negocio. Una vez realizado el Control de Riesgos, se procede a la identificación de actividades de misión crítica, sus dependencias y puntos de falla, para determinar impactos y efectos (consecuencias) financieros y no financieros como resultado de una interrupción o pérdida de una o más actividades de misión crítica durante varios periodos de tiempo. Una vez efectuada la actividad presente, se está en condiciones de realizar la Evaluación y Diagnóstico del Análisis de Impacto al Negocio. Actividad 2.5 Evaluación y Diagnóstico del Análisis de Impacto del Negocio. Identificar y categorizar los procesos del negocio, determinando los tiempos de reemplazo, para determinar las franjas de tiempo de recuperación y requerimientos de recursos mínimos, como se muestra en la figura 3.6:

Escenario de falla o perdida Causas Efectos I P R Acción Control de Riesgos

Describir el escenario a analizar

Describir las causas de falla que puede generar el escenario

Describir los efectos que derivan de las

causas

Calificar el impacto, probabilidad y riesgo según el análisis de

riesgos.

Describir la acción a realizar, una vez que se presente el evento

Describir los tipos de controles considerados para mitigar el riesgo

Figura 3.6 Evaluación y Diagnóstico del análisis de impacto al negocio [Elaboración propia].

Capítulo 3



Después de realizar la evaluación y el control de riesgos, los resultados obtenidos incluyen la identificación y documentación de:

La probabilidad de ocurrencia, en la organización, a un tipo específico de amenaza. Concentración de riesgos donde el número de Actividades de Misión Crítica es

localizado dentro del mismo edificio o en el mismo lugar. Una evaluación y análisis de riesgos (combinado con un Análisis de Impacto del

Negocio). Una estrategia de gestión de control de riesgo y plan de acción. El enfoque de priorización del Plan de Continuidad y control de riesgos.


Entender las pérdidas potenciales Identificar la exposición de la organización a pérdidas potenciales Identificar controles y medidas para prevenir o mitigar el efecto de las pérdidas

potenciales o Protección física o Protección lógica o Localización de activos

Evaluar, seleccionar y utilizar apropiadas metodologías y herramientas de análisis de riesgos

Identificar e implementar las actividades de recolección de información Evaluar la efectividad de los controles y medidas Evaluación de riesgos y controles

o Escenarios de riesgo Administración de registros vitales

Después de realizado el Análisis de Impacto al Negocio, se obtendrán como resultados, la identificación y documentación de:

Objetivos y salidas (servicios y productos). Actividades de Misión Crítica, sus dependencias y puntos de falla. Impactos y efectos (consecuencias) financieros y no financieros como resultado de

una interrupción o pérdida de una o más actividades de misión crítica durante varios periodos de tiempo.

Los objetivos del Plan para cada actividad de misión crítica y sus dependencias.

Capítulo 3



Una priorización mínima y aceptable de la recuperación de los recursos. Registros/datos vitales Usuarios y Clientes Claves Proveedores (tanto dentro como fuera de la organización)


Evaluar los efectos de las interrupciones, daños e impactos al negocio Establecer la metodología de Análisis de Impacto al Negocio (por sus siglas en

ingles, BIA) (cuestionarios, talleres, entrevistas, ...) Definir y categorizar las funciones y registros críticos Determinar las franjas de tiempo de recuperación y requerimientos de recursos

mínimos Identificar y categorizar los procesos del negocio Determinar tiempos de reemplazo

Por lo que es necesario realizar una evaluación de los procesos y sistemas del negocio, con el objetivo de identificar:

Áreas, funciones y/o procesos sensibles a interrupciones Interdependencia entre procesos internos y externos Impactos financieros de las interrupciones Impactos Operacionales de las interrupciones Sistemas de información críticos para la operación Tiempos objetivo de recuperación (por siglas en inglés, RTO) Puntos Objetivo de recuperación (por sus siglas en inglés, RPO) Clientes y proveedores críticos de la organización Recursos necesarios para la recuperación de operaciones Épocas críticas para la operación del negocio

Obteniendo las siguientes actividades:

Inventario de los procesos críticos del negocio. Secuencia de recuperación de procesos y sistemas críticos Estimación del impacto financiero de una interrupción en los procesos críticos del

negocio.

Capítulo 3



Estimación del impacto operacional de una interrupción en los procesos críticos del negocio.

Identificación de los tiempos de recuperación para cada proceso crítico del negocio. Identificación de los requerimientos mínimos de los procesos o aplicaciones críticas

del negocio durante las operaciones de recuperación. Una vez desarrollado el análisis de riegos, su evaluación en el Impacto al Negocio y conocido su correspondiente diagnóstico, en la Fase II, se procede a efectuar la Fase III, para lo cual se requiere:

Capítulo 3





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP

Fase III.- Desarrollar el plan de continuidad y estrategias de recuperación ante desastres. En esta etapa se identifican las alternativas de recuperación de las operaciones en los marcos de tiempo definidos por los RTO’s identificados, se determinan los recursos mínimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudación y recuperación. Así mismo, se definen los procedimientos de notificación y escalamiento de emergencias, los criterios y procedimientos de activación de los planes de contingencia, al igual que los equipos de reanudación y recuperación, encargados de coordinar las actividades de recuperación en el evento de activación del plan. Actividad 3.1 Diseñar las estrategias de continuidad de la organización. Una vez identificados los requerimientos de continuidad de la organización en la Fase II, se identificarán los recursos necesarios y la forma de consecución de los mismos para cada uno de los controles propuestos (desarrollo, compra de recursos, contrataciones, convenios, etc.). Actividad 3.2 Presentar el análisis costo/beneficio de las estrategias de continuidad. Determinada la estrategia de continuidad, se analizará el impacto de esta sobre la operación del área funcional, tomando los costos tanto de nivel cualitativo como cuantitativo e incluyendo un análisis costo/beneficio de la implantación de un control. Actividad 3.3 Negociación y firma de contratos con los proveedores de servicios. Una vez definida la estrategia de continuidad y el costo/beneficio de la misma, se procede a la negociación y firma de los contratos con los proveedores de servicios de: “Cold Site” (Infraestructura básica, varios días en operar), “Hot Site” (Parcialmente configurado, menos de un día en operar) y “Warm Site” (Listo para operar en pocas horas), este contrato debe incluir, los siguientes términos, inscritos en la Solicitud de Propuestas/Solicitud de Calificaciones “RFP/RFQ”, enviado a los proveedores de servicios:

Configuraciones de los Sistemas de Información hospedados. Plan de Recuperación ante Desastres del sitio alterno. Velocidad de disponibilidad de los Sistemas de Información hospedados.

Capítulo 3



Abonados por sitio. Abonados por área. Preferencia en la disponibilidad de servicios. Póliza de seguros. Período de uso del sitio alterno. Comunicaciones del sitio alterno. Garantías por pérdida parcial o total de información y/o equipos. Auditoría de los servicios ofrecidos. Pruebas de seguridad y disponibilidad. Confiabilidad de servicios.

Actividad 3.4 Adquisición de la infraestructura de TIC’s. Concluida la negociación y firma de los contratos con los proveedores de servicios, se está en condición de: adquirir y dar mantenimiento a la infraestructura tecnológica que satisface el requisito del negocio, para adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI enfocándose en proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TIC’s y estándares de tecnología en continuidad del negocio. Actividad 3.5 Preparación del sitio alterno. Una vez adquirida la infraestructura de TIC’s necesaria, se consolida la información del centro alterno, su ubicación, el mapa de los elementos que están en el sitio, la funcionalidad de cada puesto de trabajo y el responsable de los elementos que allí se encuentran, así como, el procedimiento para ingresar, teniendo en cuenta consideraciones de horario (hábil o no hábil). Actividad 3.6 Definir los procedimientos de recuperación. Finalmente, se procede al diseño de la respuesta inicial, procedimientos de emergencia, activación de los equipos de recuperación de desastres y continuidad del negocio, activación del sitio de recuperación (recuperación en el sitio alterno, recuperación de actividades en paralelo o recuperación en el sitio original) y notificaciones, requerimientos de los usuarios finales, así como, monitoreo de la recuperación, progreso de la reanudación y revisiones para conducir a la post-reanudación.

Capítulo 3



Después de realizado el desarrollo de la estrategia de continuidad, se obtendrán como resultado, la identificación y documentación de:

Categorías de Estrategias: Centro de procesamiento de datos:

o Hardware requerido en el centro de procesamiento de datos. o Software requerido en el centro de procesamiento de datos. o Redes requeridas en el centro de procesamiento de datos. o Backup y recuperación de la información

Telecomunicaciones (voz y datos) Áreas de trabajo

o Espacio o Muebles o Equipos

Personal Seguros

Recuperación del Centro de Procesamiento de Datos: Alternativas de recuperación:

o Contratación de sitios de recuperación externos (Infraestructura básica: varios días en operar “Cold Sites”; Parcialmente configurado: menos de un día en operar “Hot Sites”, Listo para operar en pocas horas “Warm Sites”, Instalaciones duplicadas)

o Recuperación interna o Acuerdos recíprocos o Procedimientos manuales o Reducción de servicios o Suspensión de servicios o Combinación de estrategias.

Calidad en el Servicio “Quality of Service” (QoS): Alta Disponibilidad o “High Availability”

o Implementación de controles preventivos, detectivos y correctivos para procurar la disponibilidad continúa de los sistemas críticos de la organización.

Tolerancia a Fallas “Fault Tolerance” o Un sistema “fault-tolerant” puede continuar brindado servicios a pesar de

fallas de software o hardware. Balanceo de Cargas “Load Balancing”

Capítulo 3



o Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeño (performance).

Alta Disponibilidad: Redundancia en los Puntos Probables de Falla: SPF’s (Single Point of

Failure) ¿Cuánto tiempo de Caída de los Sistemas “downtime” estamos dispuestos a

aceptar?

Cuadro 3.5 Disponibilidad de los Servicios [Fuente DRII, 2010].

QoS

Porcentaje de disponibilidad Tiempo de “Downtime”

Clase 1 90 % 52.560 minutos/año = 36,5 días/año Clase 2 99 % 5.256 minutos/año = 3,65 días/año Clase 3 99.9 % 525,6 minutos/año = 8,76 días/año Clase 4 99.99 % 52,56 minutos/año Clase 5 99.999 % 5,26 minutos/año


Desarrollar alternativas de estrategias para: Refinar los requerimientos mínimos para la recuperación. Incluyendo consideraciones para:

o RTO’s o Capacidad del Sitio de Recuperación o Requerimientos de comunicaciones (voz y datos) o Viabilidad de recuperación de acuerdo al planteo del peor escenario o Requerimientos de áreas de trabajo (espacio, equipos, insumos, archivos

vitales, etc.) o Requerimientos de recursos humanos o Situación geográfica y de transporte.

Identificar las alternativas viables para la recuperación: Contratación de sitios de recuperación externos (Infraestructura básica:

varios días en operar “Cold Sites”; Parcialmente configurado: menos de un día en operar “Hot Sites”, Listo para operar en pocas horas “Warm Sites”, Instalaciones duplicadas)

Recuperación interna (Dentro de las instalaciones de la organización) Acuerdos recíprocos (Sitios alternos y recuperación interna)

Capítulo 3



Procedimientos manuales de recuperación. Respuesta de reducción de servicios de TIC’s Suspensión de servicios de TIC’s Combinación de estrategias.

Seleccionar una estrategia de recuperación eficiente. Selección del Proveedor: Hacer un análisis inicial de los proveedores existentes. Preseleccionar los más viables para el proyecto de acuerdo a:

o Importancia o Experiencia o Clientes actuales o Referencias o Respaldo financiero.

Confeccionar una Solicitud de Propuestas/Solicitud de Calificaciones (Por sus siglas en inglés “RFP/RFQ”) para enviar a los proveedores preseleccionados.

Solicitud de Propuestas/Solicitud de Calificaciones “RFP/RFQ”: Lineamientos básicos de la propuesta

o Consideraciones Generales o Consideraciones de Seguridad Informática

Alternativas a Cotizar – por ejemplo: o Alternativa 1: “Cold Site” (Infraestructura básica, varios días en operar) o Alternativa 2: “Hot Site” (Parcialmente configurado, menos de un día en

operar) o Alternativa 3: “Warm Site” (Listo para operar en pocas horas)

Detalle de equipos y dispositivos a cotizar Respuesta a Emergencias:

Identificar componentes de los procedimientos de respuesta a emergencia Especificar los procedimientos de respuesta a emergencia Identificar requerimientos de control y autoridad Elaborar procedimientos de control y autoridad Respuesta a emergencia y recuperación Salvamento y restauración

Respuesta a emergencia y recuperación: Dividir la respuesta ante una emergencia en 5 fases:

o Fase de Prevención: Prevención de los activos corporativos, manejo de riesgos.

Capítulo 3



o Fase de Respuesta: Manejo de crisis, contener el daño, activar organización de recuperación.

o Fase de Reanudación: Reanudar las operaciones sensibles al tiempo, en la localidad alterna.

o Fase de Recuperación: Recuperar todas las demás operaciones. o Fase de Restauración: Reparar/restaurar facilidades y contenidos

“Regreso a Casa”. Después de realizado el desarrollo del Plan de Continuidad, se obtendrán como resultados, la identificación y documentación de:

Identificar requerimientos para el desarrollo de los planes. Definir requerimientos de control y administración de la continuidad. Identificar y definir un formato y la estructura principal de los componentes de los

planes. Elaborar un borrador de los planes. Definir procedimientos de gestión de crisis y continuidad del negocio. Definir las estrategias de evaluación de daños y reanudación. Desarrollar una introducción general a los planes. Desarrollar la documentación de los equipos de operación del negocio. Desarrollar la documentación de los equipos de recuperación de tecnología de

información. Desarrollar el sistema de comunicaciones. Desarrollar los planes de los usuarios finales de aplicaciones. Implementar los planes. Establecer los procedimientos de control y distribución de los planes.

Desarrollado el plan de continuidad y su estrategia de recuperación ante desastres, en la Fase III, se inicia la Fase IV de capacitación del personal, prueba y ejercitación del correspondiente Plan de Continuidad, para lo cual se requiere:

Capítulo 3





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP

Fase IV.- Capacitar, probar y ejercitar. Determinar la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupción, evaluando el equipo y personal a cargo de cada actividad crítica, realizando una prueba al sistema demostrando competencia y capacidad de continuidad del negocio, a través de la revisión de los estándares y mejores prácticas, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a estándares predefinidos. Actividad 4.1 Definir objetivos de entrenamiento. Establecer las estrategias y procedimientos de los programas de entrenamiento, para proveer de direccionamiento, soporte, metodologías y estándares para garantizar la continuidad del negocio y servicios de TIC´s; con ello, se está en condición de implementar varios tipos de programas de entrenamiento. Actividad 4.2 Desarrollar e implementar varios tipos de programas de entrenamiento. Definidos los objetivos de entrenamiento, se desarrollan los programas de capacitación en todos los niveles de la organización en lo referente a los planes de continuidad de los procesos del negocio y servicios de TIC, incluyendo las definiciones de los términos usados, los objetivos del plan, los supuestos y limitaciones, el análisis de riesgos y su impacto al negocio realizado y los escenarios contemplados, así como las estrategias y procedimientos definidos, asignando a cada uno de los participantes su rol dentro de dichos planes; de esta manera se pueden identificar algunas otras oportunidades de educación. Actividad 4.3 Identificar otras oportunidades de educación Los gerentes y el personal de Recursos Humanos deben permanecer alerta a los tipos de capacitación que se requieren, cuándo se necesitan, quién lo precisa y qué métodos son mejores para dar a los empleados el conocimiento, habilidades y capacidades necesarias. Para asegurar que la capacitación sea oportuna y esté enfocada en los aspectos prioritarios los gerentes deben abordar la evaluación de necesidades en forma sistemática y con ello, iniciar la planificación de los escenarios de prueba.

Capítulo 3



Actividad 4.4 Descripción de las pruebas. Esta etapa se orienta a probar con antelación y coordinar ejercicios, documentando y evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una adecuada recuperación de las operaciones de TI, de acuerdo con la dirección estratégica del negocio, y de ésta manera iniciar con la planificación de los escenarios de prueba y su periodicidad. Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. Incluir un grupo de administración, logística, recursos, listas de verificación, y estructura, especificando las estrategias que se probarán. Posterior a la planificación del ejercicio se harán las consideraciones del programa, se documentará el ejercicio junto con la información de los participantes, asegurando la vigencia de las pruebas, indicando su periodicidad y sus responsables; para su posterior ejercitación. Actividad 4.6 Ejercitación de las pruebas.

Descrito y planificado el escenario de prueba, se debe realizar una bitácora de ejecución con los resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecución, resultado y responsable, para su posterior análisis y evaluación con el objetivo de tenerlos en cuenta en pruebas posteriores junto con sus recomendaciones. Con la realización del ejercicio se determinan varios aspectos, entre los cuales se encuentran:

Identificar el nivel de madures del Plan de Continuidad y Recuperación ante Desastres de la organización.

Verificación y validación a los planes de continuidad del negocio, gestión de crisis y estrategias son viables, efectivas, actualizadas, ajustadas al propósito y permiten la gestión, control y coordinación de eventos y estrategias del Plan a nivel táctico y operacional.

Verificación y validación que los miembros y personal se familiarizan con el entendimiento de roles, responsabilidades y autoridades en la operación de la continuidad del negocio y proceso de administración de crisis.

La formación de conciencia involucrando individuos usando la continuidad del negocio y los planes de gestión de crisis.

Capítulo 3



Pruebas técnicas, logísticas, de administración y otras de sistemas operacionales de continuidad del negocio y planes de gestión de crisis.

Probar la organización e infraestructura de la gestión de continuidad del negocio que incluye centros de comando, áreas de trabajo, recursos de recuperación de tecnología y telecomunicaciones.

El ensayo de la disponibilidad y traslado del personal. Verificación y validación que el plan de continuidad de negocio refleja las actuales

prioridades del negocio. La oportunidad de identificar defectos y mejorías de la organización del Plan,

administración de crisis y planes de continuidad de negocio. Documentación y evaluación del ejercicio.

Para ello, se propone las siguientes acciones:

Establecer un programa de ejercicios (pruebas) Determinar requerimientos de los ejercicios Definir escenarios de desastre Establecer criterios de evaluación y documentar los hallazgos Crear un cronograma de ejercicios Crear un plan de control y reporte de los ejercicios Facilitar la realización de los ejercicios Reporte post-ejercicios Retroalimentar y monitorear los resultados de los ejercicios Definir un cronograma de mantenimiento de los planes Formular los procedimientos de control de cambios Establecer procedimientos para informar el estado de los planes Objetivos de auditoria

Desarrollado el programa de capacitación del personal, prueba y ejercitación del correspondiente Plan de Continuidad, en la Fase IV, se inicia la Fase V de Auditoria, Mantenimiento y Actualización del correspondiente Plan de Continuidad, para lo cual se requiere:

Capítulo 3





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP

Fase V.- Auditoría, Mantenimiento y Actualización. En esta fase se revisan los estándares de Continuidad del Negocio y Recuperación ante Desastres de TIC´s aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estándares predefinidos, desarrollando una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. Actividad 5.1 Auditoria al Plan de Continuidad. Revisar los estándares de Continuidad del Negocio y Recuperación ante Desastres de TIC´s aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estándares predefinidos, documentado el proceso para realizar un plan de acción y un programa de monitoreo. Una vez efectuada la auditoría, se procede a desarrollar las políticas de mantenimiento, en base a las observaciones hechas por la misma. Actividad 5.2 Mantenimiento al Plan de Continuidad. Las modificaciones al Plan de Continuidad, se basan principalmente en las observaciones efectuadas por la Auditoría, por lo que se debe hacer una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. Cada vez que se modifique el plan, se deberá llevar una bitácora en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento cambiado, la descripción de la modificación, quién la hizo y si ya se distribuyó o no. Lo anterior, da hincapié al desarrollo de los mecanismos de almacenamiento, actualización y distribución. Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. Una vez terminado el plan de continuidad, éste se deberá almacenar en diferentes medios y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnéticos no están disponibles en el momento de un incidente. Dichas copias se deben almacenar también en los centros alternos.

Capítulo 3



Actividad 5.4 Mecanismo de actualización del Plan de Continuidad. Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran importancia verificar que todas las copias contengan la misma información. Actividad 5.5 Mecanismo de distribución del Plan de Continuidad. Cada vez que se modifique o actualice el plan, se deberán distribuir y divulgar las nuevas actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, éstas se tendrán que realizar con la mayor brevedad posible. La auditoría revisará varios aspectos en la organización algunos de ellos son:

Resistencia (aplicación de planes y estrategias en crisis) Políticas, estrategias, marcos y planes, continúa bajo presión de acuerdo a

estrategias, prioridades y objetivos. Políticas, estrategias, marcos y planes, continúa bajo presión de acuerdo a las

directrices de buenas prácticas. El Plan es competente de acuerdo al propósito Los planes y soluciones son efectivos y actualizados de acuerdo al propósito Implementación de programas. Documenta el control, procesos y procedimientos operando efectivamente.


Definición y documentación del programa de auditoria. Auditar el plan de auditoria. Buscar expertos internos y externos. Aplicar los estándares de auditoria. Actualizar estrategias del Plan, normas de requerimientos, legislación, directrices de

buenas prácticas, estándares. Realizar programas de conciencia y formación. Actualizar análisis de impacto, estrategias y planes a ser auditados.

Capítulo 3



Después del desarrollo de ésta fase, se obtendrán como resultados, la identificación y documentación de:

Pruebas definidas y documentadas para la gestión y gobierno pro activo del programa de mantenimiento y monitoreo del Plan respecto a actividades de misión critica y sus dependencias.

Detalles de todos los cambios de estrategias del Plan documentados con toda la historia de estrategias y detalles de control de versiones.

Identificación e inclusión de cambios en los sistemas y proceso de la organización Verificación y validación de análisis de impacto y de riesgos basados en las

estrategias y planes de continuidad. Verificación y validación que las estrategias y planes son actualizados, precisos y

completos. Verificación y validación que los planes de continuidad del negocio siguen una

secuencia lógica, formato, estructura conforme a las directrices y estándares de buenas prácticas.

Verificación y validación que los cambios de procedimiento y procesos son puestos. Verificación y validación que el personal tiene entendido los roles de

responsabilidad y le es claro el plan. Disparadores de actualización del Plan de Continuidad:

Cambios en el personal clave. Cambios en el organigrama (Ej. Creación de nuevas posiciones). Cambios de dirección / teléfono de algún componente del equipo de recuperación. Cambios en cualquier equipo o dispositivo informático incluido dentro del esquema

de recuperación. Cambio en algún procedimiento. Reubicación de instalaciones. Nuevos proveedores para los recursos críticos. Cambios en la configuración de los sistemas o los dispositivos de almacenamiento

(Storage). Cambios en la configuración de comunicaciones o de las redes.

Capítulo 3



Por último, se deben tener en cuenta los elementos mínimos en las revisiones del plan:

Requerimientos operacionales Requerimientos de seguridad Procedimientos técnicos Hardware, software y otros equipos (tipos, especificaciones y cantidad) Nombres e información de contacto de los miembros de los equipos de

recuperación Nombres e información de contacto de los proveedores Archivos vitales (impresos y electrónicos).

En el presente capítulo, se estudió como una amenaza nunca va a desaparecer, siempre estará presente en todos los procesos de una organización. Por lo anterior, buscando un mejoramiento permanente en los estándares de respuesta y continuidad, se ha esforzado en perfeccionar y formalizar el método expuesto, proporcionando una secuencia definida de pasos para elaborar de manera sistemática un plan para la continuidad y recuperación ante desastres en los Sistemas de Tecnologías de la Información y Comunicaciones aplicado a la Industria de la Manufactura, tomando como base los Marcos de Referencia: de la Norma BS 25999, ISO/IEC 24762 y la metodología DRII sobre Continuidad del Negocio. En el siguiente capítulo, se aplicará la metodología propuesta, se estudiará la criticidad de las TIC´s en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TIC´s estén disponibles el mayor tiempo posible, que obligue a que se reanude rápidamente su funcionamiento, so pena de que su interrupción perjudique o degrade los objetivos y la calidad de la actividad en concreto.

Capítulo 4 Aplicación de la Metodología. Caso de Estudio: Empresa de Manufactura de Empaques de Cartón. Metodología para la Creación de un Plan para la Continuidad y Recuperación ante Desastres en los Sistemas de Tecnologías de la Información y Telecomunicaciones en la Industria de la Manufactura.

Capítulo 4

Aplicación de la metodología propuesta


CAPÍTULO 4. -

APLICACIÓN DE LA METODOLOGÍA. CASO DE ESTUDIO: EMPRESA DE MANUFACTURA DE EMPAQUES DE CARTÓN.

En el capítulo anterior, se propone una metodología para la continuidad y recuperación ante desastres de TIC´s en la industria de la manufactura, por lo que una aproximación acertada es conocer con detalle la organización que se quiere proteger. No sólo se deben identificar los riesgos, también evaluarlos para posteriormente decidir sobre las medidas que puedan mitigarlos. Para ello, se deberá identificar los activos de la empresa; así como, las debilidades que puedan padecer, estimando probabilidades de ocurrencia y asignándoles una importancia para la misión de la empresa. En el presente capítulo, se aplicará la metodología propuesta, se estudiará la criticidad de las TIC´s en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TIC´s estén disponibles el mayor tiempo posible, que obligue a que se reanude rápidamente su funcionamiento, so pena de que su interrupción perjudique o degrade los objetivos y la calidad de la actividad en concreto.

4.1 Introducción. Hoy las empresas son más dependientes de la tecnología y compiten en escenarios complejos debido a la globalización, se hacen más susceptibles a que una serie de amenazas puedan penetrar sus vulnerabilidades y causarles daño, al grado de dejarlas fuera del mercado. Los mercados y la cadena de suministros exigen hoy en día a las empresas poder demostrar que se posee un “plan de continuidad del negocio” ante la supuesta presencia de una tragedia. La empresa tiene que asegurar a terceros que ante la ocurrencia de un evento mayor o menor, ella seguirá operando. Se necesita demostrar confianza de ser un proveedor confiable; la metodología propuesta, está concentrada en proteger los procesos vitales del negocio, en el escenario que se presente un incidente crítico, se busca que los componentes esenciales de la organización sigan operando.

Capítulo 4





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP


• A 1.1.‐ Conocer el medio ambiente

general. •A 1.2.‐ Identificar la

estructura organizacional. de la

empresa.



•A 1.5.‐ Definición de objetivos, alcance y escenarios del problema.


de los directivos.




riesgos.




desastres.





servicios.


TIC’s.


•A 3.6.‐ Definir los procedimientos de

recuperación.



entrenamiento.





las pruebas.



las pruebas.


•A 5.1.‐ Auditoría.

•A 5.2.‐ Políticas de mantenimiento.

•A 5.3.‐ Mecanismo de almacenamiento.

•A 5.4.‐ Mecanismo de actualización.

•A 5.5.‐ Mecanismo de distribución.


4.2 Desarrollo de la metodología propuesta. Estudio de la criticidad de las TIC´s en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TIC´s estén disponibles el mayor tiempo posible, que obligue a que se reanude rápidamente su funcionamiento, so pena de que su interrupción perjudique o degrade los objetivos y la calidad de la actividad en concreto. Fase 1. Conocer y planificar el medio ambiente organizacional. Establecer la necesidad de desarrollar el Plan de Continuidad en la organización, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante: conocer previamente en términos generales, la naturaleza de la situación, en cuestión. Por tal motivo, es necesario investigar los antecedentes de la problemática a tratar; lo cual, permitirá identificar el medio ambiente y las áreas donde se desenvuelve el problema, así como los elementos y relaciones fundamentales que serán objeto de estudio [Galindo, 2005]. Actividad 1.1 Conocer el medio ambiente general. Conocer el supra o macro sistema: Empresa. Es necesario conocer su visión, misión, políticas, sus planes y estrategias correspondientes, los objetivos a cumplir para esos fines, las funciones que definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo.

La empresa objeto de estudio, está considerada como una de las principales convertidoras de empaques en las Artes Gráficas dentro de América Latina, dedicada a la producción de papeles liner, médium y cartoncillo para caja plegadiza, así como a la manufactura de cajas corrugadas, plegadizas y pre-impresas. Inició sus actividades como un productor de cartón que abastecía un pequeño volumen al mercado, pero a través de los años sus actividades crecieron y la calidad del cartón dominó el mercado mexicano. Ahora abastecen cartón y empaque a los principales consumidores a lo largo de la República Mexicana. Cuenta con dos plantas de conversión y tres molinos de papel, en el último de ellos, se concentró la mayor tecnología en la producción de papel y cartón que actualmente compite con las empresas más desarrolladas del ramo a nivel mundial y la más avanzada de Latinoamérica.

Capítulo 4



El personal es la razón de ser de la empresa. A través de su involucramiento y dedicación se ha logrado como resultado el crecimiento de la organización, en la figura 4.1, se detalla la estructura organizacional de la empresa en estudio. La figura 4.1, muestra el diagrama tipo mapa mental de la organización, que ayuda a la integración de los elementos identificados permitiendo la visión gráfica e integral del contexto:

Visión: Consolidación

como una excelente opción, competitiva en el

mercado nacional, con

reconocimiento a nivel internacional

Misión: Proporcionar soluciones de empaque y embalaje de

papel y cartón con calidad y

servicio.

Valores: Calidad,

comunicación, congruencia, honestidad,

lealtad, respeto, responsabilidad,

trabajo en equipo.

Política de Calidad:

Asegurar que los productos fabricados

cumplan los requisitos de

calidad

Aseguramiento de Calidad: El sistema de

calidad adoptado cumple con la

norma ISO 9001:2000

Ecología: Planta recuperadora de solventes, planta

de tratamiento de aguas, manejo y

control de residuos, generación de

energía eléctrica.

Tecnología: Integración vertical, la mayoría de

nuestros procesos son controlados y operados por

nosotros directamente.

Preprensa: Diseño estructura,

preprensa, transporte,

Papel: Fabricamos

varios tipos de papeles y

cartoncillos reciclados, en

mayor porcentaje para

autoconsumo.

Plegadizo: Impresión,

Rotograbado, Suaje, Engomado

Corrugado y Preimpreso:

Corrugar y laminar flautas tipo F, E, B, C,

CB y Single-Face. Manufactura de

cajas especiales y estándar,

terminaciones especiales.

Empresa objeto de estudio.

Figura 4.1 Diagrama tipo mapa mental de la Organización.

Una vez conocido el medio ambiente general, se procede a identificar la estructura organizacional.

Capítulo 4





general.

• A 1.2.‐ Identificar la estructura







de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 1.2 Identificar la Estructura Organizacional de la Empresa o Institución. Un aspecto fundamental en el conocimiento del medio ambiente es: identificar la estructura organizacional de la empresa o institución, y de las áreas particulares de desarrollo. Esto ayudará a ubicar las áreas que apoyará el sistema; así como, a quien se deberá entrevistar y pedir información para la construcción del mismo.

DIRECTOR GENERAL

COMITÉ EJECUTIVO

SECRETARIA DE COMITÉ

DIRECTOR COMERCIAL

VALLEJO

GERENTE DE LOGÍSTICA

GERENTE DE MANTENIMIENTO

ELÉCTRICO

GERENTE DE PRODUCCIÓN CARTONCILLO

CONTRALOR

GERENTE TESORERÍA

GERENTE COMPRAS Y ALMACENES

GERENTE TÉCNICO

GERENTE DE VENTAS

CARTONCILLO PAPEL

GERENTE SERVICIO A

CLIENTES

GTE. DE VTAS. PLEGADIZO Y

PRE-IMPRESO Y CORRUGADO

DIRECTOR DE PLANTA TIZAYUCA

DIRECTOR CORP. DE AUDITORIA

DIRECTOR DE CONVERSIÓN

GERENTE DE TALLER MECÁNICO

GERENTE DE ROTOGRABADO

GERENTE CORP. DE PLANTA DE

FUERZA

GERENTE CORPORATIVO

ISO 9000

DIRECTOR CORP. DE ADMON. Y FINANZAS

LEGAL

GERENTE CORPORATIVO

DE SISTEMAS

DIRECTOR CORP. DE RECURSOS

HUMANOS

GERENTE DE CALIDAD CONVERSIÓN

GERENTE DE INGENIERÍA

ISO

Septiembre/2008

GERENTE GENERAL

COORDINADOR DE MATERIAS

PRIMAS


PRIMAS

Área Funcional de Apoyo, TI.

Áreas Funcionales de Manufactura.

Áreas Funcionales de Distribución.

Áreas Funcionales de Finanzas.

Figura 4.2 Organigrama general de la empresa objeto de estudio.

La capacidad de producción es el máximo nivel de actividad que puede alcanzarse con la estructura productiva antes mencionada. El estudio de la capacidad es fundamental para la gestión empresarial, permite analizar el grado de uso que se hace de cada uno de los recursos en la organización y así tener oportunidad de optimizarlos.

Capítulo 4



Una vez ubicada el área o áreas principales ahora, se debe de ubicar el área particular donde se desarrollará el Plan de Continuidad y Recuperación ante desastres, ello ayuda a conocer el medio ambiente más cercano al desarrollo del proyecto: para tal fin, en la figura 4.3, se presenta el organigrama particular del área funcional de apoyo:

DIRECTOR GENERAL

COMITÉ EJECUTIVO

SECRETARIA DE COMITÉ

DIRECTOR COMERCIAL

VALLEJO

GERENTE DE LOGÍSTICA


ELÉCTRICO

GERENTE DE PRODUCCIÓN

CARTONCILLO

CONTRALOR

GERENTE TESORERÍA

GERENTE COMPRAS Y ALMACENES

GERENTE TÉCNICO

GERENTE DE VENTAS

CARTONCILLO PAPEL

GERENTE SERVICIO A

CLIENTES

GTE. DE VTAS. PLEGADIZO Y

PRE-IMPRESO Y CORRUGADO

DIRECTOR DE PLANTA TIZAYUCA

DIRECTOR CORP. DE AUDITORIA

DIRECTOR DE CONVERSIÓN

GERENTE DE TALLER MECÁNICO

GERENTE DE ROTOGRABADO

GERENTE CORP. DE PLANTA DE

FUERZA

GERENTE CORPORATIVO

ISO 9000


LEGAL

GERENTE CORPORATIVO

DE SISTEMAS


HUMANOS

GERENTE DE CALIDAD CONVERSIÓN

GERENTE DE INGENIERÍA

ISO

Septiembre/2008

GERENTE GENERAL


PRIMAS


PRIMAS

Área Funcional de Apoyo, TI.

Áreas Funcionales de Manufactura.

Áreas Funcionales de Distribución.

Áreas Funcionales de Finanzas.

GERENTE CORP. DE SISTEMAS

LÍDER DE PROYECTO

NOMINA Y RH

GERENTE DE DESARROLLO DE SISTEMAS

LÍDER DE PROYECTO FINANZAS

LÍDER DE PROYECTO

DISTRIBUCIÓN

LÍDER DE PROYECTO

MANUFACTURA

GERENTE SOPORTE TÉCNICO

LÍDER TELECOMUNICA-

CIONES

LÍDER ADMINISTRACIÓN

DE SISTEMAS

LÍDER SOPORTE TÉCNICO

PLANEACIÓN, EVALUACIÓN Y SEGUIMIENTO

DESARROLLO TECNOLÓGICO

PLANEACIÓN Y DESARROLLO

ISO

Septiembre/2008

Figura 4.3 Organigrama del área funcional de apoyo TI, de la empresa objeto de estudio.

Como una siguiente actividad, se procede a definir la Arquitectura de Macroprocesos de la Organización.

Capítulo 4





general.



• A 1.3.‐ Definir la arquitectura de macroprocesos.





de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 1.3 Definir la Arquitectura de Macroprocesos. Una vez ubicada el área o áreas principales se debe, identificar una colección de procesos interrelacionados que generan un resultado bien definido dentro del funcionamiento de la empresa (macroproceso).

Existen procesos de negocios bien definidos y diseñados que ejecutan las actividades de la organización, éstos se pueden tipificar en cuatro grandes grupos o macro procesos, Así, la estructura de procesos de la empresa objeto de estudio, se muestra en la Figura 4.4, donde tiene los siguientes macro procesos: Diseño de productos que equivale a Macro2; Desarrollo del negocio, a Macro3; Procesos Habilitadores, a Macro4; y Cadena con el cliente y Cadena de suministros, que juntos equivalen a Macro1:

Procesos habilitadores

Diseño de productos

Desarrollo del negocio

Cadena con el cliente

Cadena de suministros

Recursos Clientes

Planificación

Investigación

Diseño

Integración

Corrección

Planificación

Abastecimiento

Producción

Distribución

Devolución

Planificación

Estudio de mercado

Análisis del negocio

Diseño del negocio

Revisión del negocio

Planificación

Contacto

Venta

Soporte

Relación

Recepción, validación y aprobación

3.1

Definir método de contacto

3.2

Capturar necesidades del

cliente

3.3

Determinar perfil del cliente

3.4

Informar reglas del negocio

3.5

Liberación para venta

3.6

Tablas para cada proceso y subproceso ‐ Métricas ‐ Mejores prácticas

Nivel 4: Actividades específicas para la empresa y proceso

en particular

Nivel 3: Subprocesos

Nivel 1: Procesos Nivel 2: Variaciones

Nivel 0: División organizacional en cuatro dominios

principales

Figura 4.4 Macro procesos de la empresa objeto de estudio.

Capítulo 4



En la manufactura de productos de papel, el Producto al cliente (externo) es, por ejemplo, empaques o rollos de papel; el Flujo físico está compuesto de los insumos necesarios: celulosa, tintas y otros productos químicos; la Ejecución es la transformación en máquinas papeleras de los insumos en productos; la Gestión va desde la atención a los clientes para recibir pedidos hasta la confección de planes y programas de producción para las máquinas, y un seguimiento para asegurar el cumplimiento de éstos y la satisfacción de los clientes; Mantención del estado son los sistemas que permiten capturar lo que sucede en Gestión y Ejecución (pedidos, especificaciones, planes, programas, trabajo ejecutado, etc.) para saber en todo momento la situación del proceso y retroalimentarlo a las actividades del mismo. La figura 4.5, incluye los procesos y relaciones modelados según las convenciones de IDEF0. La Producción y entrega de productos o servicios es un proceso de Ejecución; Gestión de producción y entrega, Administración relación con proveedores y Administración relación con el cliente son instancias de un proceso de Gestión; y Mantención del estado corresponde al proceso homónimo:

Administración

Requerimientos e información de

Gestiónproducción y

Mensajerequerimientosproductos y

relación con

Administraciónrelación conproveedores

Producción yentrega bien

Mantenciónestado

el cliente

entrega

o servicio

1

2

3

4

5

mercado

Cliente e información

Informaciónproveedores

Necesidades einformación control

Otros recursos

Estado 1 Estado 2

Información de otros procesos

Estado 3 Estado 4

Información estado

Insumos y otros recursosproveedores

Necesidades insumos y otros

servicios

Cliente a procesoy antecedentesproducto o servicio

Cambios de estado

Nuevos productosy serviciosPlanes

Mensaje plan einstrucciones

Informacion almercado

Respuestarequerimientos

Informacion y

órdenes a proveedores

Ideas cambio

productos yprocesos producción

Producto o servicioal cliente

Cliente procesado

Información a

otros procesos

Figura 4.5 Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la empresa objeto de estudio.

Capítulo 4





general.




• A 1.4.‐ Definir equipos de

planificación y sus responsabilidades.




de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Una vez conocido el medio ambiente organizacional, se procede a la definición de los equipos de planificación: Actividad 1.4 Definir equipos de planificación y sus responsabilidades. Para comenzar a construir el plan de continuidad de cada área, se conformará un equipo interdisciplinario apoyado por la dirección general de la entidad y coordinado por la dirección del área funcional, identificando al personal clave de TI y usuarios para la toma de decisiones, detallando los roles e integrantes de cada equipo y asignando las responsabilidades en caso de desastre.

Los equipos de planificación propuestos se detallan en la figura 4.6, los cuales se obtienen a partir de la estructura organizacional de la empresa y la arquitectura de macroprocesos identificadas anteriormente, donde esta última nos detalla los procesos críticos a considerar en la fabricación del producto:

DIRECTOR GENERAL

EQUIPO DE RESPUESTA

A INCIDENTES


ELÉCTRICO

GERENTE DE COMPRAS Y ALMACENES

GERENTE DE TALLER

MECÁNICO



HUMANOS

ISO

Septiembre/2008

GERENTE GENERAL

Áreas Funcionales de Manufactura, Distribución y Finanzas.

Subáreas Técnicas.

Área Funcional de Apoyo ,TI

EQUIPO DE ACCIÓN DE

EMERGENCIA

LÍDER DE PROYECTO FINANZAS

LÍDER DE PROYECTO

DISTRIBUCIÓN

LÍDER DE PROYECTO

MANUFACTURA

EQUIPO ADMINISTRADOR

DE LA EMERGENCIA

LÍDER TELECOMUNICA-

CIONES

LÍDER ADMINISTRACIÓN

DE SISTEMAS

LÍDER SOPORTE TÉCNICO

EQUIPO DE EVALUACIÓN

DE DAÑOS

Figura 4.6 Equipos de trabajo para respuesta a incidentes.

Capítulo 4



El cuadro 4.1, detalla las funciones de los diferentes elementos que integran los equipos de respuesta a incidentes de la estructura anterior:

Cuadro 4.1 Funciones de los equipos de respuesta a incidentes (Inicio).

Equipo Empleado Función

Equipo de Acción de Emergencia

Coordinador

Dirigir la definición de objetivos, políticas y actividades críticas. Coordinar y organizar directores por cada fase del proyecto. Controlar el proceso del Plan a través de métodos de control efectivo y

gestión de cambio. Presentar el proceso a Directivos y personal. Desarrollar el Plan y presupuesto para iniciar el proceso. Definir y recomendar procesos de estructura y gestión. Dirigir el proyecto a desarrollar e implementar el proceso del Plan.

Gerente General

(Manufactura) Participar en las sesiones de trabajo programadas para la evaluación de los

riesgos e impactos del proceso bajo su responsabilidad. Aportar su conocimiento del proceso de negocios en el análisis y diseño de

los procedimientos de recuperación. Liderar la recuperación del proceso de negocios a su cargo en los

simulacros y prácticas, y en las situaciones reales. Identificar e implantar mejoras al plan de contingencia y a los

procedimientos de recuperación bajo su responsabilidad. Servir de enlace entre los equipos de acción de emergencia, administración

de emergencia y evaluación de daños. Mantenimiento de la información del estado de recuperación. Coordinar con otros equipos de recuperación.

Gerente de Compras y

Almacenes (Distribución)

Director de Finanzas

(Finanzas)

Equipo de Evaluación de

Daños

Coordinador



Gerente de

Mantenimiento Eléctrico

Determinar el daño en la red eléctrica y asegurar la provisión del equipo de reemplazo.

Coordinar con entes externos para restaurar el servicio. Probar que la red eléctrica se haya establecido adecuadamente. Coordinar con otros equipos de recuperación. Apreciación de daños, identificación de causas e impactos y estimación del

tiempo de recuperación. Supervisar equipos de pruebas, sistemas y redes. Implantar reglamentaciones y procedimientos de seguridad.

Gerente de Taller Mecánico

Notación para el marcado de las funciones:

Función Crítica Función Muy Importante Función Importante

Capítulo 4



Cuadro 4.1 Funciones de los equipos de respuesta a incidentes (Final).

Equipo Empleado Función

Equipo Administrador de la

Emergencia

Coordinador



Líder de proyecto

Manufactura. Coordinar la recuperación de las aplicaciones en el computador alterno y en

el computador principal, en caso necesario. Reconstruir el ambiente de operación de las aplicaciones que residen en los

servidores. Soportar el esfuerzo de los usuarios para actualizar los datos de la

aplicación. En caso necesario, desarrollar un plan de trabajo detallado para moverse

del sitio-alterno al sitio principal.

Líder de proyecto

Distribución.

Líder de Proyecto

Finanzas.

Líder de proyecto Telecomunicaciones.

Desarrollar y documentar las configuraciones de las comunicaciones de datos. Determinar el daño en la red de comunicaciones y asegurar la provisión del

equipo de reemplazo. Coordinar la instalación del software del sistema operativo que permita la

restauración de las comunicaciones. Ordenar e instalar el hardware necesario para establecer comunicaciones

con las oficinas. Coordinar con entes externos para restaurar el servicio y ordenar las

comunicaciones. Probar que las comunicaciones se hayan establecido adecuadamente.

Líder de proyecto Administración de

Sistemas.

Asegurar la disponibilidad de los respaldos necesarios en la recuperación. Restaurar archivos y sistema operativo en el sitio de recuperación. Elaborar calendarios de operaciones en el sitio de recuperación. En caso necesario, coordinar actividades necesarias para restaurar las

facilidades en el sitio principal o en la nueva ubicación. Ordenar e instalar el hardware necesario para el procesamiento normal en

el sitio permanente.

Líder de proyecto Soporte Técnico.

Analizar los reportes de daños. Reportar el estado de la recuperación y cualquier otro problema que surja. Notificar al personal del equipo de recuperación de TI. Servir como punto focal para todas las consultas planteadas por el personal

de recuperación del área de Tecnología de Información. Habilitar el sitio alterno de tal forma que esté listo para recuperar las

aplicaciones.

Notación para el marcado de las funciones:

Función Crítica Función Muy Importante Función Importante

Capítulo 4





general.





• A 1.5.‐ Definición de objetivos, alcance y



de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 1.5 Definición de objetivos, alcance y escenarios del problema. Los equipos definirán los objetivos, el alcance y los escenarios que se abarcarán con el plan que se está construyendo.

El cuadro 4.2, define para cada equipo de respuesta a incidentes, el objetivo, alcance y escenarios de interrupción de servicios, como disipador del Plan de Continuidad:

Cuadro 4.2 Definición de objetivos, alcance y escenarios de los equipos de respuesta a incidentes.

Equipo Objetivo Alcance Escenarios

Acción ante emergencias.

Coordinar la primera respuesta ante una emergencia para evitar la interrupción de los servicios críticos de la organización.

Acciones a seguir para corregir la interrupción de servicios que puedan provocar eventos desastrosos.

Suministro de Energía Eléctrica. Telecomunicaciones. Gas Natural. Amenazas de Bomba. Empleados Inconformes. Empleados Mal Capacitados. Fallas en el Equipo de Soporte del

Centro de Cómputo. Infección de Virus Falla de aplicaciones.

Evaluación de daños

Determinar el daño en la red de servicios de la organización identificando causas e impactos, estimando el tiempo de recuperación para asegurar la provisión de los equipos de reemplazo.

Acciones para evaluar los daños después de la presencia de un evento de interrupción o un evento de desastre, identificando posibles eventos futuros que puedan impactar la continuidad de operaciones en tecnología, recurso humano, imagen y financieramente.

Después de un escenario de

interrupción de servicios o de desastre.

Administración de la emergencia.

Atender y ejecutar eficiente y oportunamente las labores de recuperación de datos críticos y vitales para el restablecimiento de la red de usuarios y sistemas de información de la organización.

Acciones para recuperar estado operativo, después de una interrupción que hace, que los recursos críticos de TI, queden inoperantes por un tiempo que impacte adversamente al negocio. En el peor de los casos, se usará instalación alterna, se restaurará software y datos resguardados en sitio alterno.

Incendios. Terremotos. Inundaciones. Tornados. Huracanes. Hundimientos. Exhalaciones volcánicas. Huelgas. Plantones. Disturbios Sociales. Fallas en el Equipo de Cómputo o

algún Periférico Fallas en Equipo de

Telecomunicaciones o algún componente de la red

Fallas en el Enlace

Capítulo 4





general.







• A 1.6.‐ Concientización y aprobación por parte de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 1.6 Concientización y aprobación por parte de los directivos. Una vez terminadas estas tareas, el grupo debe presentar un informe a los directivos, quienes después de revisarlo deciden si dan su aprobación para que el proyecto siga adelante o, en caso contrario, solicitan revisión de alguno de los puntos expuestos.

El cuadro 4.3, muestra en una sola vista, la metodología propuesta:

Cuadro 4.3 Tabla de solución integral para el desarrollo de la metodología propuesta [Basado en Galindo, 2009].

METODOLOGÍA PROPUESTA

A

L

C

A

N

C

E

S

Fase I.- Conocer y Planificar el Medio

Ambiente Organizacional.

Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto

al negocio.

Fase III.-Desarrollar el plan de continuidad y

estrategias de recuperación ante

desastres.

Fase IV.- Capacitar, probar y ejercitar.

Fase V.- Auditoría, Mantenimiento y

Actualización.

ACTIVIDADES

¿Qué hacer para hacer?

-Conocer el medio ambiente

organizacional. -Definir los equipos

de planificación.

-Analizar y evaluar riesgos

operacionales. -Análisis de Impacto

al Negocio.

-Diseñar las estrategias de continuidad. -Definir los

procedimientos de recuperación.

-Desarrollar varios tipos de programas de entrenamiento. -Planificar los

escenarios de prueba y su ejercitación.

-Auditoría. -Políticas de

mantenimiento.

OBJETIVOS

¿Hasta dónde?

Identificar el medio ambiente de ejecución

del sistema.

Obtener la probabilidad de

ocurrencia, a un tipo específico de

amenaza.

Definir requerimientos de control y

administración de la continuidad.

Definir escenarios de desastre.

Identificación e inclusión de cambios

en los sistemas y proceso de la organización.

METAS ¿Qué obtener?

- Establecer la necesidad de la continuidad del

negocio. - Identificar los

equipos de planificación y sus responsabilidades.

Estimación del impacto financiero de una interrupción en

los procesos críticos del negocio.

Desarrollar la documentación de los

equipos de recuperación de

tecnología de información.

La formación de conciencia involucrando

individuos usando la continuidad del negocio y los planes de gestión

de crisis.

Verificación y validación que las

estrategias y planes son actualizados,

precisos y completos.

RECURSOS REQUERIDOS:

T E C N O L O G I C O S

TÉCNICA ¿Cómo hacerlo?

-Observación -Investigación -Recopilación


- Determinar las franjas de tiempo de

recuperación y requerimientos de

recursos mínimos de operación.

- Seleccionar una estrategia de recuperación

eficiente.

-Establecer un programa de

capacitación, ejercicios y prueba.

Usar estrategias del Plan, requerimientos,

legislación, directrices de buenas prácticas, y

estándares.

HERRAMIENTAS

¿Con qué hacerlo?



-Procesador de textos.

-Editor de imágenes. -Hoja de cálculo.

-Método científico. -Procesador de textos.

-Editor de imágenes

-Procesador de textos. -Editor de imágenes.

-Hoja de cálculo.

-Procesador de textos. -Editor de imágenes.

-Hoja de cálculo.

B A S I C O S

TIEMPOS ¿Cuándo hacer?

10 días hábiles. 15 días hábiles. 20 días hábiles 25 días hábiles 15 días hábiles

COSTOS ¿Cuánto cuesta

hacer?

Día normal de los implicados.

Día normal de los implicados.

Equipos de TI, en la estrategia de continuidad.

Capacitación externa de los implicados.

Capacitación externa de los implicados.

LUGARES ¿Dónde hacer?

Organización interna. Organización interna. Organización/sitio alterno.

Organización/sitio alterno.

Organización/sitio alterno.

H U M A N O S

MOTIVACIÓN

¿Por qué y para qué hacer?

Comprometer la Alta Gerencia en los

procesos de Continuidad del

Negocio.

Estimar el impacto operacional de una interrupción en los

procesos críticos del negocio.

Respuesta a emergencia y recuperación.

- El ensayo de la disponibilidad y

traslado del personal.

Validación que el Plan de continuidad siguen una secuencia lógica, formato y estructura

definidos. EQUIPO DE TRABAJO

¿Quién lo hará?

Director del proyecto. Director/Equipos de planificación.

Director/Equipos de planificación.

Director/Equipos y personal.

Director/Equipos y personal.

LÍDER ¿Quién lo dirigirá?

Director del proyecto. Director del proyecto. Director del proyecto. Director del proyecto. Director del proyecto.

SUPERVISOR ¿Quién lo evaluará?

Socio comercial externo.





Capítulo 4





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP



general.








de los directivos.


• A 2.1.‐ Identificación de las funciones, servicios y recursos críticos

del área. •A 2.2.‐ Análisis,

evaluación y diagnóstico de riesgos.

•A 2.3.‐ Control de riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. Identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que puedan causar la interrupción o pérdida de las actividades críticas de la organización, permitiendo su gestión de priorización y control para formar una base en la que se establezca un programa de control y un plan de acción de gestión de riesgo, identificando las actividades de misión crítica de la organización, sus dependencias y sus puntos de fallas así como, analizar el impacto y el efecto que se generaría en caso de la pérdida, o interrupción de las actividades de misión crítica. Una vez conocido el medio ambiente general y particular, así como, definidos los equipos de respuesta, de la Fase anterior; se procede a identificar, analizar, evaluar y diagnosticar los riesgos inherentes en la operación, así como su impacto al negocio: Actividad 2.1 Identificación de las funciones, servicios y recursos críticos del área. En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el área y se priorizan de acuerdo con la razón de ser de la misma dentro de la organización, determinando, a su vez, en qué recursos (computacionales o logísticos) se apoya, y de esta manera establecer la criticidad de los recursos. Para cada prioridad se señalará el tiempo máximo de espera para que se reanuden los servicios, así como la identificación de los registros de datos e información vital para la operación de dichas funciones y servicios.

El cuadro 4.4, detalla las funciones por área de la organización objeto de estudio y sus correspondientes recursos críticos (Prioridad, Recursos de apoyo, Tiempo máximo de reanudación y Registros de datos vitales):

Cuadro 4.4 Identificación de las funciones, servicios y recursos críticos por área (Inicio).

Área Funcional: GERENCIA GENERAL

Sub-área:

Funciones. Recursos críticos.

1 Prioridad 2 Recursos

de apoyo 3 Tiempo máximo

de reanudación 4 Registros de

datos vitales

Revisión del cumplimiento de estrategias y objetivos.

1.1

SIBC

1 día

SIBC Cierres de Ventas y convenios. 1.2 SIBC 1 día SIBC Acontecimientos, entorno nacional, precios,

convenios internacionales, etc. 1.3 MP

2 días MP

Cumplimiento a reglamentación.

1.4 MP 7 días MP

SIBC = Sistema de Información Basado en Computadora. MP = Manual de Procedimientos

Capítulo 4



Cuadro 4.4 Identificación de las funciones, servicios y recursos críticos por área (Continuación).


Sub-área: DIRECCIÓN DE CONVERSIÓN Y ROTO GRABADO

Funciones Recursos críticos




datos vitales

Programación de la producción.

2.1

SIBC

1 hora

SIBC

Fechas de entrega 2.2 SIBC 1 día SIBC Inventarios 2.3 SIBC 2 horas SIBC Análisis de costo de operación 2.4 SIBC 1 día SIBC Revisión y entrega de resultados 2.5 SIBC/MP 2 días SIBC Reportes de indicadores, Planes y esquemas de

trabajo. 2.6 MP 2 horas MP

Desarrollo, especificaciones y productos nuevos. 2.7 SIBC 7 días SIBC Liberación de Producto y producto no conforma 2.8 SIBC 1 hora SIBC Requerimientos de refacciones e insumos 2.9 SIBC 1 hora SIBC Rechazos, resultados y quejas de clientes internos y

externos. 2.10 SIBC 1 hora SIBC

Proyectos y viabilidad 2.11 SIBC 2 días SIBC Aspectos relacionados con el personal 2.12 SIBC 1 horas SIBC Requisición de compra 2.13 SIBC 2 horas SIBC Requerimientos y mantenimiento de Software y

Hardware 2.14 SIBC 2 días SIBC

Toma de decisiones en la elaboración de herramentales

2.15 SIBC 1 hora SIBC

Proyectos y asistencia técnica 2.16 SIBC 1 día SIBC Asistencia Técnica 2.17 MP 2 horas MP Intercambio de información técnica 2.18 MP 1 día MP


Sub-área: GERENCIA DE INGENIERÍA Y PRE PRENSA

Manejo de especificaciones y características del producto

3.1

SIBC

2 horas

SIBC

Requerimientos de clientes 3.2 SIBC 2 horas SIBC Verificar que las especificaciones, se cumplan

basándose en las indicaciones de ingeniería, así como la toma de decisiones para mejoras en el proceso.


Monitoreo constante de los costos, rutas y estructuras de los productos


Embalajes, información relacionada con códigos de productos

3.5 SIBC/MP 1 hora SIBC

Especificaciones, sugerencias, mejoras, factibilidad de fabricación y asesoría técnica

3.6 MP 2 días MP

Todo lo relacionado con el manejo del SI 3.7 SIBC 2 horas SIBC El manejo del personal de las áreas a cargo 3.8 SIBC 2 horas SIBC Reporte de actividades 3.9 MP 1 hora MP Innovaciones, manejo de máquinas, cotizaciones y

negociaciones 3.10 SIBC/MP 1 hora SIBC

Herramentales que se les fabrica 3.11 SIBC/MP 1 hora SIBC Contratos y pagos del mantenimiento de equipos 3.12 SIBC 2 días SIBC Brindar los elementos tanto cuantitativo y

cualitativos. 3.13 SIBC/MP 2 horas MP


Capítulo 4



Cuadro 4.4 Identificación de las funciones, servicios y recursos críticos por área (Continuación).


Sub-área: GERENCIA DE CALIDAD CONVERSIÓN





datos vitales

Aprovechamiento de tiempo y recursos.

4.1

SIBC

1 hora

SIBC

Establecer pérdidas potenciales. 4.2 SIBC 3 horas SIBC Cotejar y guardar información proporcionada. 4.3 SIBC 2 días SIBC


Sub-área: GERENCIA DE LOGÍSTICA

Coordinar con las áreas de impresión a los departamentos de Corte, Sacado y Engomado, así como los herramentales utilizados para cada departamento.

5.1

SIBC

2 horas

SIBC


Sub-área: DIRECCIÓN COMERCIAL

Venta, Servicio, Asesoría y Desarrollo

6.1

MP

1 día

MP

Licitaciones, cotizaciones y proyectos 6.2 SIBC 2 días SIBC Elaboración de presupuesto y revisión de resultados 6.3 SIBC 1 día SIBC Implicaciones de líneas de crédito y autorización de

venta 6.4 SIBC 1 día SIBC

Programas de los pedidos en producción 6.5 SIBC 2 días SIBC Lograr que los pedidos se elaboren con la calidad y

en el tiempo especificado 6.6 MP 3 días MP

Lo referente a la planeación de su personal y recursos 6.7 SIBC 2 días SIBC

Área Funcional: GERENCIA DE COMPRAS Y ALMACENES

Sub-área:

Compras

7.1

SIBC

1 hora

SIBC

Pago de proveedores 7.2 SIBC 1 hora SIBC Supervisar el material terminado 7.3 SIBC 1 hora SIBC Traslado de materiales 7.4 SIBC/MP 2 horas SIBC Entrega de producto terminado 7.5 SIBC 2 horas SIBC Materiales o servicios que soliciten 7.6 SIBC/MP 1 día SIBC Liberación de mercancías 7.7 SIBC 1 día SIBC Legislación 7.8 MP 7 días MP


Capítulo 4



Cuadro 4.4 Identificación de las funciones, servicios y recursos críticos por área (Final).

Área Funcional: DIRECCIÓN DE ADMINISTRACIÓN Y FINANZAS

Sub-área:





datos vitales

Uso y optimización de los recursos

8.1

SIBC

1 día

SIBC

Aspectos de carácter legal de la organización 8.2 SIBC/MP 3 días SIBC Obligaciones y responsabilidades a cargo de la

empresa 8.3 SIBC/MP 7 días SIBC

Movimientos para brindar el servicio de la compañía 8.4 SIBC 2 días SIBC Referente a la información y controles de la

información 8.5 SIBC 2 días SIBC

Lo referente a la planeación de su personal y recursos

8.6 SIBC 1 día SIBC

Información comercial para efectuar registros 8.7 SIBC 2 días SIBC


Sub-área: GERENCIA DE CONTRALORÍA

Controlar el consecutivo de facturas y notas de crédito

9.1

SIBC

1 hora

SIBC

Controlar la facturación de la compañía 9.2 SIBC 4 horas SIBC Controlar la emisión de notas de crédito 9.3 SIBC 8 horas SIBC Controlar la reparación de: Máquinas de escribir,

teléfonos, aire acondicionado, etc 9.4 SIBC 1 día SIBC

Revisar las pólizas S.O. (Ventas). 9.5 SIBC 2 días SIBC Controlar la emisión de facturas varias 9.6 SIBC 1 día SIBC Archivar los listados de contabilidad 9.7 MP 4 días MP Distribuir la mensajería y valijas 9.8 MP 2 días MP


Sub-área: GERENCIA DE TESORERÍA

Información oportuna para la toma de decisiones

10.1

SIBC

2 horas

SIBC

Recuperación de ingresos por las ventas generadas 10.2 SIBC 1 día SIBC Pago de obligaciones financieras según corresponda 10.3 SIBC 2 días SIBC


Es indispensable para la organización, reanudar las funciones de acuerdo a su prioridad, después de un tiempo máximo de suspensión del servicio, con la ayuda de los recursos de apoyo disponibles y sus correspondientes registros de datos vitales. Con la información anterior, se está en condición para la identificación de los riesgos por prioridad y de esta manera iniciar el Análisis, Evaluación y Diagnóstico de riesgos.

Capítulo 4





general.








de los directivos.


•A 2.1.‐ Identificación de las funciones, servicios y recursos críticos del área.

• A 2.2.‐ Análisis, evaluación y diagnóstico de

riesgos. •A 2.3.‐ Control de

riesgos. •A 2.4.‐ Análisis de impacto al negocio. •A 2.5.‐ Evaluación y diagnóstico del análisis de impacto al negocio.


desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 2.2 Análisis, Evaluación y Diagnóstico de riesgos. Determinar la probabilidad anual de ocurrencia de un riesgo, el impacto potencial de un riesgo y la matriz de nivel de riesgo por prioridad, descrito en la actividad anterior; para de ésta manera, obtener las vulnerabilidades frente a las pérdidas y valoración del riesgo por recurso en cada actividad que interviene.

Los cuadros 4.5a, 4.5b y 4.5c, muestran las categorías de probabilidad de ocurrencia, el impacto potencial de un riesgo y la matriz del nivel de riesgo, respectivamente:

Cuadro 4.5a Probabilidad de Ocurrencia de un riesgo [Elaboración propia].

Tabla de probabilidad de ocurrenciaCalificación Cualidad Descripción

1 Raro Puede ocurrir sólo en circunstancias excepcionales 2 Improbable Puede ocurrir en algún momento 3 Posible Podría ocurrir en algún momento 4 Probable Probablemente ocurra en la mayoría de circunstancias 5 Casi certeza Se espera que ocurra en la mayoría de circunstancias

Cuadro 4.5b Impacto potencial de un riesgo [Elaboración propia].

Tabla de impacto potencialCalificación Descriptor Detalle

1 Insignificante Sin perjuicios, baja perdida financiera 2 Menor Tratamiento de primeros auxilios, liberado localmente, se contuvo

inmediatamente,perdida financiera media 3 Moderado Requiere tratamiento médico, liberado localmente, contenido con

asistencia externa, perdida financiera alta 4 Mayor Perjuicios extensivos, pérdida de capacidad de producción, liberación

externa, sin efectos nocivos, perdida financiera mayor 5 Catastrófico Muerte, liberación tóxica externa con efectos nocivos, enorme pérdida

financiera

Cuadro 4.5c Matriz de nivel de riesgo [Elaboración propia].


Probabilidad

de ocurrencia

Impacto potencial

1 2 3 4 5

1 B B M A A

2 B B M A C

3 B M A C C

4 M A A C C

5 A A C C C

B = Bajo, M = Medio, A = Alto, C = Catastrófico.

Capítulo 4



Basándose en los cuadros 4.5a y 4.5b anteriores, el cuadro 4.6, analiza y evalúa para cada categoría de riesgo, la probabilidad de ocurrencia y su impacto potencial, en la organización objeto de estudio:

Cuadro 4.6 Análisis y evaluación de la probabilidad ocurrencia y el impacto potencial de un riesgo.

Categoría Probabilidad

de ocurrencia Impacto

potencial Amenazas Naturales: 1.Inundaciones internas 3 4 2. Inundaciones externas 3 3 3. Fuego interno 4 5 4. Fuego externo 3 3 5. Terremoto 4 5 6. Volcanes 1 3 7. Huracanes 1 3 8. Tornado 1 3 9. Rayos 3 4 10. Nevada 1 3 11. Avalancha 1 3 Amenazas Humanas: 12. Explosión 4 4 13. Vandalismo 3 2 14. Huelga 3 5 15. Robo obstrucción para ir al trabajo 4 2 16. Desechos tóxicos 3 2 17. Caídas de aviones 1 1 18. Accidentes 4 1 19. Terrorismo 2 3 Amenazas Técnicas: 20. Fallas de energía 5 5 21. Fallas en las comunicaciones de datos 5 3 22. Fallos del aire acondicionado 5 4 23. Fallos del CPU y Hardware 4 4 24. Fallos del Software del Sistema Operativo 5 4 25. Fallos del Software aplicativo 4 3 26. Interferencia electromagnética 2 2 27. Otro 3 2

De acuerdo al cuadro anterior, la mayor probabilidad de ocurrencia con un impacto potencial elevado en la organización, son las amenazas de tipo técnicas, seguidas de las amenazas humanas.

Capítulo 4



El siguiente cuadro, muestra el diagnóstico de las categorías de nivel de riesgo del cuadro anterior, a través de la matriz del nivel de riesgo:

Cuadro 4.7a Diagnóstico del nivel de riesgo.


Probabilidad

de ocurrencia

Impacto potencial

1 2 3 4 5

1 17 6, 7, 8, 10, 11

2 26 19

3 13, 16, 27 2, 4 1, 9 14

4 18 15 25 12, 23 3, 5

5 21 22, 24 20

Categorías del nivel de riesgo Bajo Medio Alto Catastrófico

Para la empresa objeto de estudio, el diagnóstico presentado por el cuadro 4.7a, demuestra que los riesgos se agrupan, según su probabilidad de ocurrencia y el impacto potencial en el negocio, teniendo las siguientes calificaciones del nivel de riesgo, como se muestra en el cuadro 4.7b:

Cuadro 4.7b Nivel de riesgos.

Nivel de riesgo de la empresa objeto de estudioCalificación Descriptor Riesgo Detalle

1 Bajo 17,26 Sin perjuicios.

2 Medio 6,7,8,10,11,13,

16,18,19,27

Tratamiento de primeros auxilios, liberado

localmente, se contuvo inmediatamente.

3 Alto 2,4,15,25 Requiere tratamiento médico, liberado

localmente, contenido con asistencia externa.

4 Catastrófico 1,3,5,9,12,14,20,

21,22,23,24

Muerte, liberación tóxica externa con efectos

nocivos.

De acuerdo a las tablas 4.7a y 4.7b, se debe poner especial interés en los riesgos: 20. Fallas de energía, 3. Fuego interno, 5. Terremoto, 22. Fallas del aire acondicionado y 24. Falla del software del Sistema Operativo.

Capítulo 4





general.








de los directivos.



evaluación y diagnóstico de riesgos.

• A 2.3.‐ Control de riesgos.

•A 2.4.‐ Análisis de impacto al negocio. •A 2.5.‐ Evaluación y diagnóstico del análisis de impacto al negocio.


desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 2.3 Control de riesgos. Una vez que se determina el Análisis/Evaluación/Diagnóstico de riesgos de la actividad anterior, se procede a determinar un conjunto de estrategias a implementar para que cada proceso tenga condiciones mínimas para poder reanudarse y de esta manera iniciar con el Análisis de Impacto al Negocio.

El cuadro 4.8, muestra las estrategias a implementar, dependiendo del tipo de riesgo, para que cada proceso tenga condiciones mínimas de operación: Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mínimas de operación (Inicio).

Riesgo Aspectos mínimos a considerar Interrupción eléctrica.

Fuentes alternas de generación eléctrica: UPS y plantas eléctricas; Mantenimiento de las fuentes alternas de generación eléctrica; Estado de la instalación eléctrica y capacidad eléctrica instalada;

Lámparas de emergencia; Señalamiento iluminado de salidas y puertas de emergencia.

Fallos en Hardware.

Equipo de cómputo utilizado y obsolescencia; Capacidad de redundancia entre servidores; Monitoreo de problemas en los servidores;

Contratos de mantenimiento preventivo y correctivo; Condiciones físicas y ambientales (limpieza, humedad, temperatura).

Fallas en Software.

Desarrollo local de aplicaciones (metodologías/ estándares); Cambios y configuración en aplicaciones; Trascendencia de los sistemas incluidos en el estudio.

Fallas en Comunicaciones.

Soporte técnico de los equipos utilizados; Mantenimiento preventivo y correctivo de los equipos de comunicación.

Desastres naturales.

Pólizas de seguro vigentes; Brigadas de atención ante situaciones de emergencia; Capacitación al personal;

Rutas de evacuación; Iluminación de pasillos y puertas y salidas de emergencia.

Capítulo 4



Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mínimas de operación (Final).

Riesgo Aspectos mínimos a considerar Incendio.

Pólizas vigentes de seguro; Sistemas automáticos y manuales contra incendio (gabinetes, extintores, aspersores); Uso de materiales retardantes del fuego;

Almacenamiento de material combustible; Detectores de humo revisados regularmente.

Fallas en Respaldos.

Procedimientos para respaldo y recuperación de información, fuentes, objetos, documentación, y configuración de los sistemas;

Periodicidad de los respaldos;

Facilidades y protección para el almacenamiento dentro y fuera de sitio; Configuración de los discos duros de los servidores; Documentación actualizada sobre procedimientos de respaldo y recuperación.

Virus

Programa antivirus instalado en computadoras y servidores; Configuración y actualización del software antivirus;

Consultas regulares de fuentes de información para actualizaciones sobre virus; Capacitación al personal para identificar potenciales fuentes de ataque de virus; Políticas para el ataque de virus.

Violaciones a la Seguridad física.

Seguridad física para el ingreso al edificio, oficinas y cuartos de servidores y equipos de comunicación;

Capacitación al personal para detectar situaciones que puedan representar riesgo o cuestionar la presencia de personas desconocidas o sin identificación;

Sistemas de seguridad: circuitos cerrados de televisión, sensores de movimiento, alarmas; Revisión y control de salida e ingreso de equipo de cómputo;

Utilización de bitácoras para el registro de ingresos.

Intrusión (hackeo).

Procedimientos para otorgamiento de acceso a las aplicaciones y políticas de acceso lógico;

Procedimientos para el acceso a los recursos tecnológicos (redes y aplicaciones); Administración y configuración de “firewalls”; Monitoreo de los accesos tanto legítimos como ilegítimos; Disponibilidad de herramientas para el monitoreo de la seguridad.

Recurso Humano.

Dependencia en el personal; Capacitación;

Documentación de las funciones del personal.

Los aspectos a considerar anteriores, proporcionan una protección ante los riesgos descritos, cuya ocurrencia se puede atenuar instrumentando controles adecuados.

Capítulo 4





general.








de los directivos.




riesgos.

• A 2.4.‐ Análisis de impacto al negocio. •A 2.5.‐ Evaluación y diagnóstico del análisis de impacto al negocio.


desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 2.4 Análisis de Impacto al Negocio. Una vez realizado el Control de Riesgos, se procede a la identificación de actividades de misión crítica, sus dependencias y puntos de falla, para determinar impactos y efectos (consecuencias) financieros y no financieros como resultado de una interrupción o pérdida de una o más actividades de misión crítica durante varios periodos de tiempo. Las actividades 2.2. y 2.3, nos ayudaron a determinar las categorías de riesgos, su probabilidad e impacto al negocio, así como el nivel de riesgo y el conjunto de estrategias a implementar para que cada proceso tenga condiciones mínimas para poder reanudarse . Ahora, con ayuda de la actividad 2.1, se procede a la identificación de actividades de misión crítica, sus dependencias y puntos de falla, para determinar impactos y efectos financieros y no financieros como resultado de una interrupción. El cuadro 4.9, detalla el nivel de riesgo y su impacto en el negocio, para cada función identificada en el cuadro 4.4, apoyándonos desde luego, de los cuadros 4.5b y 4.7b del impacto potencial de un riesgo y nivel de riesgo, respectivamente:

Cuadro 4.9 Identificación del tiempo objetivo de recuperación y su impacto al negocio, en las funciones, servicios y recursos críticos por área (Inicio).


Sub-área:

Funciones. Recursos críticos.


de apoyo 3 Tiempo objetivo

de recuperación 4 Impacto

potencial

Revisión del cumplimiento de estrategias y objetivos.

1.1

SIBC

2 2

Cierres de Ventas y convenios. 1.2 SIBC 2 5 Acontecimientos, entorno nacional, precios,

convenios internacionales, etc. 1.3 MP 3 3

Cumplimiento a reglamentación.

1.4 MP 5 4


Capítulo 4



Cuadro 4.9 Identificación del tiempo objetivo de recuperación y su impacto al negocio, en las funciones, servicios y recursos críticos por área (Continuación).


Sub-área: DIRECCIÓN DE CONVERSIÓN Y ROTO GRABADO





potencial

Programación de la producción.

2.1

SIBC

1

5

Fechas de entrega 2.2 SIBC 2 5 Inventarios 2.3 SIBC 1 5 Análisis de costo de operación 2.4 SIBC 2 4 Revisión y entrega de resultados 2.5 SIBC/MP 3 4 Reportes de indicadores, Planes y esquemas de

trabajo. 2.6 MP 1 3

Desarrollo, especificaciones y productos nuevos. 2.7 SIBC 5 3 Liberación de Producto y producto no conforma 2.8 SIBC 1 2 Requerimientos de refacciones e insumos 2.9 SIBC 1 2 Rechazos, resultados y quejas de clientes internos y

externos. 2.10 SIBC 1 4

Proyectos y viabilidad 2.11 SIBC 3 4 Aspectos relacionados con el personal 2.12 SIBC 1 1 Requisición de compra 2.13 SIBC 1 2 Requerimientos y mantenimiento de Software y

Hardware 2.14 SIBC 3 3

Toma de decisiones en la elaboración de herramentales

2.15 SIBC 1 2

Proyectos y asistencia técnica 2.16 SIBC 2 3 Asistencia Técnica 2.17 MP 1 1 Intercambio de información técnica 2.18 MP 2 1


Sub-área: GERENCIA DE INGENIERÍA Y PRE PRENSA

Manejo de especificaciones y características del producto

3.1

SIBC

1

5

Requerimientos de clientes 3.2 SIBC 1 4 Verificar que las especificaciones, se cumplan

basándose en las indicaciones de ingeniería, así como la toma de decisiones para mejoras en el proceso.

3.3 SIBC 1 4

Monitoreo constante de los costos, rutas y estructuras de los productos

3.4 SIBC 1 3

Embalajes, información relacionada con códigos de productos

3.5 SIBC/MP 1 3

Especificaciones, sugerencias, mejoras, factibilidad de fabricación y asesoría técnica

3.6 MP 3 2

Todo lo relacionado con el manejo del SI 3.7 SIBC 1 3 El manejo del personal de las áreas a cargo 3.8 SIBC 1 1 Reporte de actividades 3.9 MP 1 1 Innovaciones, manejo de máquinas, cotizaciones y

negociaciones 3.10 SIBC/MP 1 2

Herramentales que se les fabrica 3.11 SIBC/MP 1 1 Contratos y pagos del mantenimiento de equipos 3.12 SIBC 3 3 Brindar los elementos tanto cuantitativo y

cualitativos. 3.13 SIBC/MP 1 2


Capítulo 4



Cuadro 4.9 Identificación del tiempo objetivo de recuperación y su impacto al negocio, en las funciones,

servicios y recursos críticos por área (Continuación).


Sub-área: GERENCIA DE CALIDAD CONVERSIÓN





potencial

Aprovechamiento de tiempo y recursos.

4.1

SIBC

1

5

Establecer pérdidas potenciales. 4.2 SIBC 2 4 Cotejar y guardar información proporcionada. 4.3 SIBC 3 3


Sub-área: GERENCIA DE LOGÍSTICA

Coordinar con las áreas de impresión a los departamentos de Corte, Sacado y Engomado, así como los herramentales utilizados para cada departamento.

5.1

SIBC

1

5


Sub-área: DIRECCIÓN COMERCIAL

Venta, Servicio, Asesoría y Desarrollo

6.1

MP

2

5

Licitaciones, cotizaciones y proyectos 6.2 SIBC 3 4 Elaboración de presupuesto y revisión de resultados 6.3 SIBC 2 3 Implicaciones de líneas de crédito y autorización de

venta 6.4 SIBC 2 4

Programas de los pedidos en producción 6.5 SIBC 3 3 Lograr que los pedidos se elaboren con la calidad y

en el tiempo especificado 6.6 MP 4 4

Lo referente a la planeación de su personal y recursos 6.7 SIBC 3 1

Área Funcional: GERENCIA DE COMPRAS Y ALMACENES

Sub-área:

Compras

7.1

SIBC

1

5

Pago de proveedores 7.2 SIBC 1 5 Supervisar el material terminado 7.3 SIBC 1 4 Traslado de materiales 7.4 SIBC/MP 1 4 Entrega de producto terminado 7.5 SIBC 1 4 Materiales o servicios que soliciten 7.6 SIBC/MP 2 3 Liberación de mercancías 7.7 SIBC 2 2 Legislación 7.8 MP 5 1


Capítulo 4



Cuadro 4.9 Identificación del tiempo objetivo de recuperación y su impacto al negocio, en las funciones,

servicios y recursos críticos por área (Final).


Sub-área:





potencial

Uso y optimización de los recursos

8.1

SIBC

2

5

Aspectos de carácter legal de la organización 8.2 SIBC/MP 4 5 Obligaciones y responsabilidades a cargo de la

empresa 8.3 SIBC/MP 5 4

Movimientos para brindar el servicio de la compañía 8.4 SIBC 3 4 Referente a la información y controles de la

información 8.5 SIBC 3 3

Lo referente a la planeación de su personal y recursos

8.6 SIBC 2 3

Información comercial para efectuar registros 8.7 SIBC 3 2


Sub-área: GERENCIA DE CONTRALORÍA

Controlar el consecutivo de facturas y notas de crédito

9.1

SIBC

1

5

Controlar la facturación de la compañía 9.2 SIBC 2 5 Controlar la emisión de notas de crédito 9.3 SIBC 2 5 Controlar la reparación de: Máquinas de escribir,

teléfonos, aire acondicionado, etc 9.4 SIBC 2 4

Revisar las pólizas S.O. (Ventas). 9.5 SIBC 3 3 Controlar la emisión de facturas varias 9.6 SIBC 2 3 Archivar los listados de contabilidad 9.7 MP 4 1 Distribuir la mensajería y valijas 9.8 MP 3 1


Sub-área: GERENCIA DE TESORERÍA

Información oportuna para la toma de decisiones

10.1

SIBC

1

5

Recuperación de ingresos por las ventas generadas 10.2 SIBC 2 4 Pago de obligaciones financieras según corresponda 10.3 SIBC 3 4


El objetivo de ésta actividad es identificar el tiempo objetivo de recuperación (RTO) y su correspondiente impacto potencial para cada una de las funciones priorizadas y apoyadas de sus correspondientes Sistemas de Información Basados en Computadoras.

Capítulo 4



Una vez obtenido el tiempo objetivo de recuperación y el impacto potencial de un riesgo para cada una de las funciones identificadas, se procede a desarrollar la matriz de impacto al negocio, con ayuda de la figura 3.4 y el cuadro 4.5b, como se muestra en el siguiente cuadro:

Cuadro 4.10 Análisis de impacto al negocio.

Matriz de impacto al negocio

Nivel del tiempo

objetivo de recuperación

Impacto potencial

1 2 3 4 5

1 2.12,2.17,3.8,3.9, 3.11

2.8,2.9,2.13,2.15, 3.10,3.13

2.6,3.4,3.5,3.7 2.10,3.2,3.3,7.3, 7.4,7.5

2.1,2.3,3.1,4.1, 5.1,7.1,7.2,9.1,

10.1 2 2.18 1.1,7.7 2.16,6.3,7.6,8.6,

9.6 2.4,4.2,6.4,9.4,

10.2 1.2,2.2,6.1,8.1,

9.2,9.3

3 6.7,9.8 3.6,8.7 1.3,2.14,3.12,4.3, 6.5,8.5,9.5

2.5,2.11,6.2, 8.4,10.3

4 9.7 6.6 8.2

5 7.8 2.7 1.4,8.3

Categoría del nivel de impacto al negocio Bajo Medio Alto Catastrófico

La matriz anterior, es el resultado del estudio de los tiempos objetivo de recuperación y el impacto potencial de los riesgos en las funciones identificadas en la estructura de la organización objeto de estudio, por lo que el análisis anterior, permite determinar las prioridades y riesgos de los sistemas de información que apoyan a las funciones anteriores. Una vez obtenida la estimación del impacto operacional y financiero de una interrupción en los procesos críticos del negocio, se procede a efectuar el cruce de información de esos procesos críticos de negocio, con los Sistemas de Información Basados en Computadoras, que apoyan a tales procesos, para obtener la estimación del impacto tecnológico de una interrupción.

Capítulo 4



El cuadro 4.11, detalla el cruce de información de los Sistemas de Información Basados en Computadora [Galindo, 2007], existentes y el apoyo de éstos a las funciones primordiales de las áreas de la organización objeto de estudio:

Cuadro 4.11 Cruz de información Sistemas vs Funciones [Basado en Galindo, 2007].

Gerencia General Gerencia de Compras y

Almacenes Dirección de

Administración y Finanzas

Función

Sistema de Información Rev

isió

n d

el c

um

pli

mie

nto

de

estr

ateg

ias

y o

bje

tivo

s.

Cie

rres

de

Ven

tas

y c

on

ven

ios.

Aco

nte

cim

ien

tos,

en

torn

o

nac

ion

al,

pre

cio

s,

con

ven

ios

inte

rnac

ion

ales

C

um

plim

ien

to a

reg

lam

enta

ció

n.

Mat

eria

les

o s

ervi

cio

s q

ue

so

licit

en

Pag

o d

e p

rove

edo

res

En

treg

a d

e p

rod

uct

o t

erm

inad

o

Su

per

visa

r el

mat

eri

al t

erm

inad

o

Co

mp

ras

Tra

slad

o d

e m

ater

iale

s, p

ag

os

Leg

isla

ció

n

Lib

erac

ión

de

mer

can

cías

Info

rmac

ión

co

mer

cial

par

a ef

ect

uar

reg

istr

os

Lo

ref

eren

te

a la

pla

nea

ció

n d

e su

per

son

al y

re

curs

os

Uso

y o

pti

miz

ació

n d

e lo

s re

curs

os

Ref

eren

te a

la in

form

ació

n

y co

ntr

ole

s d

e la

in

form

ació

nA

spec

tos

de

cará

cter

leg

al d

e la

org

aniz

ació

n

Ob

ligac

ion

es y

res

po

nsa

bili

dad

es

a c

arg

o d

e la

em

pre

sa

Mo

vim

ien

tos

par

a b

rin

dar

el

serv

icio

de

la c

om

pañ

ía

Cotización y Orden de Venta X X X

Programación de Clientes X X X

Estructura del Producto X X X X X

Formulas y Procesos X X X

Rutas y Centros de Trabajo X X X X X

Ordenes de trabajo y control de Piso. X X X X

Producción repetitiva X X X X X X

Inspección en recibo y por muestreo. X X

Inspección en Proceso X X

Plan de Recursos X X X X X

Plan maestro de producción y planeación de requerimientos de materiales.

X X X X X X X X X X

Inventarios X X X X X X X

Programación de Proveedores. X X X

Compras X X X

Planeación de Requerimientos de Distribución X X X

Inventario Cíclico X X X X X X X

Contabilidad General X X X X X X

Presupuestos y proyectos X X X X X

Report Writer X X

Cuentas por Cobrar X X X X

Cuentas por Pagar X X X X

Grupo de Costos X X X X

Control de Activos Fijos X X X X X

Grandes Subsistemas de Información Basados en Computadoras

Apoyo a la Función

Capítulo 4



El cuadro 4.12, detalla el cruce de información de los Sistemas de Información contra los Sistemas de Información Basados en Computadora [Galindo, 2007] existentes, ahora con el objetivo de encontrar el apoyo entre Sistemas:

Cuadro 4.12 Cruz de información Sistemas vs Sistemas [Basado en Galindo, 2007]

Sistema de Información

Sistema de Información Co

tiza

ció

n y

Ord

en d

e V

en

ta

Pro

gra

ma

ción

de

Clie

nte

s

Est

ruct

ura

de

l Pro

du

cto

For

mul

as y

Pro

ceso

s

Ru

tas

y C

entr

os

de T

raba

jo

Ord

en

es

de

tra

bajo

y c

on

tro

l de

Pis

o

Pro

ducc

ión

re

petit

iva

Insp

ecci

ón e

n re

cibo

y p

or m

uest

reo

Insp

ecc

ión

en

Pro

ceso

Pla

n d

e R

ecu

rso

s

Pla

n m

aest

ro d

e p

rod

ucci

ón

y p

lan

eaci

ón

de

re

qu

erim

ien

tos

de m

ate

riale

s

Inve

ntar

ios

Pro

gra

ma

ción

de

Pro

vee

dore

s

Co

mp

ras

Pla

nea

ció

n d

e R

eq

uerim

ien

tos

de D

istr

ibu

ción

Inve

nta

rio C

íclic

o

Co

nta

bili

da

d G

ene

ral

Pre

supu

est

os

y p

roye

cto

s

Re

po

rt W

rite

r

Cu

en

tas

por

Co

bra

r

Cu

en

tas

por

Pag

ar

Gru

po

de

Co

sto

s

Co

ntr

ol d

e A

ctiv

os

Fijo

s

Cotización y Orden de Venta X X X X X

Programación de Clientes X X X X

Estructura del Producto X X

Formulas y Procesos X X X

Rutas y Centros de Trabajo X X X X

Ordenes de trabajo y control de Piso. X X X

Producción repetitiva X X

Inspección en recibo y por muestreo. X X X X

Inspección en Proceso X X X

Plan de Recursos X X X

Plan maestro de producción y planeación de requerimientos

de materiales.

X X X X

Inventarios X X X

Programación de Proveedores. X X X X

Compras X X X X X X

Planeación de Requerimientos de Distribución X X

Inventario Cíclico X X

Contabilidad General X X X X

Presupuestos y proyectos X X X

Report Writer X X

Cuentas por Cobrar X X X X

Cuentas por Pagar X X X X

Grupo de Costos X X X X

Control de Activos Fijos X X

Grandes Subsistemas de Información Basados en Computadoras

Los cuadros anteriores, nos ayudan a obtener los sistemas que apoyan a las funciones y su correspondiente interacción para priorizar la recuperación y restauración de los Sistemas de Información Basado en Computadoras.

Apoyo entre Sistemas

Capítulo 4



El siguiente cuadro, muestra la prioridad y nivel de riesgo (ver cuadro 4.7b), por Sistema de Información Basado en Computadora visto en los cuadros anteriores:

Cuadro 4.13 Prioridad y nivel de riesgo de los Sistemas de Información Basados en Computadora.

Área

Funcional Sistema de Información Prioridad Nivel de Riesgo

Alta Baja Alta Baja

Gerencia General

1 Cotización y Orden de Venta X X 2 Programación de Clientes X X 3 Estructura del Producto X X 4 Formulas y Procesos X X 5 Rutas y Centros de Trabajo X X 6 Ordenes de trabajo y control de Piso. X X 7 Producción repetitiva X X 8 Inspección en recibo y por muestreo. X X 9 Inspección en Proceso X X 10 Plan de Recursos X X 11Plan maestro de producción y planeación de requerimientos de materiales.

X X

Gerencia de Compras y Almacenes

12 Inventarios X X 13 Programación de Proveedores. X X 14 Compras X X 15 Planeación de Requerimientos de Distribución

X X

16 Inventario Cíclico X X

Dirección de Administración

y Finanzas

17 Contabilidad General X X 18 Presupuestos y proyectos X X 19 Report Writer X X 20 Cuentas por Cobrar X X 21 Cuentas por Pagar X X 22 Grupo de Costos X X 23 Control de Activos Fijos X X

En base a la información anterior, se procede a determinar la matriz de prioridad y nivel de riesgo para la recuperación de los Sistemas de Información Basados en Computadora, como se muestra en el cuadro 4.14:

Cuadro 4.14 Matriz de prioridad y nivel riesgo para la recuperación de los Sistemas de Información.

Alto

15 1, 2, 4, 8, 9, 11, 12, 13, 20, 21

Bajo

6, 7, 10, 16, 18, 19, 22, 23

3, 5, 14, 17,

Nivel de Riesgo Prioridad

Bajo

Alto

Categoría de Prioridad

Alta Media Baja Ultimo

Capítulo 4





general.








de los directivos.




riesgos.


• A 2.5.‐ Evaluación y diagnóstico del

análisis de impacto al negocio.


desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 2.5 Evaluación y Diagnóstico del Análisis de Impacto del Negocio. Identificar y categorizar los escenarios de falla, determinando las causas y efectos, para determinar las acciones a seguir y el control de riesgos a desarrollar.

El cuadro 4.15, muestra el diagnóstico del análisis de impacto al negocio, donde el impacto (I), probabilidad (P) y riesgo ( R), son calificados de acuerdo a los cuadros 4.5b, 4.5a y 4.7b respectivamente para cada una de las categorías de riesgo ahora escenario de falla, del cuadro 4.6, analizando la causa, el efecto y su correspondiente control:

Cuadro 4.15 Evaluación y diagnóstico del análisis de impacto al negocio.

Escenario de

falla o perdida Causas Efectos I P R Acción Control de Riesgos

Naturales

- Incendios;

- Terremotos; - Inundaciones;

- Tornados; - Huracanes;

- Hundimientos; - Exhalaciones

volcánicas.

Pérdida total de la

operación en sitio.

5,4

1,2

4,3

-Pólizas de seguro vigentes.

- Brigadas de atención ante situaciones de emergencia; - Capacitación al personal;

- Rutas de evacuación; - Iluminación de pasillos y puertas y

salidas de emergencia.

- Recuperación de operaciones en ubicación alterna.

Humanos

- Amenazas de Bomba;

- Huelgas; - Plantones; - Empleados Inconformes;

- Empleados mal Capacitados;

- Disturbios sociales; - Incendios.

Pérdida total/parcial de

la operación en sitio.

4,3

2,3

3,2

- Pólizas de seguro vigentes;

- Seguridad física para el ingreso al edificio, oficinas y cuartos de servidores y equipos

de comunicación.

- Capacitación;

- Documentación de las funciones del personal.

- Capacitación al personal para detectar situaciones que puedan

representar riesgo o cuestionar la presencia de personas desconocidas

o sin identificación; - Sistemas de seguridad: circuitos

cerrados de televisión, sensores de movimiento, alarmas;

- Recuperación de operaciones en ubicación alterna/local.

Técnicos

- Fallas en el Equipo de Cómputo o algún

Periférico; - Fallas en el Equipo

de Soporte del Centro de Cómputo;

- Fallas en Equipo de Telecomunicaciones o algún componente de

la red; - Fallas en el Enlace; - Infección de Virus;

- Falla de aplicaciones.

Pérdida parcial de la operación en

sitio.

3,2,1

4,5

2,1

- Pólizas de seguro vigentes;

- Fuentes alternas de generación eléctrica:

UPS y plantas eléctricas;

- Procedimientos para respaldo y

recuperación de información, fuentes,

objetos, documentación, y

configuración de los sistemas.

- Capacidad de redundancia entre

servidores; - Mantenimiento de las fuentes

alternas de generación eléctrica; - Cambios y configuración en

aplicaciones; - Soporte técnico de los equipos

utilizados; - Periodicidad de los respaldos;

- Facilidades y protección para el almacenamiento dentro y fuera de

sitio; -Programa antivirus instalado en

computadoras y servidores. - Procedimientos para el acceso a los

recursos tecnológicos (redes y aplicaciones);

- Recuperación de operaciones en ubicación local.

Capítulo 4





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP



general.








de los directivos.




riesgos.




desastres.

• A 3.1.‐ Diseñar las estrategias de


•A 3.2.‐ Presentar el análisis

costo/beneficio de las estrategias de continuidad.

•A 3.3.‐ Negociación y firma de contratos con los proveedores de

servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Fase III.- Desarrollar el plan de continuidad y estrategias de recuperación ante desastres. En esta etapa se identifican las alternativas de recuperación de las operaciones en los marcos de tiempo definidos por los RTO’s identificados, se determinan los recursos mínimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudación y recuperación. Así mismo, se definen los procedimientos de notificación y escalamiento de emergencias, los criterios y procedimientos de activación de los planes de contingencia. Actividad 3.1 Diseñar las estrategias de continuidad de la organización. Una vez identificados los requerimientos de continuidad de la organización en la Fase II, se identificarán los recursos necesarios y la forma de consecución de los mismos para cada uno de los controles propuestos (desarrollo, compra de recursos, contrataciones, convenios, etc.).

Antes de iniciar con el diseño de las estrategias de continuidad, es necesario conocer el ambiente actual de TI de la organización; el cuadro 4.16, detalla los recursos del Centro de Procesamiento de Datos (CPD):

Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio (Inicio).

Recurso Detalle Aplicación

Hardware: Servidor HP Integrity NonStop NS2000 Server; 4 procesadores Dual-core Intel Itanium

serie 9100; 32 GB en RAM; 146 GB Disco Duro; arquitectura multi core. Planeador de Recursos Empresariales (ERP), nómina y recursos humanos.

Servidor HP Integrity NonStop NS1200 Server; 2 procesadores Intel Itanium serie 9100; 16 GB en RAM; 146 GB Disco Duro; arquitectura single core.

Servidor espejo del Planeador de Recursos Empresariales (ERP), nómina y recursos humanos.

Arreglo de Discos HP StorageWorks P9000 Disk Arrays Almacenamiento, virtualización y balanceo de carga de las Bases de Datos.

Unidad de cinta HP M8609A LTO 4 FC Manual Load Tabletop Tape Drive for HP NonStop Integrity NS-Series Servers and Blade Systems.

Respaldo de las Bases de Datos y ambiente operativo.

Servidor HP Integrity NonStop NS1200 Server; 1 procesadores Intel Itanium serie 9100; 8 GB en RAM; 80 GB Disco Duro; arquitectura single core.

Firewall.

Servidor HP ProLiant ML150 serie G6; 2 procesadores Intel XEON 5500; 4 GB en RAM; 350 GB Disco Duro

Correo electrónico.

Servidor HP ProLiant ML110 serie G6; 1 procesadores Intel XEON 5500; 2 GB en RAM; 250 GB Disco Duro

Web, fax, anti-spam, anti-virus.

Enrutador Enrutador HP serie A-MSR20; Procesador RISC @ 400 MHz, 256 MB compact flash, 256 MB SDRAM; tamaño de la tabla de enrutamiento 100000 entradas

Enrutador principal red LAN y WAN para voz y datos

Capítulo 4



Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio (Final).

Recurso Detalle Aplicación

Software: Sistema Operativo HP UX 11 i V 3 Sistema Operativo para el sistema

ERP y Firewall. Base de Datos QAD Progress V 9.2 Base de Datos del sistema ERP. ERP QAD MFG-PRO e-Business ERP Arreglo de discos HP StorageWorks Cluster Extension Software Administración del cluster del

arreglo de discos. Arreglo de discos HP StorageWorks Storage Mirroring Software Administración de la replicación en

espejo del arreglo de discos. Unidad de cinta HP TapeAssure Administración de la unidad de

cintas. Firewall Raptor for Axent V 9 Firewall. Sistema Operativo Fedora Core V.7, sendmail Correo electrónico. Sistema Operativo Windows 2008 Server Sistema operativo para el ambiente

web, anti-spam y anti-virus. Web IIS, Internet Information Server v 10 Web Anti-spam McAfee viruscan v 12 Anti-spam Anti-virus Kaspersky Internet Security 2010 Anti-virus Enrutador IMC - Intelligent Management Center Administración de los servicios del

enrutador.

Telecomunicaciones: Enlaces de voz y datos DS0 512 Kbps Enlacen entre plantas Enlaces de voz y datos VPN´s Enlacen entre plantas redundantes

Respaldo y recuperación de la información: Cintas de Respaldo Respaldo parcial y total de las bases de datos a las 13:00 y 22:00 horas

respectivamente; respaldo total del equipo los fines de semana; 5 juegos de 6 cintas; resguardo de las cintas de fin de mes.

Respaldo

Un Sistema en “Cluster” de Alta disponibilidad, es aquel que tiene Redundancia en los Puntos Probables de Falla: SPF’s (Single Point of Failure), de acuerdo al tiempo de Caída de los Sistemas “downtime” que se está dispuesto a aceptar. Las figuras 4.7a, 4.7b y 4.7c, detallan las arquitecturas del sistema ERP, del Centro de Procesamiento de Datos (CPD) y de telecomunicaciones respectivamente, de la empresa objeto de estudio:

Capítulo 4



La siguiente figura representa las aplicaciones del negocio dentro de la arquitectura del Sistema de Información actual, de la empresa objeto de estudio:

Figura 4.7a Arquitectura del Sistema ERP de la empresa objeto de estudio. La figura 4.7b, describe la arquitectura del “cluster” de alta disponibilidad actual, del CPD de la empresa objeto de estudio:

Figura 4.7b Arquitectura del Centro de Procesamiento de Datos CPD, de la empresa objeto de estudio.

Capítulo 4



La siguiente figura, describe la arquitectura de Telecomunicaciones para la provisión de servicios de Tecnologías de la Información actual, de la empresa objeto de estudio:

Figura 4.7c Arquitectura del Sistema de Telecomunicaciones de la empresa objeto de estudio. Con la información anterior, se está en condiciones de diseñar la estrategia de continuidad de la organización a través de: Categorías de estrategias: Centro de procesamiento de datos y telecomunicaciones:

o Hardware, software, respaldo y recuperación de datos de la organización, de acuerdo a la información del cuadro 4.16, figura 4.7a y figura 4.7b.

o Consideraciones de los tiempos objetivos de recuperación RTO del cuadro 4.4. o Requerimientos de comunicaciones (voz y datos) de acuerdo a la figura 4.7c. o Requerimientos de las áreas de trabajo de acuerdo a los cuadros 4.10 y 4.14.

Capítulo 4



Solicitud de Propuestas/Solicitud de Calificaciones “RFP/RFQ”: Consideraciones para seleccionar el proveedor de servicios del CPD, ver cuadro 4.17:

Cuadro 4.17 Solicitud de Propuestas/Solicitud de Calificaciones “RFP/RFQ”.

Solicitud de Propuestas “RFP”: Contiene la información necesaria de la organización colegial, de su entorno, del sector y de la necesidad que justifica el servicio solicitado, así como de las acciones previas en este ámbito, del servicio previsto y sus objetivos generales, dentro de un calendario y con una estimación de económica.

Solicitud de Calificaciones “RFQ”: DESCRIPCIÓN DE NECESIDADES

Resumen Ejecutivo Descripción breve del objeto del proyecto Lugar y plazo de presentación de ofertas

Información General Introducción Antecedentes Objetivo del proyecto Aspectos contractuales Alcance del proyecto Objetivos a cubrir Requerimientos funcionales

o Configuraciones de los Sistemas de Información hospedados. o Plan de Recuperación ante Desastres del sitio alterno. o Velocidad de disponibilidad de los Sistemas de Información hospedados. o Abonados por sitio. o Abonados por área. o Preferencia en la disponibilidad de servicios. o Póliza de seguros. o Período de uso del sitio alterno. o Comunicaciones del sitio alterno. o Garantías por pérdida parcial o total de información y/o equipos. o Auditoría de los servicios ofrecidos. o Pruebas de seguridad y disponibilidad. o Confiabilidad de servicios.

Condicionantes técnicos Entregables Fechas objetivo de implantación

RELACIÓN DE REQUISITOS Generales

Presentación de la Compañía Referencias

Técnicos Características técnicas generales de la solución y equipos ofertados. Medios específicos que se destinan para la prestación del servicio Equipo de trabajo Otros medios Metodología que pretende emplearse para la prestación del servicio Calendario de trabajo propuesto, incluyendo actividades e hitos principales Planes de control de calidad Las propuestas de mejora que se estimen convenientes Detalle de componentes de la oferta: Hardware Software Servicios

Capítulo 4



Alternativas de recuperación del centro de procesamiento de datos: o Recuperación interna: en cuanto a fallas de energía eléctrica, ver figura 4.8. o Recuperación interna: en cuanto a fallas de Hardware, ver figura 4.8. o Recuperación interna: en cuanto a fallas de Software, ver figura 4.8. o Recuperación interna: en cuanto a fallas de Telecomunicaciones, ver figura 4.8 o Instalaciones duplicadas: para protección de amenazas humanas, ver figura 4.8. o Sitio de recuperación externo: para protección de amenazas naturales,

parcialmente configurado, menos de un día en operar “Hot Site”, ver figura 4.8. La siguiente figura, detalla las alternativas de recuperación del centro de procesamiento de datos CPD propuesto, estas alternativas cubren la mayoría de las amenazas de fallas técnicas, humanas y naturales, propuestas en el cuadro 4.8:

Figura 4.8 Arquitectura del Centro de Procesamiento de Datos CPD, propuesta.

Capítulo 4



La arquitectura mostrada en la figura 4.8, cumple con la siguiente categoría de la estrategia: Calidad en el Servicio “Quality of Service” (QoS):

o Alta Disponibilidad o “High Availability”, implementa controles preventivos, detectivos y correctivos para procurar la disponibilidad continúa de los sistemas críticos de la organización, a través del cluster de alta disponibilidad, del arreglo de discos en espejo, el cluster eléctrico y el sitio de recuperación externo.

o Tolerancia a Fallas “Fault Tolerance”, sistema que puede continuar brindado servicios a pesar de fallas de software o hardware, a través del cluster de alta disponibilidad.

o Balanceo de Cargas “Load Balancing”, sistema que comparte la carga de trabajo para evitar recursos ociosos y bajo desempeño (performance), a través del arreglo de discos.

Estos Sistemas en “Cluster” de Alta disponibilidad, tienen Redundancia en los Puntos Probables de Falla: SPF’s (Single Point of Failure), de acuerdo a los tiempos de Caída de los Sistemas “downtime” que se está dispuesto a aceptar, según el cuadro 4.4. Con ello, se procede a presentar el análisis costo/beneficio de las estrategias de continuidad.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.



• A 3.2.‐ Presentar el análisis

costo/beneficio de las estrategias de continuidad.

•A 3.3.‐ Negociación y firma de contratos con los proveedores de

servicios.


TIC’s. •A 3.5.‐ Preparación del

sitio alterno.


recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 3.2 Presentar el análisis costo/beneficio de las estrategias de continuidad. Determinada la estrategia de continuidad, se analizará el impacto de ésta sobre la operación del área funcional, tomando los costos tanto de nivel cualitativo como cuantitativo e incluyendo un análisis costo/beneficio de la implantación de un control.

Los siguientes cuadros: 4.18a y 4.18b, detallan los costos de compra y arrendamiento respectivamente del hardware requerido para el CPD Local y CPD Duplicado:

Cuadro 4.18a Compra de Hardware requerido para la estrategia de continuidad propuesta.

Dependencia Servidores Arreglo de discos Equipo de respaldo UPS Totales

Equipos Costo Compra

Costo Mantto Anual


Costo Mantto Anual


Costo Mantto Anual


Costo Mantto Anual

CORPORATIVO 2 152306 16862 1 12600 1130 0 0 0 3 164906 17992

PLANTAS 1 35067 3600 0 0 0 1 9750 650 2 44817 4250

SUCURSALES 0 0 0 0 0 0 0 0 0 0 0 0

TOTAL 3 187373 20462 1 12600 1130 1 9570 650 5 209723 22242 GRAN TOTAL 5 209723 22242 Mantenimiento Segundo Año

23354

Mantenimiento Tercer Año

24521

Inversión Inicial: 231,965 Dolares Inversión a 3 años 279,840 Dolares

Cuadro 4.18b Arrendamiento de Hardware requerido para la estrategia de continuidad propuesta.

Dependencia Servidores Arreglo de discos Equipo de respaldo UPS Totales

Equipos Costo Arrendamiento

Costo Mantto Anual


Costo Mantto Anual


Costo Mantto Anual

Equipos Costo Arrendami

ento

Costo Mantto Anual

CORPORATIVO 2 50768 16862 1 3550 1130 0 0 0 3 54318 17992

PLANTAS 1 10830 3600 0 0 0 1 3100 650 2 13930 4250

SUCURSALES 0 0 0 0 0 0 0 0 0 0 0 0

TOTAL 2 61598 20462 1 3550 1130 1 3100 650 5 68248 22242 GRAN TOTAL 5 68248 22242 Mantenimiento Segundo Año

23354


24521


Capítulo 4



El costo anterior es expresado en dólares, debido a que los servicios técnicos y de infraestructura en TI, así se detallan internacionalmente. Como se aprecia en el cuadro 4.18b, el costo del hardware a través del arrendamiento es la mejor solución económica; ahora, el cuadro 4.18c detalla el costo de arrendamiento del software requerido en los CPD local y duplicado, así como el costo del arrendamiento del CPD externo:

Cuadro 4.18c Arrendamiento Software requerido para la estrategia de continuidad propuesta y CPD alterno.

Dependencia Software CPD “Cold Site” Externo Totales

Licencias

Costo Arrendamiento

Costo Mantto Anual

Cantidad

Costo Arrendamiento

Costo Mantto Anual

Licencias

Costo Arrendami

ento

Costo Mantto Anual

CORPORATIVO 10 14780 1265 1 2150 205 11 16930 1470

PLANTAS 4 4320 410 0 0 0 4 4320 410

SUCURSALES 0 0 0 0 0 0 0 0 0

TOTAL 14 19100 1675 1 2150 205 15 21250 1880 GRAN TOTAL 15 21250 1880 Mantenimiento Segundo Año

1974


2072


El siguiente cuadro, detalla los costos de los cursos de capacitación requeridos, para la administración de los recursos críticos del Centro de Procesamiento de Datos CPD:

Cuadro 4.19 Cursos de capacitación requeridos para la estrategia de continuidad propuesta.

Curso Personal No.

Personas Costo /

Persona Total

Líder Analista Programador

HP UX 11 i V 3 3 3 369 1107

HP StorageWorks Cluster Extension

Software

3 3 409 1227

HP StorageWorks Storage Mirroring

Software

3 3 306 918

HP Integrity NonStop NS2000 Server 3 3 240 720

HP StorageWorks P9000 Disk Arrays 3 3 157 471

Total $ 4,443 Dolares

Capítulo 4



El cuadro 4.20, muestra los beneficios anuales estimados de la estrategia de continuidad por área clave de la organización objeto de estudio, con un cálculo de beneficios estimados, sobre una base de facturación mensual de $ 2,564,102 Dolares:

Cuadro 4.20 Beneficios estimados de la estrategia de continuidad propuesta.

Beneficios Cuantitativos Beneficio Cuantificación

Manufactura

Garantizar la continuidad de las operaciones para el suministro de información por anticipado, de manera que los gerentes puedan ver el programa planeado antes de la expedición real de los pedidos.

Incremento de la

producción del orden

del 1.2%

$ 30,769 Minimizar la posibilidad de pérdida de información para la toma de decisiones en cuanto al conjunto de costos que ocasionan la materia prima, el material o el producto semi terminado cuando no cumple con las especificaciones y la disposición al manejo de estos.

Distribución

Mantener el servicio al cliente para proveer amplia información de la base instalada para maximizar todas las operaciones con el Cliente y Proveedor.

Incremento en la

capacidad de

almacenaje y

distribución del 0.8%

$ 20,512 Rapidez de detección de dificultades en el cumplimiento de la programación de Clientes y proveedores. Posibilidad de conocer rápidamente las consecuencias financieras de la planificación.

Finanzas

Minimizar la posibilidad de pérdida de información crítica para el negocio, manteniendo la información de cuánto cuesta producir un artículo y en cuanto se puede vender

Recuperación de

Cartera Vencida del 1%

$ 25,641 Asegurar que los registros vitales estén disponibles ante el evento de contingencia, permitiendo conocer oportunamente cuánto se está ganando o perdiendo. Asegurar que los registros vitales estén disponibles ante el evento de contingencia, para el control de Cuentas por Cobrar de las Facturas Emitidas

Organización

Optimización de funciones y Recursos.

Ahorro de Recursos del

0.55%

$ 14,102

Total $ 91,024 Dolares

Se observa que la inversión propuesta es muy atractiva, observando los beneficios estimados en comparación con la facturación promedio anual de $38,000,000 millones de dólares.

Capítulo 4



Con la información proporcionada hasta este momento, se está en condiciones de determinar los parámetros para el análisis de rentabilidad del cuadro 4.21, y el resumen de resultados del análisis de sensibilidad del cuadro 4.22:

Cuadro 4.21 Parámetros para el análisis de rentabilidad (TMAR), de la estrategia de continuidad propuesta.

Flujo Concepto Valor

- Inversión, Materiales, Equipos, Capacitación, Personal (Dolares) $115,063

+ Beneficios Estimados (Dólares) $91,024

- Costo de mantenimiento Año 1 (Dolares) $24,122

- Costo de Mantenimiento Año 2 (Dolares) $25,328

- Costo de mantenimiento Año 3 (Dolares) $26,593

- Impuestos (%) 25

+ Valor de salvamento sobre la inversión en equipo (%) 5

- Depreciación (%) 5

Vida útil de los equipos (años) 5

Tasa de Descuento (p.u) (%) 8,10

Tasa de crecimiento anual (%) 5

Los parámetros anteriores, proporcionan la base del cálculo del análisis de sensibilidad, cuyo resultado se expresa en el siguiente cuadro:

Cuadro 4.22 Resumen de resultados del análisis de sensibilidad, de la estrategia de continuidad propuesta.

Concepto Análisis de Sensibilidad

Valor en Dolares

Inversión 115,063 115,063

Tasa de descuento (%) 8% 10%

T.M.A.R. (%) 30% 30%

Valor presente neto 138,480 132,968

T.I.R. (%)

Relación Beneficio / Costo 1.91 1.89

Año recuperación de Inversión 5 5

Una vez obtenido el análisis de rentabilidad (TMAR) y con tasas de descuento de 8% y 10%, se obtienen la relación de costo beneficio y su correspondiente año de recuperación de la inversión propuesta.

Capítulo 4



Los cuadros 4.23a y 4.23b, detallan el análisis de rentabilidad a tasas del 8% y 10% respectivamente, proporcionando un tiempo estimado de recuperación de la inversión de la estrategia de continuidad propuesta:

Cuadro 4.23a Análisis de rentabilidad a tasa del 8%, de la estrategia de continuidad propuesta.

Flujo de Costos Flujo de Beneficios Flujos de Efectivo-1

Años -2

Invers. -3

Mantto -4

Total -5

Valor Pres.

Costos (8%)

-6Ingresos

(5%)

-7Salva- mento

-8Valor Pres. Beneficios

(8%)

-9Depre-ciación

-10Utilidad Bruta (6)-(4)-

(9)

-11 Impuesto

s 25%(10)

-12 Flujo Neto

Efectivo (10)-

(11)+(9)

-13Flujo

Descon (8%)

-14Flujo Acum

0 2010 115,063 0 115,063 115,063 0 0 0 0 0 0 -115,063 -115,063

1 2011 0 24,122 24,122 22,192 91,024 83,742 1,156 65,746 16,436 50,466 46,428 -68,635

2 2012 0 25,328 25,328 23,301 95,575 87,929 1,098 69,151 17,287 52,960 48,723 -19,912

3 2013 0 26,953 26,953 24,796 100,353 92,324 1,043 72,357 18,089 55,311 50,886 30,974

4 2014 0 28,300 28,300 26,036 105,370 96,940 991 76,079 19,019 58,051 53,406 84,380

5 2015 0 32,545 32,545 29,941 110,638 941 101,786 941 77,152 19,288 58,805 54,100 138,480

115,063 140,349 255,412 241,329 502,960 462,721

Valor Presente Costos 241,329 Valor Presente Beneficios 462,721

Relación Beneficio / Costo 1.91 Tasa Interna de Retorno

Valor Presente Neto 138,480 Año de Recuperación de la Inversión 5

En el cuadro anterior, se aprecia una relación costo/beneficio de 1.91% a cinco años de recuperación de la inversión, a una tasa de descuento del 8%.

Cuadro 4.23b Análisis de rentabilidad a tasa del 10%, de la estrategia de continuidad propuesta.

Flujo de Costos Flujo de Beneficios Flujos de Efectivo-1

Años -2

Invers. -3

Mantto -4

Total -5

Valor Pres.

Costos (10%)

-6Ingresos

(5%)

-7Salva- mento

-8Valor Pres. Beneficios

(10%)

-9Depre-ciación

-10Utilidad Bruta (6)-(4)-

(9)

-11 Impuesto

s 25%(10)

-12 Flujo Neto

Efectivo (10)-

(11)+(9)

-13Flujo

Descon (10%)

-14Flujo Acum

0 2010 115,063 0 115,063 115,063 0 0 0 0 0 0 -115,063 -115,063

1 2011 0 24,122 24,122 21,709 91,024 81,921 1,156 65,746 16,436 50,466 45,419 -69,644

2 2012 0 25,328 25,328 22,795 95,575 86,017 1,098 69,151 17,287 52,960 47,664 -21,980

3 2013 0 26,953 26,953 24,257 100,353 90,517 1,043 72,357 18,089 55,311 49,779 27,799

4 2014 0 28,300 28,300 25,470 105,370 94,833 991 76,079 19,019 58,051 52,245 80,044

5 2015 0 32,545 32,545 29,290 110,638 941 99,574 941 77,152 19,288 58,805 52,924 132,968

115,063 140,349 489,307 238,584 502,960 452,862

Valor Presente Costos 238,584 Valor Presente Beneficios 452,862

Relación Beneficio / Costo 1.89 Tasa Interna de Retorno

Valor Presente Neto 132,968 Año de Recuperación de la Inversión 5

En el cuadro anterior, se aprecia una relación costo/beneficio de 1.89% a cinco años de recuperación de la inversión, a una tasa de descuento del 10%.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.




continuidad.

• A 3.3.‐ Negociación y firma de contratos con los proveedores

de servicios. •A 3.4.‐ Adquisición de la infraestructura de

TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 3.3 Negociación y firma de contratos con los proveedores de servicios. Una vez definida la estrategia de continuidad y el costo/beneficio de la misma, se procede a la negociación y firma de los contratos con los proveedores de servicios de: “Cold Site” (Infraestructura básica, varios días en operar), “Hot Site” (Parcialmente configurado, menos de un día en operar) y “Warm Site” (Listo para operar en pocas horas), este contrato debe incluir, los términos tecnológicos, inscritos en la Solicitud de Propuestas/Solicitud de Calificaciones “RFP/RFQ”, enviado a los proveedores de servicios.

El cuadro 4.24, muestra los términos contractuales generales a que debe estar sujeto el contrato de prestación de servicios del proveedor del Centro de Procesamiento de Datos:

Cuadro 4.24 Contrato de prestación de servicios informáticos para el proveedor del CPD externo.

Contrato de prestación de servicios informáticos DEFINICIÓN: Contrato en virtud del cual una de la partes se compromete a prestar a la otra una serie de servicios informáticos a cambio de un precio.

Desarrollo:

PARTES CONTRATANTES: Empresa prestadora de servicios informáticos y cliente. CLÁUSULAS GENERALES:

Definiciones. Objeto. Duración. Precio y forma de pago. Comunicaciones entre las partes. Confidencialidad. Resolución del contrato. Derechos y obligaciones de las partes. Responsabilidades de las partes. Ley aplicable y tribunales competentes.

CLÁUSULAS ESPECÍFICAS:

Servicios a prestar. Características del servicio.

o Configuraciones de los Sistemas de Información hospedados. o Plan de Recuperación ante Desastres del sitio alterno. o Velocidad de disponibilidad de los Sistemas de Información hospedados. o Abonados por sitio. o Abonados por área. o Preferencia en la disponibilidad de servicios. o Póliza de seguros. o Período de uso del sitio alterno. o Comunicaciones del sitio alterno. o Garantías por pérdida parcial o total de información y/o equipos. o Auditoría de los servicios ofrecidos. o Pruebas de seguridad y disponibilidad. o Confiabilidad de servicios.

Plazos. Suspensión y modificación del servicio. Independencia entre las partes.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.

• A 3.4.‐ Adquisición de la infraestructura

de TIC’s. •A 3.5.‐ Preparación del

sitio alterno.


recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 3.4 Adquisición de la infraestructura de TIC’s. Concluida la negociación y firma de los contratos con los proveedores de servicios, se está en condición de: adquirir y dar mantenimiento a la infraestructura tecnológica que satisface el requisito del negocio, para adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI enfocándose en proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y estándares de tecnología en continuidad del negocio.

Antes de la negociación y firma del contrato de adquisición de la infraestructura de TI, se requiere considerar los parámetros de selección y adquisición de hardware y software del Centro de Procesamiento de Datos local y duplicado:

Cuadro 4.25 Parámetros a considerar en la selección y adquisición de hardware y software del CPD (Inicio).

Parámetros a considerar en la selección y adquisición de hardware y software del Centro de

Procesamiento de Datos CPD

PRECIO: Del sistema De instalación Generales

CONVERSIÓN

Facilidad Capacitación de personal Apoyo al sistema Facilidades para pruebas de las aplicaciones del cliente

SOPORTE DE LA FIRMA

Organización Plazos de entrega Mantenimiento y servicio Actitud de la oferta Posibilidad de utilizar otros equipos de cómputo

HARDWARE

Seguridad funcional Tiempo total de màquina Posibilidades de comprobación Rendimientos y características Asesoramiento comparado Posibilidades de crecimiento Compatibilidad

Capítulo 4



Cuadro 4.25 Parámetros a considerar en la selección y adquisición de hardware y software del CPD (Final).

Parámetros a considerar en la selección y adquisición de hardware y software del Centro de

Procesamiento de Datos CPD

SOFTWARE

Lenguajes Simulación – emulación Sistemas operativos Soporte de programación para tiempo real Programas de computación

CRITERIOS POR APLICAR PARA SELECCIONAR A UN PROVEEDOR

Criterios que se aplicaran para las evaluaciones Criterios que se aplicaran para la adjudicación de los contratos

MATRIZ DE SELECCIÓN MÉTODOS DE EVALUACIÓN TÉCNICA

Muestras Fachas para la entrega de los bienes y para la iniciación de la prestación del servicio Lugar para la entrega de los bienes y para la iniciación de la prestación de los servicios. Periodo de garantía de los bienes

INFORMACIÓN ADICIONAL

Equipamiento Pruebas de desempeño Procedimientos para la inspección de los bienes Patentes marcas y derechos de autor

INSTRUCCIONES PARA LA ELABORACIÓN Y PRESENTACIÓN DE LAS OFERTAS

Elaboración de las ofertas Presentación de las ofertas

DESCALIFICACIÓN DE PROVEEDORES ANEXOS QUE DEBERÁ LLENAR EL PROVEEDOR

Instructivo para el llenado de cuestionarios Cuestionario 1, Datos generales de la empresa Cuestionario 2, Asistencia técnica Cuestionario 3, Mantenimiento Cuestionario 4, Capacitación Cuestionario 5, Centros de servicio del proveedor

El problema de la selección de equipo de cómputo tiene matices profundamente subjetivos. A fin de poder realizar dicha selección de la forma más objetiva posible, se expuso anteriormente una secuencia de parámetros de cuyo análisis y posterior evaluación puede derivarse una adecuada elección.

Capítulo 4



Una vez seleccionado el hardware y software, el siguiente paso para su adquisición, en base a los parámetros anteriores, se procede a la firma del contrato de adquisición de la infraestructura de TI, ver cuadro 4.26:

Cuadro 4.26 Contrato para la adquisición de la infraestructura de TI.

Contrato de prestación de servicios informáticos DEFINICIÓN: Contrato en virtud del cual una de la partes se compromete a prestar a la otra una serie de servicios informáticos a cambio de un precio.

Desarrollo:

PARTES CONTRATANTES: Empresa prestadora de servicios informáticos y cliente. CLÁUSULAS GENERALES:

Definiciones. Objeto. Duración. Precio y forma de pago. Comunicaciones entre las partes. Confidencialidad. Resolución del contrato. Derechos y obligaciones de las partes. Responsabilidades de las partes. Ley aplicable y tribunales competentes.

CLÁUSULAS ESPECÍFICAS:

Servicios a prestar. Características del servicio.

o PRECIO: Del sistema De instalación Generales

o CONVERSIÓN Capacitación de personal Apoyo al sistema Facilidades para pruebas de las aplicaciones del cliente

o SOPORTE DE LA FIRMA Plazos de entrega Mantenimiento y servicio Posibilidad de utilizar otros equipos de computo

o HARDWARE Seguridad funcional Tiempo total de máquina Posibilidades de comprobación Rendimientos y características Asesoramiento comparado Posibilidades de crecimiento Compatibilidad

o SOFTWARE Lenguajes Simulación – emulación Sistemas operativos Soporte de programación para tiempo real Programas de computación

Plazos. Suspensión y modificación del servicio. Independencia entre las partes.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios. •A 3.4.‐ Adquisición de la infraestructura de

TIC’s.

• A 3.5.‐ Preparación del sitio alterno.


recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 3.5 Preparación del sitio alterno. Una vez adquirida la infraestructura de TI necesaria, se consolida la información del centro alterno, su ubicación, el mapa de los elementos que están en el sitio, la funcionalidad de cada puesto de trabajo y el responsable de los elementos que allí se encuentran, así como, el procedimiento para ingresar, teniendo en cuenta consideraciones de horario (hábil o no hábil).

El sitio alterno duplicado, ofrece múltiples soluciones de respaldo, sus principales características son la dedicación exclusiva al servicio de continuidad y recuperación del negocio, garantía de disponibilidad, flexibilidad según necesidades, multiplataforma y facilidad de escalabilidad:

El sitio alterno es tan seguro y

controlado como el sitio primario:

Accesos físicos (cerrojos en

puertas, no ventanas, vigilancia humana), identificación desde el exterior y con letreros de ubicación

No está sujeta al mismo

desastre del sitio primario. Cuenta con detectores de humo y aspersores de agua.

Capítulo 4



Monitoreo y control ambiental (humedad, temperatura, aire), para óptimas condiciones para medios, papelería, equipos y dispositivos.

Suministro ininterrumpido de energía

Piso Falso.

Sistema de extinción probado y

en operación.

Además, cuenta con flexibilidad para adaptar el servicio a los cambios de configuración que se produzcan en el futuro en la arquitectura de sistemas, cubriendo la necesidad de recuperación del servicio en caso de desastre en el centro de producción.

Capítulo 4



El proveedor del sitio externo, cuenta con recursos que están totalmente dedicados a la Recuperación y Continuidad de los Sistemas mediante la externalización de servicios para evitar usos indebidos, logrando un rigor en la seguridad.

1500 m2 dedicados a soluciones de Continuidad de Negocio.

240 m2 de área técnica divididos en 4 salas.

125 puestos de respaldo para usuarios.

Horario 7x24. Red eléctrica redundante:

UPS y generador eléctrico. Red diversificada de

telecomunicaciones: Telefónica, COLT, BT, NeoSky.

Facilidad de acceso: o Transporte privado. o Transporte colectivo. o Autobús.

La compañía ofrece múltiples soluciones de respaldo que pueden ser dedicadas, compartidas o mixtas, sus principales características son la dedicación exclusiva al servicio de continuidad y recuperación del negocio, garantía de disponibilidad, flexibilidad según necesidades, multiplataforma y facilidad de escalabilidad. Una vez preparado el sitio alterno tanto duplicado como externo, se procede a definir los procedimientos de recuperación correspondientes a la estrategia seleccionada.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios. •A 3.4.‐ Adquisición de la infraestructura de

TIC’s.


• A 3.6.‐ Definir los procedimientos de recuperación.



entrenamiento.





las pruebas.



las pruebas.








Actividad 3.6 Definir los procedimientos de recuperación. Finalmente, se procede al diseño de la respuesta inicial, procedimientos de emergencia, activación de los equipos de recuperación de desastres y continuidad del negocio, activación del sitio de recuperación (recuperación en el sitio alterno, recuperación de actividades en paralelo o recuperación en el sitio original) y notificaciones, requerimientos de los usuarios finales, así como, monitoreo de la recuperación, progreso de la reanudación y revisiones para conducir a la post-reanudación.

Para iniciar la definición de los procedimientos de recuperación, primero se debe tener presente el flujo de información en los diferentes procesos que conforman la respuesta a emergencia y restauración, ver figura 4.9:

Figura 4.9 Diagrama de flujo de respuesta a emergencia y restauración.

Capítulo 4



De acuerdo al diagrama de flujo anterior, a continuación se resumen los procedimientos de respuesta a emergencia necesarios para el salvamento o restauración de los servicios críticos:

Cuadro 4.27 Procedimientos de respuesta a emergencias y restauración para el salvamento de los servicios críticos.

Emergencia Prevención Respuesta Lugar Reanudación Recuperación Restauración

Interrupción eléctrica

Fuentes alternas de generación eléctrica:

UPS y plantas eléctricas.

Cambio de suministro del proveedor eléctrico a

planta de fuerza, en línea.

CPD Local ERP y Bases de Datos Todas las demás operaciones del

CPD.

Cambio de suministro al

proveedor eléctrico.

Interrupción eléctrica total

Fuentes alternas de generación eléctrica:

UPS y plantas eléctricas.

Suministro de la fuente alterna de

almacenamiento eléctrico UPS, en línea.

CPD Local ERP y Bases de Datos Todas las demás operaciones del

CPD.

Cambio de suministro al

proveedor eléctrico.

Interrupción eléctrica total /

tiempo máximo de espera en CPD

Local

Brigadas de atención ante situaciones de

emergencia

Cambio al CPD duplicado y

redireccionamiento del tráfico de red.

CDP Local, CPD

Duplicado

ERP, Bases de Datos y Telecomunicaciones

Todas las demás operaciones del

CPD.

Cambio al CPD Local

Interrupción eléctrica total /

tiempo máximo de espera en CPD

Local y CPD Duplicao

Brigadas de atención ante situaciones de

emergencia

Cambio al CPD externo y redireccionamiento del

tráfico de red.

CPD Local, CPD

Duplicado, CPD

Externo.

ERP, Bases de Datos y Telecomunicaciones


CPD.

Cambio al CPD Local

Falla de hardware de disco

Contratos de mantenimiento

preventivo y correctivo

Cambio de disco físico del arreglo y

actualización de la imagen en línea.

CPD Local ERP y Bases de Datos Demás servicios del servidor

principal

Disco en línea con la imagen de

información actualizada

Falla de hardware del servidor

principal


preventivo y correctivo

Activación del cluster, cambio de servidor

principal por el secundario en línea.

CPD Local ERP y Bases de Datos Demás servicios del servidor

principal

Servidor principal en línea

Falla de hardware de las tarjetas de

red

Capacidad de redundancia entre

servidores

Redireccionamiento del tráfico de red interno del

servidor, al segmento secundario de red en

línea.

CPD Local ERP, Bases de Datos y servicios de comunicación

Demás servicios del servidor

principal

Tarjeta de red y Segmento de red primario en línea

Falla del segmento primario de red

Mantenimiento preventivo y correctivo

de los equipos de comunicación.

Activación y redireccionamiento del

tráfico de red al segmento secundario de

red en línea.

CPD Local ERP, Bases de Datos y servicios de comunicación


CPD.

Segmento de red primario en línea

Fallas en software Procedimientos para respaldo y

recuperación de información, fuentes,

objetos, documentación, y

configuración de los sistemas

Restauración del histórico para Bases de Datos, ERP o Sistema

Operativo.

CPD Local ERP, Bases de Datos y Sistema Operativo


principal

ERP, Bases de Datos y Sistema Operativo

actualizado y en línea

Fallas de respaldos de información

Cambios y configuración en

aplicaciones

Restauración del histórico duplicado para Bases de Datos, ERP o

Sistema Operativo.

CPD Local ERP, Bases de Datos y Sistema Operativo


principal

ERP, Bases de Datos y Sistema Operativo

actualizado y respaldados

Intrusión (hackeo) Procedimientos para el acceso a los recursos tecnológicos (redes y

aplicaciones).

Cierre automático de todos los puertos de servicio de la red y servidor principal.

CPD Local ERP y Bases de Datos.


CPD.

Monitoreo de los accesos tanto

legítimos como ilegítimos

Violaciones de seguridad física

Circuitos cerrados de televisión, sensores de movimiento, alarmas

Cierre automático de emergencia de acceso al

CPD

CPD Local ERP y Bases de Datos.


CPD.

Monitoreo de los accesos legítimos e

ilegítimos

Capítulo 4



Una vez conocidos los procedimientos de respuesta a emergencias y restauración para el salvamento de los servicios críticos, se procede a determinar los procedimientos de emergencia para las categorías específicas de crisis. A continuación se detallan los procedimientos de manejo de crisis ante una interrupción importante de la producción (Desastres Naturales):

Cuadro 4.28 Interrupción importante de la producción: Desastres Naturales (Inicio).

Propósito El propósito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente cuando exista una interrupción importante en la producción.

Aplicación

Aplica a cualquier pérdida inesperada de capacidad de producción o inventario de producto terminado, el cual resulte en imposibilidad para producir y/o despachar producto en un período de tiempo significativo. Ejemplos de una interrupción importante de la producción son:

Daño de planta o equipo causado por fuego, explosión, inundación, tornado, falla del equipo, etc., los cuales resultan en incapacidad para producir/distribuir producto.

Falla del proveedor para suministrar una materia prima crítica necesaria para la producción del producto. Paro de autotransportes que resulte en incapacidad para entrega de materias primas y/o distribución de productos

terminados. Acción legal, paro, o resultado de una decisión para discontinuar las operaciones.

Este procedimiento no pretende cubrir reparaciones menores por fallas en equipo, interrupción de la producción por paro de trabajadores cuyo plan de contingencia ha sido desarrollado, o faltantes temporales de la producción resultantes de calidad, salud o seguridad.

Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa de la interrupción (muerte accidental, medio ambiente, amenaza de bomba, etc.). Además, este procedimiento no intenta reemplazar los procedimientos de emergencia desarrollados para fuego, terremoto, inundación u otro desastre natural.

Acciones a tomar: Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupción importante en la producción

1. Notificar al líder de equipo o gerente de la unidad (dependiendo de la disponibilidad) inmediatamente:

No permitir que un posible evento de crisis no sea reportado por alguna razón. Si se identifica una interrupción importante de la producción, usando los ejemplos y el criterio general especificado anteriormente, se debe informar al líder de equipo de todos los hechos disponibles para fomentar una pronta comunicación (si la situación así lo demanda) al Gerente de la unidad. Si el gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al Director General.

2. Contener la Crisis de Inmediato:

Conjuntamente con las acciones descritas anteriormente y hasta que el administrador de la crisis haya sido asignado y un plan haya sido desarrollado, actuar rápida y prudentemente para contener la crisis inmediatamente. Dependiendo de la naturaleza y seriedad del accidente, se deben tomar las siguientes acciones:

A. Implementar todos los procedimientos de seguridad de emergencia aplicables para fuego, terremoto, inundación

u otro desastre natural, como sea apropiado. B. Determinar los procedimientos de administración de crisis adicionales que deben ser implementados tales cómo

muerte accidental o heridas graves, medio ambiente, amenaza de bomba, etc. C. Establecer la seguridad de los empleados y de la comunidad local, tomar todas las acciones apropiadas para

resolver todas las condiciones de inseguridad.

Capítulo 4



Cuadro 4.28 Interrupción importante de la producción: Desastres Naturales (Final).

Aplicación

D. Llamar a hospitales y ambulancias si es apropiado. E. Asegurar el sitio accidentado/dañado, el lugar de la planta y establecer la seguridad en el área de producción y

unidad. F. Notificar a las autoridades locales aplicables y a las agencias de administración de emergencias (Departamento de

Bomberos, Departamento de Policía, etc.) si es apropiado. G. Notificar al Departamento de Recursos Humanos para desarrollar el plan de comunicaciones. H. Notificar al equipo de Administración de la Emergencia. I. Notificar al equipo de Evaluación de Daños, para efectuar la primera estimación de los daños en productos

terminados o ambientales J. Notificar al líder del sindicato, si es apropiado.

3. Definir la crisis:

Una vez que la situación inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Acción de Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigación objetiva para determinar la causa del accidente, la naturaleza y extensión de las heridas sufridas y algún daño relacionado con la propiedad y algún otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar resúmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigación, se deberá:

A. Determinar la naturaleza y extensión de la interrupción. B. Recoger los nombres, direcciones y números telefónicos de todos los testigos del incidente y todas las otras

personas heridas o de alguna forma comprometidas. C. Tomar fotografías, hacer dibujos y si es posible, grabaciones de la escena del accidente tan pronto como sea

posible. D. Determinar la causa del evento o incidente y listar todas las respuestas tomadas en ese momento. E. Determinar la naturaleza y extensión de algunos heridos o muerte. F. Determinar la naturaleza y extensión de algunos daños a los activos de la corporación. G. Determinar la naturaleza y extensión de algún daño al medio ambiente. H. Determinar la naturaleza y extensión de algún daño a la comunidad. I. Determinar el impacto potencial sobre la fuerza de trabajo (reducción de la programación, hacer asignaciones

nuevas, plan temporal, etc.) J. Establecer algún riesgo vigente para los empleados, clientes o comunidad.

4. Tomar las siguientes acciones adicionales:

A. Comunicar y considerar reprogramar nuevamente todas las Materias Primas y Productos Terminados. B. Comunicar la pérdida de producción y/o capacidad de despacho a transportistas y ventas, e indicar las

comunicaciones a ser seguidas de distribución. C. Considerar las alternativas de fuentes estratégicas. D. Considerar estrategias de distribución de productos. E. Revisar con el Departamento Legal para ver si los contratos con el vendedor o cliente pueden ser violados. F. Coordinar la estrategia de distribución del producto con Mercadeo, Publicidad y Ventas. G. Considerar temporalmente la alternativa de planes de espacio para continuar la producción hasta que la

reparación o construcción se lleve a cabo. H. Coordinar el flujo de los servicios públicos con las compañías de servicios para coincidir con la salida de

producción. I. Si es apropiado, desarrollar estrategias para regresar la planta y equipo a su operación normal. J. Considerar opciones para modificar y convertir equipos alternos que reúnan las demandas de producción. K. Considerar la identificación y cancelación de activos. L. Si es apropiado, coordinar la terminación y presentación de los papeles de trabajo del reclamo de seguros.

5. Revisión de la crisis:

Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar cambios que se deben efectuar y otras acciones correctivas:

A. ¿Qué tan efectivos fueron los procedimientos de contención, definición y respuesta a la crisis? B. ¿Cómo fue la respuesta y la disponibilidad de los recursos claves cuando fueron llamados para soportar los

esfuerzos de administración de crisis? C. ¿Qué tan efectivo fue el equipo de Respuesta a Incidentes para responder la crisis?

Capítulo 4



El cuadro 4.29, detalla los procedimientos de manejo de crisis ante una interrupción importante de la producción: Relaciones con empleados (Desastres Humanos):

Cuadro 4.29 Relaciones con empleados: Desastres Humanos (Inicio).

Propósito El propósito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente con un evento de crisis de relación con empleados.

Aplicación

Este procedimiento de respuesta aplica a cualquier problema de relación con empleados que pueden afectar seriamente a la compañía para cumplir sus objetivos de seguridad de los activos y empleados, financieros, producción y servicio al cliente. Ejemplos de eventos de crisis de relaciones con empleados son:

Una huelga iniciada en una unidad sindicalizada en conjunto con el convenio normal de obligaciones. Un paro en la unidad sindicalizada o no iniciada por empleados en protesta por algunas acciones administrativas o en un

intento por forzar un punto de vista.

La potencial seriedad de tales eventos debe ser evaluada en términos de potenciales efectos adversos sobre la seguridad de los empleados, producción, servicio al cliente, finanzas corporativas, presiones y reacciones públicas.

Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento (interrupción importante de la producción, publicidad adversa, etc.). Además, este procedimiento no intenta reemplazar los planes detallados para huelgas que hayan sido desarrollados por la administración del sindicato de la unidad, con guías del Departamento de Recursos Humanos y Departamento Legal. Más bien este procedimiento intenta establecer esfuerzos para respuestas iniciales para todos los eventos de crisis en relación con empleados.

Acciones a tomar: Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupción importante en la producción:

1. Notificar al líder de equipo o gerente de la unidad (dependiendo de la disponibilidad) inmediatamente:

No permitir que el potencial evento de crisis, no sea reportado por alguna razón. Identifica cualquier interrupción importante de la producción, usando los ejemplos y el criterio general especificado anteriormente, informar al líder de equipo de todos los hechos disponibles para fomentar una pronta comunicación (si la situación así lo demanda) al Gerente de la unidad. Si el gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al Director General.


Conjuntamente con las acciones descritas anteriormente y hasta que el administrador de la crisis haya sido asignado y un plan haya sido desarrollado, actuar rápida y prudentemente para contener la crisis inmediatamente. Dependiendo de la naturaleza y seriedad del accidente, se deben tomar las siguientes acciones:

1. Determinar si procedimientos adicionales de administración de crisis deben ser implementados tal cómo

interrupción importante de la producción, publicidad adversa, etc. 2. Instituir las condiciones del plan de huelga de la unidad, si es aplicable 3. Contactar todos los empleados y motivarlos/persuadirlos para que continúen trabajando, si es pertinente. 4. Empezar una investigación para conocer las causas de la crisis de relación con empleados, y averiguar

soluciones que serán necesarias para disminuir el impacto económico, tanto como sea posible. 5. Notificar al equipo de Administración de la Emergencia. 6. Notificar al equipo de Evaluación de Daños. 7. Notificar al Departamento de Recursos Humanos Corporativo. 8. Notificar al Departamento Legal 9. Notificar a seguridad corporativa, discutir y desarrollar planes que pueden ser la mejor protección para los

empleados, equipo e instalaciones de la Compañía. 10. Notificar al Departamento de Policía local, de la situación y una posible necesidad de asistencia.

Capítulo 4



Cuadro 4.29 Relaciones con empleados: Desastres Humanos (Final).

Aplicación


Una vez que la situación inmediata ha sido estabilizada, y pendiente de instrucciones adicionales del equipo de Acción de Emergencias, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigación objetiva para determinar la causa del problema, la naturaleza y extensión de las heridas sufridas y algún daño relacionado con la propiedad y algún otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar resúmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigación, se debe:

A. Determinar la naturaleza, extensión y causa de la crisis de relación con empleados, compilar y actualizar continuamente un registro o resumen objetivo y cronológico del evento de crisis, incluyendo todas las respuestas de la compañía a la crisis.

B. Si es aplicable preparar listas identificando todos los empleados envueltos en la huelga o paro de labores, también como aquellos empleados no envueltos en la crisis de relación con empleados.

C. Si es aplicable, compilar una lista de los nombres y direcciones de todos los líderes sindicales locales. D. Si es posible, averiguar la lista “prioridad de demandas” de los líderes de los empleados envueltos en el evento

(líderes del sindicato, si es aplicable). E. Determinar el impacto potencial sobre la fuerza de trabajo (reducción de la programación, hacer asignaciones

nuevas, plan temporal, fuentes alternas de producción etc.)


A. Establecer un comando central y comunicaciones continuas entre el personal del equipo de Acción de Emergencias y el equipo Administrador de la Emergencia.

B. Si es apropiado, desarrollar y suministrar toda la información necesaria para Recursos Humanos, para una posible emisión de pronunciamientos.

C. Mantener un archivo central de todos los papeles de trabajo y otros registros relacionados con los eventos de la crisis.

D. Desarrollar un plan para salvar los ingresos y egresos de la localidad, acomodando empleados temporalmente, proveedores, contratistas externos, empleados no comprometidos y administración.

E. Considerar que la producción y servicio al cliente son los más esenciales y hacer recomendaciones para el Jefe de sector/unidad de servicio, en cuanto tales productos y servicios deben continuar sin interrupción.

F. Comunicar pérdida potencial de la producción y/o capacidad de despachos para transporte y ventas. G. Trabajar con el Departamento Legal, Considerar la necesidad de identificar y contactar consejeros legales locales

externos. H. Reportes de progreso sobre todas las investigaciones de los equipos de Acción de Emergencia y Evaluación de

Daños.




esfuerzos de administración de crisis? C. ¿Qué tan efectivo fue el equipo de Respuesta a Incidentes para responder a la crisis?

Estos procedimientos de respuesta incluyen los pasos iniciales de respuesta a la crisis, una lista de contactos claves internos y externos, sus responsabilidades y una lista de chequeo de asuntos específicos a ser dirigidos. Los procedimientos de respuesta para otras categorías de crisis serán desarrolladas cuando el Equipo de Respuesta a Incidentes lo considere necesario.

Capítulo 4



A continuación se detallan los procedimientos de manejo de crisis ante una interrupción importante de la producción: Avería del Centro de Procesamiento de Datos CPD (Desastres Tecnológicos):

Cuadro 4.30 Avería del Centro de Procesamiento de Datos CPD: Desastres Tecnológicos (Inicio).

Propósito El propósito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente cuando haya eventos de sabotaje y fallas del Centro de Procesamiento de Datos.

Aplicación

Este procedimiento de respuesta aplica a cualquier situación que pueda originar daños físicos o pérdida del procesamiento computarizado en algún período determinado. La falla puede resultar de una pérdida del funcionamiento del procesamiento, la inhabilidad para obtener acceso a la computadora o una falla externa resultante de la inhabilidad para procesar información en un período de tiempo. Los siguientes ejemplos son eventos de fallas en el Centro de procesamiento de Datos:

Una explosión en las instalaciones del Centro de procesamiento de Datos que impiden las operaciones de la unidad. Se dañan las Telecomunicaciones que suministran servicio a una porción importante de la red de datos. Los archivos de datos son saboteados por un hacker dando información no confiable.

Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento. Cada instalación computarizada debe mantener un plan de continuidad de negocios, incorporando procedimientos de recuperación de emergencias para restaurar las funciones de procesamiento del Centro de Procesamiento de Datos, Además, este procedimiento no intenta reemplazar los procedimientos o planes desarrollados para restaurar el proceso del CPD, en el evento de una falla menor.

Acciones a tomar: Las siguientes acciones deben ser tomadas en el evento de un sabotaje o falla en el Centro de Procesamiento de Datos:

1. Notificar inmediatamente a su supervisor o Jefe de Sector/Unidad de Servicio:

No permitir que un posible evento de crisis se quede sin reportar por alguna razón. Si se identifica un evento de falla en el CPD, usando los ejemplos y criterio especificados anteriormente, se debe informar inmediatamente al Gerente de la unidad y a seguridad corporativa de todos los detalles disponibles. Si el Gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al Director General.


Después de notificar apropiadamente la falla del Centro de Procesamiento de Datos o sabotaje y hasta que el administrador de la crisis haya sido asignado y un plan haya sido desarrollado, actuar rápida y prudentemente para contener la crisis inmediatamente. Dependiendo de la naturaleza y seriedad del evento, se debe tomar las siguientes acciones:

A. Establecer la seguridad de los empleados y de la comunidad local y tomar las acciones apropiadas para resolver

las condiciones inseguras. B. Llamar a los equipos de rescate y agencias de administración de emergencias (Departamento de Bomberos,

Policía, etc.) si es apropiado. C. Seguridad en las instalaciones computarizadas dañadas. D. Determinar si procedimientos adicionales de administración de crisis necesitan ser implementados tales como

muerte accidental o heridos graves, interrupción importante de la producción, amenaza de bomba, etc. E. Notificar a Recursos Humanos para desarrollar un plan de comunicaciones, referir alguna averiguación de los

medios a Recursos Humanos. F. Notificar al equipo de Acción de Emergencia. G. Notificar al Equipo de Evaluación de Daños, para que establezca el daño en las instalaciones del CPD. H. Notificar al Equipo de Administración de la Emergencia.

Capítulo 4



Cuadro 4.30 Avería del Centro de Procesamiento de Datos CPD: Desastres Tecnológicos (Final).

Aplicación


Una vez que la situación inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Acción de Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigación objetiva para determinar la causa del evento, la naturaleza de algún daño en la propiedad y algún otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar resúmenes de sus investigaciones al equipo de Respuesta a Incidentes. Como parte de la investigación, se debe:

A. Determinar la naturaleza y extensión de algunos heridos o muertos B. Recoger los nombres, direcciones y números telefónicos de todos los testigos del incidente y todas las otras

personas heridas o de alguna forma comprometidas. C. Tomar fotografías, hacer dibujos y si es posible, filmaciones de las áreas y equipos afectados. D. Determinar la naturaleza y extensión de algún daño al equipo computarizado y de Telecomunicaciones. E. Determinar la causa del evento o incidente y listar todas las respuestas tomadas en ese momento. F. Determinar el impacto potencial sobre los empleados. G. Determinar la naturaleza y extensión de algún daño al medio ambiente H. Determinar la naturaleza y extensión de algún daño a la comunidad. I. Establecer algún riesgo vigente para los empleados o la comunidad.


A. Considerar la activación de la estrategia de continuidad vigente. B. Notificar al proveedor local de una situación de desastre. C. Recobrar la información de respaldo almacenada en un lugar fuera del sitio D. Considerar un mensaje para llamadas de ayuda de escritorio para comunicar a todos los usuarios de

computadores el progreso de la recuperación. E. Notificar a los usuarios propietarios de aplicaciones críticas de negocios sobre el progreso de un proceso de

recuperación de desastres. F. Considerar el establecimiento de un Centro de Control de Emergencia para coordinar y monitorear el proceso de

recuperación. G. Considerar una oficina alterna para continuar recuperando las operaciones computarizadas. H. Coordinar el flujo de servicios públicos (electricidad, teléfono, etc.) con las empresas públicas, para que coincida

con la recuperación de las operaciones del CPD. I. Considerar la identificación de activos y cancelarlos. J. Coordinar la restauración de los equipos de cómputo destruidos.




esfuerzos de administración de crisis? C. ¿Qué tan efectivo fue el equipo de Respuesta a Incidentes para responder a la crisis? D. ¿Qué consejo adicional es necesario, para los individuos afectados por la crisis? E. ¿Qué medidas deben ser incluidas en un plan de prevención para asegurar que no ocurrirá otro incidente? F. ¿Qué información debe ser comunicada a otras unidades computarizadas que puedan potencialmente tener

situaciones similares?

Los procedimientos anteriores, son una respuesta a la crisis generada por una interrupción importante de la producción ante desastres naturales, humanos y tecnológicos, proporcionado una guía para la activación del Plan de Continuidad y sus correspondientes procedimientos de emergencia definidos.

Capítulo 4





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP



general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.


• A 4.1.‐ Definir objetivos de

entrenamiento. •A 4.2.‐ Desarrollar e implementar varios tipos de programas de

entrenamiento.


educación.

•A 4.4.‐ Descripción de las pruebas.


su periodicidad.

•A 4.6.‐ Ejercitación de las pruebas.








Fase IV.- Capacitar, probar y ejercitar. Determinar la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupción, evaluando el equipo y personal a cargo de cada actividad crítica, realizando una prueba al sistema demostrando competencia y capacidad de continuidad del negocio, a través de la revisión de los estándares y mejores prácticas, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a estándares predefinidos. Actividad 4.1 Definir objetivos de entrenamiento. Establecer las estrategias y procedimientos de los programas de entrenamiento, para proveer de direccionamiento, soporte, metodologías y estándares para garantizar la continuidad del negocio y servicios de TIC´s.

Objetivo: Garantizar la adecuada capacitación del personal en el entendimiento de la documentación del Plan de Continuidad, y de todo documento que esté relacionado con el escenario de y el alcance del mismo. Para esto se debe considerar el plan de pruebas, sugiriéndose los siguientes aspectos:

Las presentaciones incluyen los siguientes temas: o Los componentes del plan de continuidad, o Porqué es importante el plan de continuidad, o Líderes y coordinadores, o Dónde el plan de continuidad puede tener lugar, o Presentación del plan de pruebas, o Cómo el plan es activado.

En lo referente al tipo de audiencias son: Gerencial, Miembros del equipo de planificación y empleados.

En temas de concientización, se podrían utilizar videos, noticias, póster, Memo de la administración, artículos promocionales. Etc.

En cuanto a temas de concientización es importante revisar desastres recientes y lecciones aprendidas, por medio de forum de discusión, artículos en la intranet, etc.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.

• A 4.2.‐ Desarrollar e implementar varios tipos de programas de entrenamiento.



las pruebas. •A 4.5.‐ Planificar los escenarios de prueba y


las pruebas.








Actividad 4.2 Desarrollar e implementar varios tipos de programas de entrenamiento. Definidos los objetivos de entrenamiento, se desarrollan los programas de capacitación en todos los niveles de la organización en lo referente a los planes de continuidad de los procesos del negocio y servicios de TIC, incluyendo las definiciones de los términos usados, los objetivos del plan, los supuestos y limitaciones, el análisis de riesgos y su impacto al negocio realizado y los escenarios contemplados, así como las estrategias y procedimientos definidos, asignando a cada uno de los participantes su rol dentro de dichos planes.

El cuadro 4.31, define el plan de capacitación permanente al personal involucrado en los esfuerzos para asegurar la continuidad de TIC’s. Los procesos de capacitación deberán ejecutarse al menos una vez al año, o cuando un cambio en el negocio así lo fuerce:

Cuadro 4.31 Plan de adiestramiento, pruebas y ejercitación del plan de continuidad.

Concepto Área

Funcional Actividad Duración Meses

1 2 3 4 5 6 7 8 9 10 11 12

Desarrollo del Plan de

Adiestramiento,

Gerencial

Componentes del plan de continuidad Importancia del plan de continuidad Análisis de riesgos y su impacto al negocio Equipos de planificación Líderes y coordinadores Escenarios para el plan de continuidad Plan de pruebas y ejercitación Activación del plan Supuestos y limitaciones Rol dentro del plan de continuidad

Miembros del equipo de

planificación

Componentes del plan de continuidad Importancia del plan de continuidad Líderes y coordinadores Escenarios para el plan de continuidad Plan de pruebas y ejercitación Activación del plan Rol dentro del plan de continuidad

Empleados

Definición de términos Objetivos del plan Importancia del plan de continuidad Escenarios para el plan de continuidad Pruebas y ejercitación Activación del plan Líderes y coordinadores Rol dentro del plan de continuidad

Pruebas y

ejercitación Gerencia

Correspondiente Pruebas y ejercitación del plan de continuidad

Mantenimiento Gerencia

de Sistemas Mantenimiento del plan de continuidad

Con lo anterior, se pretende controlar el entrenamiento continuo de personas que son identificadas en este procedimiento como miembros potenciales del Equipo de atención a incidentes.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.



• A 4.3.‐ Identificar otras oportunidades

de educación. •A 4.4.‐ Descripción de

las pruebas.


su periodicidad.









Actividad 4.3 Identificar otras oportunidades de educación. Los gerentes y el personal de Recursos Humanos deben permanecer alerta a los tipos de capacitación que se requieren, cuándo se necesitan, quién lo precisa y qué métodos son mejores para dar a los empleados el conocimiento, habilidades y capacidades necesarias. Para asegurar que la capacitación sea oportuna y esté enfocada en los aspectos prioritarios los gerentes deben abordar la evaluación de necesidades en forma sistemática.

El cuadro 4.32, muestra la identificación de las oportunidades de educación; ésta, no es mucho más que la clarificación de las demandas educativas del proyecto, la determinación de estas necesidades, es una responsabilidad y una función de staff correspondiente al administrador de línea:

Cuadro 4.32 Identificar oportunidades de educación.

Identificar otras oportunidades de educación:

A. EVALUACIÓN DE DESEMPEÑO: Mediante la evaluación de desempeño es posible descubrir no sólo a los empleados que vienen efectuando sus tareas por debajo de un nivel satisfactorio, sino también averiguar qué sectores de la empresa reclaman una atención inmediata de los responsables del entrenamiento.

B. OBSERVACIÓN: Verificar donde haya evidencia de trabajo ineficiente, como excesivo daño de equipo, atraso con relación

al cronograma, perdida excesiva de materia prima, número acentuado de problemas disciplinarios, alto índice de ausentismo, etc.

C. CUESTIONARIOS: Investigaciones mediante cuestionarios y listas de verificación (check list) que pongan en evidencia las

necesidades de entrenamiento.

D. SOLICITUD DE SUPERVISORES Y GERENTES: Cuando la necesidad de entrenamiento apunta a un nivel muy alto, los propios gerentes y supervisores se hacen propensos a solicitar entrenamiento para su personal.

E. ENTREVISTAS CON SUPERVISORES Y GERENTES: Contactos directos con supervisores y gerentes, con respecto a

posibles problemas solucionables mediante entrenamiento, por lo general se descubren en las entrevistas con los responsables de diversos sectores.

F. REUNIONES ÍNTER DEPARTAMENTALES: Discusiones ínter departamentales acerca de asuntos concernientes a objetivos

empresariales, problemas operacionales, planes para determinados objetivos y otros asuntos administrativos.

G. EXAMEN DE EMPLEADOS: Prueba de conocimiento del trabajo de los empleados que ejecutan determinadas funciones o tareas.

H. MODIFICACIÓN DE TRABAJO: Siempre que se introduzcan modificaciones totales o parciales de la rutina de trabajo, se

hace necesario el entrenamiento previo de los empleados en los nuevos métodos y procesos de trabajo.

I. ENTREVISTA DE SALIDA: Cuando el empleado va a retirarse de la empresa es el momento más apropiado para conocer no solo su opinión sincera acerca de la empresa, sino también las razones que motivaron su salida. Es posible que salgan a relucir varias diferencias de la organización, susceptibles de correcciones.

J. ANÁLISIS DE CARGOS: El conocimiento y la definición de lo que se quiere en cuanto a aptitudes, conocimientos y

capacidad, hace que se puedan preparar programas adecuados de capacitación para desarrollar la capacidad y proveer conocimientos específicos según las tareas, además de formular planes de capacitación concretos y económicos y de adaptar métodos didácticos.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.




educación.

• A 4.4.‐ Descripción de las pruebas.



las pruebas.








Actividad 4.4 Descripción de las pruebas. Esta etapa se orienta a probar con antelación y coordinar ejercicios, documentando y evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una adecuada recuperación de las operaciones de TI, de acuerdo con la dirección estratégica del negocio, y de ésta manera iniciar con la planificación de los escenarios de prueba y su periodicidad. El siguiente cuadro, detalla el contenido del documento para la descripción de las pruebas aplicadas a cada uno de los escenarios de falla, y lograr los objetivos de ésta fase: Establecer y ejercitar el Plan, Determinar los requerimientos de ejercitación, Desarrollar escenarios realistas para las pruebas, Preparar reportes y procedimientos de control de los ejercicios, Ejecutar ejercicios, Obtener retroalimentación de los resultados de las pruebas e implementar las mejoras requeridas:

Cuadro 4.33 Descripción de las pruebas.

Descripción de las pruebas

Tipo de prueba: Riesgo Tecnológico Sitio de ejecución: CPD Local

Fecha\hora de inicio: 18-08-10; 17:00 Fecha\hora de fin: 18-08-10; 18:43

Equipo: Administrador de la emergencia Involucrados: Líder y equipo

Objetivos: Probar y ejercitar el Plan de Continuidad y Recuperación ante Desastres, ante un escenario de falla tecnológica, para determinar la eficacia de los

procedimientos correspondientes.

Criterios de medición:

Criterio Medio de validación Resultado

Tiempo de atención 45 minutos BD y ERP en línea

Tiempo de respuesta 2 minutos Equipo secundario en línea

Volumen de transacciones 1.2 miles Sin pérdida de información

Tiempo de espera 3 minutos Inicio de secuencia de cambio

Áreas a ser probadas:

Área\aplicativo Prueba\transacción Resultado esperado Resultado obtenido

Producción Equipo servidor fuera de línea ERP y BD en línea ERP y BD en línea y lento

Distribución Equipo servidor fuera de línea ERP y BD en línea ERP y BD en línea y lento

Finanzas Equipo servidor fuera de línea ERP y BD en línea ERP y BD en línea y lento

Escenario: Falla del hardware del equipo servidor principal.

Resultado: Servidor secundario en línea

Recomendaciones: Afinación del Sistema Operativo y Software de Administración del arreglo de discos, para que la transición de equipos sea más rápida.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.

• A 4.5.‐ Planificar los escenarios de prueba y su periodicidad.









Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. Incluir un grupo de administración, logística, recursos, listas de verificación, y estructura, especificando las estrategias que se probarán. Posterior a la planificación del ejercicio se harán las consideraciones del programa, se documentará el ejercicio junto con la información de los participantes, asegurando la vigencia de las pruebas, indicando su periodicidad y sus responsables; para su posterior ejercitación.

En ésta actividad, se toman los escenarios de falla propuestos en el cuadro 4.27 (Respuesta a emergencias y restauración) de la Actividad 3.6; y se considera, además, algunas de las recomendaciones a seguir en la planificación de los escenarios, ver cuadro 4.34:

Cuadro 4.34 Recomendaciones para la planificación de los escenarios de prueba y su periodicidad.

Recomendaciones para planificar los escenarios de prueba

1. Utilizar el documento del cuadro 4.33, para el planeamiento de los ejercicios a realizar. Este documento incorpora elementos que con su definición, establecen un escenario claro y preciso para la realización de cada ejercicio. Los escenarios sobre los cuales se puede desarrollar un ejercicio pueden ser múltiples, desde problemas básicos, como un respaldo de datos o un componente de un equipo de cómputo, hasta un evento de desastre que afecte la totalidad de las instalaciones de TIC’s. El escenario bajo el cual se hará el ejercicio debe ser definido con anterioridad. El plan está preparado para reaccionar y dirigir las acciones de recuperación en cualquiera de los casos descritos.

2. Garantizar la adecuada capacitación del personal en el entendimiento de la documentación del Plan de Continuidad, y de todo

documento que esté relacionado con el tipo de ejercicio y el alcance del mismo.

3. Documentar los procedimientos que se seguirán para la planeación del escenario, para lo cual se considera al menos lo siguiente:

A. El detalle inicial del tipo de ejercicio que se desea realizar. B. El objetivo que se busca con el desarrollo del ejercicio. C. Los procedimientos de recuperación que serán probados. D. El responsable del ejercicio. E. La planeación y la calendarización del ejercicio, donde se indique qué día y hora se realizará el ejercicio. F. Las métricas de evaluación de los resultados.

4. Luego de la finalización del ejercicio, se deberán obtener las conclusiones al respecto de:

A. Información que debiera ser corregida en el Plan de Continuidad por deficiencias o errores encontrados durante el

ejercicio; B. Información que debiera ampliarse para mejorar su claridad en el Plan al momento de ser utilizada; C. Información sobre elementos de riesgo que fueron identificados durante el ejercicio, como puede ser personal no

encontrado, documentación no identificada, etc.; D. Obtener conclusiones sobre si la documentación de los procedimientos definidos es práctica, o bien, si los procedimientos

pueden afinarse para obtener mejores resultados considerando variables como tiempo, costo y esfuerzo. E. La documentación y revisión de todos los resultados generados durante el ejercicio, si es trascendental para el proceso de

mejora continua. F. Periodicidad de los ejercicios, éstos deben ser realizados al menos una vez al año como se muestra en el cuadro 4.27 (Plan

de adiestramiento, pruebas y ejercitación del plan de continuidad), o en su defecto, de los cambios en el ambiente en las operaciones. No obstante, dependiendo del riesgo, es conveniente elaborar un calendario de ejercicios más frecuente y riguroso. Es conveniente tener en cuenta que los resultados de los ejercicios deben ser formalmente reportados.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.


su periodicidad.

• A 4.6.‐ Ejercitación de las pruebas.








Actividad 4.6 Ejercitación de las pruebas.

Descrito y planificado el escenario de prueba, se debe realizar una bitácora de ejecución con los resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecución, resultado y responsables, para su posterior análisis y evaluación con el objetivo de tenerlos en cuenta en pruebas posteriores junto con sus recomendaciones.

El propósito de ejercitar el Plan, es asegurar la viabilidad y actualización del mismo. Un Plan que es ejercitado regularmente permite identificar aspectos no cubiertos inicialmente, o bien, debilidades en el proceso de mantenimiento del mismo. Adicionalmente, todo ejercicio debe ser considerado como una oportunidad para entrenar al personal, tanto en la forma de actuar ante la situación de emergencia como en los procedimientos de recuperación establecidos. A partir de los ejercicios se deberá documentar los resultados de los mismos y desarrollar procedimientos para la actualización inmediata de toda la documentación que se vea afectada. El cuadro 4.35, muestra el documento de control de pruebas, que cumple con lo anteriormente expresado:

Cuadro 4.35 Control de pruebas y aprobación del documento.

Control de pruebas

Responsable: Equipo administrador de

emergencia

Fecha de aprobación: 30-09-10

Firma:

Objetivos: Ordenar y controlar las pruebas efectuadas en los diferentes escenarios de falla, para la administración eficiente de las mismas.

Control de pruebas:

Responsable Resultado Fecha

Eq. Administrador de emergencia Interrupción eléctrica: satisfactorio 23-08-10

Eq. Administrador de emergencia Falla de hardware: satisfactorio 24-08-10

Eq. Administrador de emergencia Falla de software: con observaciones 25-08-10

Eq. Administrador de emergencia Falla de respaldos: satisfactoria 26-08-10

Eq. Administrador de emergencia Falla telecomunicaciones: con observaciones 29-08-10

Escenario: Interrupción importante de la producción

Recomendaciones: Afinación de los componentes de software para una mayor efectividad de los procedimientos de emergencia.

Capítulo 4



A continuación, se describen las actividades administrativas requeridas para elaborar, coordinar y supervisar los ejercicios del plan. De manera que estas actividades provean oportunidades de mejora para el Plan y al mismo tiempo que se vaya incrementando en el personal involucrado, la experiencia en responder a una contingencia:

Cuadro 4.36 Guía para el desarrollo del ejercicio del plan de continuidad.

Guía para el desarrollo del ejercicio del plan de continuidad

1. Establecer los objetivos del ejercicio a realizar. Incluyendo, al menos, lo siguiente: ¿Pueden ser medidos? ¿Cómo pueden ser evaluados?

2. Establecer el alcance del ejercicio:

¿Cuáles áreas serán incluidas? ¿Cuáles procedimientos, listas de chequeo y responsabilidades serán probadas? ¿Cuáles excepciones, si hay, deben ser consideradas?

3. Desarrollar el escenario del ejercicio.

4. En caso necesario, estimar el tiempo total del ejercicio en el sitio alterno. Considerar el tiempo de desplazamiento del personal.

5. Revisar la configuración del hardware en el sitio alterno para verificar compatibilidad.

6. Verificar el inventario de los archivos de respaldo mantenidos en el sitio de almacenamiento, y el control que se tiene del mismo,

con el objetivo de verificar los procedimientos de actualización de respaldos.

7. Seleccionar al personal que participará en el ejercicio e infórmelo.

8. Familiarizar al personal con la logística del sitio-alterno.

9. Obtener permiso del proveedor del software para usar los productos con licencia en el sitio alterno, tanto en los ensayos como durante un posible desastre.

10. Obtener y transportar los respaldos, formularios, suministros y documentación requerida para el ejercicio.

11. Realizar los arreglos de transporte, hospedaje y comidas para el equipo del ejercicio, si es necesario.

12. Ejecutar el ejercicio.

13. Comparar los resultados del ejercicio con los resultados esperados y escribir un informe.

14. Corregir los errores detectados y actualizar el documento del plan.

Esta actividad se orienta a probar con antelación y coordinar ejercicios, documentando y evaluando los resultados de ellos. Se desarrollan procesos para mantener vigentes las capacidades para lograr una adecuada recuperación de las operaciones de TI, en acuerdo con la dirección estratégica del negocio.

Capítulo 4





Fase 1.



Fase 2.


negocio.

Fase 3.



Fase 4.


Fase 5.


DRP

BCP



general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.


• A 5.1.‐ Auditoría.






Fase V.- Auditoría, Mantenimiento y Actualización. En esta fase se revisan los estándares de Continuidad del Negocio y Recuperación ante Desastres de TIC´s aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estándares predefinidos, desarrollando una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. Actividad 5.1 Auditoria al Plan de Continuidad. Revisar los estándares de Continuidad del Negocio y Recuperación ante Desastres de TIC´s aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estándares predefinidos, documentado el proceso para realizar un plan de acción y un programa de monitoreo.

La metodología a seguir por parte del auditor es la descripción secuencial del trabajo que realizará. Considerando las mejores prácticas para realizar auditoría de sistemas de información (ISACA, COBIT, ISO 17799, ITIL y MOF), en el cuadro 4.37, se presenta de forma secuencial la forma de realizar un trabajo de auditoría de sistemas, dividido en tres fases que son: planeación, ejecución y dictamen:

Cuadro 4.37 Metodología para realizar una auditoría de Sistemas de Información (inicio).

Metodología para realizar una auditoría de Sistemas de Información.

PRIMERA FASE, PLANEACIÓN DE UNA AUDITORÍA DE SISTEMAS DE INFORMACIÓN:

Identificación del trabajo a realizar. Investigación preliminar. Determinación de los alcances y objetivos. Elaboración y planteamiento del programa de trabajo. Medios para la recopilación de información.

o Entrevista, cuestionario, encuesta y observación. Técnicas tradicionales para realizar Auditoría de Sistemas de Información.

o Examen, inspección, confirmación, comparación, revisión documental, lista de chequeo, matriz de evaluación.

Técnicas asistidas por computadora (TAACs). Software para realizar auditoría de sistemas de información.

o Audit command lenguaje (por sus siglas en ingles ACL), Interactive data extraction and analysis (por sus siglas en inglés, IDEA).

Software para apoyo en la realización de Auditoría de Sistemas de Información.

Capítulo 4



Cuadro 4.37 Metodología para realizar una auditoría de Sistemas de Información (Final).

Metodología para realizar una auditoría de Sistemas de Información.

SEGUNDA FASE, EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN:

Evaluación de la administración del departamento de Informática. o Forma de organización del departamento, Plan estratégico, Objetivos a corto y largo plazo, Funciones y

servicios prestados, Antecedentes, Políticas, Planes de carrera, Planes de capacitación, Formas de medición del desempeño y cumplimiento de metas, Presupuestos y costos del área.

Evaluación de los sistemas. Evaluación de los equipos. Evaluación del recurso humano. Evaluación de procesos. Evaluación del control interno.

o Control sobre la organización del departamento de Informática, Control sobre el análisis, desarrollo e implementación de sistemas, Control para el ingreso, procesamiento, egreso y back-up de información, Control sobre la seguridad de los equipos, sistemas y el personal.

Evaluación de los manuales de puestos del departamento de Informática. Evaluación de la seguridad.

o Seguridad lógica, Seguridad física del personal y equipos. Seguimiento a los proyectos informáticos.

o Plan maestro del proyecto, Líder de proyecto, Determinación de los recursos a utilizar, Cronograma de trabajo, Participación del departamento usuario en el desarrollo de proyectos, Miembros y responsabilidades del equipo del proyecto, Plan de pruebas, Aprobación de las fases del proyecto, Plan de aseguramiento de la calidad de sistemas, Administración formal de riesgos de proyectos, Plan de entrenamiento, Documentación del sistema, Plan de revisión Post-implementación.

Proceso de back-up de información. Pronóstico de carga de trabajo de los equipos y sistemas. Manejo de incidentes operacionales y de usuarios (helpdesk). Plan de contingencia. Revisión de la base de datos.

o Diseño, Acceso, Administración, Interfaces, Portabilidad. Auditoría a la red. Cambios a programas. Pista de Auditoría.

TERCERA FASE, INFORME DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN:

Informe. Presentación del Informe Final. Seguimiento de recomendaciones.

Cuando el auditor tiene claros los objetivos, los métodos y las técnicas a utilizar, así como los recursos con que podrá contar, deberá elaborar un plan de trabajo, en el cual deberá integrar los recursos descritos anteriormente. Es importante que para realizar cada actividad se cuente con un programa de trabajo, que en éste se indiquen los objetivos de la revisión a realizar, el alcance, la documentación a requerir, la forma de revisarla, el personal a contactar y los procedimientos a seguir por parte del Auditor.

Capítulo 4



El siguiente cuadro, presenta el programa de auditoría interna para realizar la revisión del control interno y operaciones en el Centro de Procesamiento de Datos: Cuadro 4.38 Programa de auditoría para realizar la revisión del control interno y operaciones en el CPD (Inicio).

Programa de Auditoría Interna El departamento de Sistemas deberá contar con un espacio dentro de sus instalaciones, dedicado al Centro de Procesamiento de Datos que reúna las condiciones mínimas de seguridad que protejan los equipos y al personal asignado a éste.

1. OBJETIVO Verificar el cumplimiento de los controles internos y políticas establecidas, para salvaguardar los equipos asignados al Centro de Procesamiento de Datos. 2. ALCANCE Los resultados serán referidos al 05 de Agosto de 2010 e incluirán los siguientes procedimientos:

Entrevista con personal del departamento de Sistemas. Revisión de la documentación, para evaluar el cumplimiento de controles internos y políticas establecidas. Revisión de las instalaciones para verificar la adecuada salvaguarda de los activos.

3. PROCEDIMIENTO Para la revisión del control interno y operaciones se revisará lo siguiente: CONTROL INTERNO:

Revisión de control utilizado para el ingreso y egreso de equipos y personal. Se revisará la actualización de los formularios, con la siguiente información:

Fecha y hora de ingreso y egreso. Nombre de la persona que ingresa y persona que la acompaña. Motivo del Ingreso. Constancia de Autorización para el ingreso de personal o egreso de equipos.

Claves de acceso

Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta electrónica, se deberá verificar lo siguiente:

Listado de usuarios habilitados para el ingreso al Centro de Procesamiento de Datos. Fecha de habilitación. Nombre del usuario. Fecha que expira la clave. Fecha de último acceso. Funcionario que autorizó la clave. Estatus de la clave. Verificar que la clave administrador esté siendo custodiada en sobre lacrado en bóveda de seguridad del

banco.

Inventario de equipos Se deberá solicitar el registro del inventario de equipos, verificando su existencia física en el Centro de Procesamiento, así como si se está efectuando la amortización del valor de los mismos.

Control de egreso de equipos Se deberá verificar la existencia de un control para el egreso de equipos, que deberá contener como mínimo los siguientes aspectos:

Fecha del egreso. Nombre del equipo. Motivo del egreso. Nombre de la persona que recibe el equipo. No. de inventario.

Capítulo 4



Cuadro 4.38 Programa de auditoría para realizar la revisión del control interno y operaciones en el CPD (Final).

Inventario de cintas de respaldo Para verificar la existencia física de las cintas de respaldo de información se solicitará el inventario de cintas de respaldo. Así mismo se deberá verificar la periodicidad con que se realizan los “back- up” de información, así como si se está efectuando las pruebas para comprobar su funcionalidad.

OPERACIONES Y PROCESOS

Seguridad para la protección de los equipos Para verificar la adecuada protección se deberá verificar la existencia de los siguientes equipos:

Cámara de vigilancia. Verificar el medio de almacenamiento de las cintas. Extintores de incendios. Comprobar que la carga no esté vencida. Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo. Dispositivo para evitar inundaciones. Alarmas detectoras de `humo y temperatura. Verificar que se realicen las pruebas periódicamente. Reguladores de voltaje y UPS. Software y hardware para el control de accesos al Centro de Procesamiento de Datos.


El mantenimiento periódico a los equipos es necesario para mantenerlos en óptimas condiciones, se deberá verificar el cumplimiento y actualización de estos contratos. Así mismo verificar la suficiencia de los mismos.

Pólizas de seguro Para proteger los equipos, se deben de contratar seguros que cubran el equipo y su instalación, así mismo se deberá verificar la actualización de los nuevos equipos y la fecha de vencimiento.

Plan de continuidad Un plan de contingencia deberá contemplar todo los procesos críticos de la organización, para restablecer sus operaciones y deberá ser eficaz y eficiente, los aspectos legales, el impacto en el servicio del cliente. Deberá verificarse la actualización de los procesos, misma que se deberá realizar por lo menos una vez al año, las pruebas para verificar su funcionalidad y la distribución al personal responsable.

4. INFORME Elaboración de informe

Se deberá preparar el informe de los hallazgos, indicando las recomendaciones que se considere subsanarán las debilidades de control interno.

Normativa Circular normativa “Control de accesos al Centro de Procesamiento de Información”.

Bibliografía Para apoyar la presente revisión se recomienda la lectura del libro “Auditoría en Informática” del autor José Antonio Echenique García.

Cronograma Para realizar esta revisión se asignan 5 días para la recolección de información, entrevistas y elaboración del informe. La revisión deberá iniciarse el 4 de Agosto de 2010 y se deberá entregar informe el 31 de Agosto, con el resultado del trabajo realizado.

Presentación de los resultados Se deberá presentar los resultados del trabajo realizado al Auditor Interno. Previo a presentar este informe se deberá de exponer los resultados al jefe del departamento de Sistemas, indicando las observaciones y recomendaciones que se considere ayudarán a fortalecer el entorno de control interno, así mismo se deberá obtener el compromiso para la implementación de las recomendaciones.

Envío de informe Luego de que se presenten los resultados se deberá enviar el informe dirigido al Jefe del Departamento de Sistemas. Se deberá copiar el informe a los siguientes puestos: Director general y al equipo de Respuesta a Incidentes.

Capítulo 4



El cuadro 4.39, muestra y describe las marcas de auditoría que se emplearán para el desarrollo de la presente actividad:

Cuadro 4.39 Índice de las marcas de Auditoría.

Marca de Auditoría Descripción de la Marca

© Verificado contra documento original. ® Revisado. ʘ Se observó el cumplimiento del procedimiento. Θ Existe procedimiento formal. Ѳ Confirmado con el usuario final. Ө Revisado y confirmado con el usuario. Ο Revisado y cuadrado contra informe original. ℗ Confirmado con el proveedor del servicio. ₢ Se revisó la copia física de la copia de respaldo. Ø Se revisó el funcionamiento del equipo en presencia del encargado.

Conforme al plan de trabajo se procedió a verificar el control utilizado para el ingreso de personal externo a las instalaciones del Centro de Procesamiento de Datos, los resultados se presentan a continuación:

Cuadro 4.40 Revisión del control utilizado para el ingreso de personal externo al Centro de Procesamiento de Datos.

Fecha Nombre de la

persona que ingresa Motivo del ingreso Nombre de la

persona que acompaña

Hora de ingreso

Hora de egreso

Marca de auditoría

03-08-10 Olga C * Colocar Cintas de respaldo 9:20 9:25 © 03-08-10 Cesar V Revisión del Firewall Olga C 15:16 16:20 ® 04-08-10 Cesar V * Colocar Cintas de respaldo 7:20 7:25 © 05-08-10 Olga C * Revisión del correo electrónico 10:14 10:28 ® 06-08-10 Olga C Revisión del servidor de nombres Cesar V 10:33 10:48 ® 06-08-10 Martín de la R Revisar cableado estructurado Cesar V 7:56 8:47 ® 07-08-10 Cesar V * Colocar Cintas de respaldo 12:00 12:23 © 08-08-10 Olga C Restaurar copia base de datos Cesar V 11:09 11:14 ® 09-08-10 Cesar V * Revisar acceso a internet 9:01 9:22 ® 10-08-10 Olga C Colocar Cintas de respaldo 8:56 9:13 ©

* Personal del departamento de Sistemas que no presentó autorización para el ingreso al Centro de Procesamiento de Datos.

Los resultados obtenidos en la presente revisión se consideran aceptables, sin embargo el personal del departamento de sistemas debe de presentar autorización para el ingreso al Centro de Procesamiento de Datos. Así mismo es importante que se documenten las soluciones implementadas, para la corrección de los problemas en los equipos, para tener estadísticas sobre la recurrencia de problemas.

Capítulo 4



Conforme al plan de trabajo se procedió a verificar las claves de acceso utilizadas por el personal para el ingreso a las instalaciones del Centro de Procesamiento de Datos, los resultados se presentan a continuación:

Cuadro 4.41 Revisión de las claves utilizadas para el acceso al centro de procesamiento de información.

Fecha de habilitación

Nombre de la persona que tiene la clave

Fecha que expira la clave

Fecha de último acceso

Funcionario que autorizó

Estatus de la clave

Marca de auditoría

03-08-06 Administrador /1 Indefinida 17-08-10 Gerente de Sistemas 9:25 ©

17-02-10 Cesar V 17-02-11 17-08-10 Gerente de Sistemas 16:20 ©

09-08-10 Martín de la R 09-08-11 19-08-10 Gerente de Sistemas 7:25 ©

22-11-09 Olga C /2 22-11-10 29-08-10 Gerente de Sistemas 10:28 ©

/1 Se observó que la contraseña del administrador no está siendo custodiado en un sobre lacrado en bóveda de seguridad del banco. /2 La clave corresponde a ex-empleado, misma que no se ha dado de baja del sistema.

Se considera importante que la clave de administrador, que es la clave con mayores privilegios, sea custodiada en un sobre lacrado en bóveda. Así mismo al momento de que un colaborador termine su relación laboral, deberá de darse de baja del sistema, minimizando de esta forma la posibilidad de accesos no autorizados. Conforme al plan de trabajo se procedió a verificar el inventario de equipos ubicados en el Centro de Procesamiento de Datos. Este inventario fue realizado comparando los registros en libros según la conciliación de saldos de mobiliario y equipo, los resultados se presentan a continuación:

Cuadro 4.42 Inventario de Hardware y Software, ubicados en el Centro de Procesamiento de Datos.

Fecha de ingreso

Nombre del equipo Responsable del equipo

Observaciones Marca de auditoría

09-02-07 HP Integrity NonStop NS2000 Server Cesar V No. Inventario CPD-250 Ο


31-01-07 HP StorageWorks P9000 Disk Arrays Cesar V No. Inventario CPD-209 Ο

18-02-07 HP M8609A LTO Tabletop Tape Drive Cesar V No. Inventario CPD-270 Ο


12-09-08 HP ProLiant ML150 serie G6 Cesar V No. Inventario CPD-420 Ο

23-10-08 HP ProLiant ML110 serie G6 /2 Cesar V No. Inventario CPD-427 Ο

17-03-05 Enrutador HP serie A-MSR20 /1 Cesar V No. Inventario CPD-120 Ο

20-01-07 HP UX 11 i V 3 y TapeAssure Cesar V No. Inventario CPD-241 Ο

14-12-08 QAD Progress V 9.2, MFG-PRO e-B Cesar V No. Inventario CPD-490 Ο

22-03-07 HP StorageWorks Cluster y Storage Cesar V No. Inventario CPD-280 Ο

24-07-09 Fedora Core V.7, sendmail Cesar V No. Inventario CPD-530 Ο

30-06-08 Windows 2008 Server Cesar V No. Inventario CPD-400 Ο

06-04-07 Firewall y herramientas anti-virus Cesar V No. Inventario CPD-288 Ο

/1 Este equipo fue sustituido el 10-05-2009, ya fue dado de baja en libros, sin embargo no se ha trasladado del CPD. /2 Este servidor corresponde a equipo de prueba perteneciente a la empresa HP.

Capítulo 4



Conforme al plan de trabajo se procedió a verificar el inventario de cintas de respaldo de información ubicadas en las instalaciones del Centro de Procesamiento de Datos. El control de las cintas de respaldo está establecido en circular normativa correspondiente, los resultados se presentan a continuación:

Cuadro 4.43 Verificación del inventario de cintas de respaldo (revisión selectiva).

Fecha de proceso de

cinta

Información almacenada Nombre de la persona que

realizó la copia

Fecha de verificación de la

funcionalidad

Nombre de quien revisó la

funcionalidad

Marca de auditoría

12-01-09 Respaldo fin de mes, ERP,

BD y SO. Olga C 13-01-09 Cesar V ®

21-04-08 Respaldo semanal BD Tizayuca

Olga C 22-04-08 Cesar V ₢

17-11-07 Respaldo Nómina Confidencial

Olga C 18-11-07 Cesar V ₢

31-07-06 Respaldo fin de mes ERP, BD y SO

Israel M 3-08-06 Agustín L ₢

08-09-05 Respaldo nómina sindicalizados

Israel M 10-09-05 Agustín L ₢

Se comprobó que, no se incluye la periodicidad con la que se deberá comprobar la utilidad de las cintas de respaldo.

Conforme al plan de trabajo se procedió a verificar los equipos utilizados para proporcionar la seguridad física, a las instalaciones del Centro de Procesamiento de Datos, los resultados se presentan a continuación:

Cuadro 4.44 Revisión de la seguridad física de las instalaciones del Centro de Procesamiento de Datos. Fecha de revisión

por parte del proveedor

Equipo Observaciones Marca de auditoría

13-09-10 Cámara de vigilancia Existen 3 cámaras distribuidas de la siguiente manera: al ingreso del CPD,

monitoreando al operador de turno y el ingreso a la Cintoteca. Ø

13-09-10 Software y hardware de cámara de vigilancia

Este software tiene almacenado el monitoreo diario, realizado por las cámaras de vigilancia.

Ø

23-06-10 Extintores de Incendios* Se observó la existencia de 4 extintores distribuidos adecuadamente. Ø

02-10-10 Aire Acondicionado El aire acondicionado funciona adecuadamente. Ø

16-05-10 Dispositivo para evitar inundaciones

Los equipos están instalados a 25 centímetros del suelo y se cuenta con un dispositivo que absorbe a su interior el agua proveniente de inundaciones.

Ø

09-08-10 Alarmas detectoras de humo* Se cuenta con 2 alarmas detectoras de humo distribuidas adecuadamente. Ø

24-08-10 Alarmas detectoras de temperatura y humedad

Para mantener la temperatura en 17 grados centígrados y prevenir daños ocasionados por humedad se cuenta con 2 alarmas detectoras.

Ø

31-01-10 Reguladores de voltaje y UPS

Los equipos están protegidos con un regulador de voltaje así como un UPS capaz de mantener el servicio por 5 horas.

Ø

09-09-10 Software y hardware control ingreso al CPD

Se comprobó que para el ingreso al CPD, es necesario utilizar tarjeta y un código personalizado, el registro de estos ingresos es registrado automáticamente y se puede consultar de manera cronológica.

Ø

* Según especificaciones del fabricante la carga de los extintores de incendios y las alarmas detectoras de humo, deberán de ser revisados una vez al año.

Capítulo 4



Conforme al plan de trabajo se procedió a verificar los contratos de mantenimiento de equipos, del Centro de Procesamiento de Datos, los resultados se presentan a continuación:

Cuadro 4.45 Verificación de los contratos de mantenimiento del Centro de Procesamiento de Datos.

Fecha de vencimiento

Contrato Empresa Observaciones Marca de auditoría

31-12-10 Mantenimiento a equipo

central HP Contrato vigente, cubre adecuadamente el mantenimiento preventivo y

correctivo a los equipos. Las cuotas están al día. ℗

20-02-11 Mantenimiento a equipo de Telecomunicaciones

Getronics Contrato vigente, cubre adecuadamente el mantenimiento preventivo y correctivo a los equipos. Las cuotas están al día.

℗

15-01-11 Mantenimiento a equipo de cómputo

Gpo. Helix Contrato vigente, cubre adecuadamente el mantenimiento preventivo y correctivo a los equipos. Las cuotas están al día.

℗

20-12-10 Servicio de Telecomunicaciones

Telmex Contrato vigente, cubre adecuadamente el mantenimiento preventivo y correctivo a los equipos. Las cuotas están al día.

℗

31-12-10 Mantenimiento ERP y BD QAD Contrato vigente, cubre adecuadamente el mantenimiento preventivo y correctivo a los equipos. Las cuotas están al día.

℗

31-12-10 Mantenimiento Software de Replicación ERP, BD y SO.

HP, QAD Contrato vigente, cubre adecuadamente el mantenimiento preventivo y correctivo a los equipos. Las cuotas están al día.

℗

10-01-11 Mantenimiento Sitio alterno HP Contrato vigente, cubre adecuadamente el mantenimiento preventivo y correctivo a los equipos. Las cuotas están al día.

℗

Se estableció que no existe un procedimiento escrito para la negociación y control de los contratos de mantenimiento.

Es importante que se lleve un control de los contratos de mantenimiento firmados, la fecha de vencimiento, los derechos y obligaciones adquiridos. Conforme al plan de trabajo se procedió a verificar los contratos de seguros de equipos, del Centro de Procesamiento de Datos, los resultados se presentan a continuación:

Cuadro 4.46 Verificación de los contratos de seguros.

Fecha de vencimiento

Seguro Empresa Observaciones Marca de auditoría

31-12-10 Responsabilidad civil * GNP Este contrato cubre accidentes en el área del departamento de

Sistemas, a la fecha aún no se ha renovado contrato. ℗

31-12-10 Equipo de cómputo * HP Este contrato cubre el equipo de cómputo, en caso de incendios, inundaciones y robo. Se observó el pago de las cuotas por el año 2010.

℗

* Se estableció que no existe un procedimiento escrito para la negociación y control de los seguros.

Es importante que se lleve un control de los seguros, la fecha de vencimiento, los derechos y obligaciones adquiridos.

Capítulo 4



Conforme al plan de trabajo se procedió a verificar el plan de continuidad del negocio, los resultados se presentan a continuación:

Cuadro 4.47 Verificación del plan de continuidad del negocio.

No. Proceso Observaciones Marca de auditoría

1 Copia del vigente plan de

continuidad del negocio. La copia obtenida fue actualizada el 20-07-2010 ©

2 Muestra de copias distribuidas del Plan.

Se obtuvieron 2 copias que fueron distribuidas al personal involucrado en el Plan y se observó que no fueron copiadas del original actualizado el 20-07-2010.

ʘ

3 Inventario de actividades y procesos críticos.

Se determinó que se identificaron los procesos críticos y fueron incluidos en matriz diseñada para el efecto, misma que está adjunta al Plan

Θ

4 Listado de Proveedores y Clientes a informar con

relación a la contingencia.

Actualizado ʘ

5 Determinación de prioridades en cuanto a la restauración

de operaciones.

Se observó que se ordenaron las actividades y se asignó prioridad ʘ

6 Sitio alterno para el procesamiento de

información

Existe sitio alterno, por una interface se realiza automáticamente la réplica de todas las operaciones del sistema principal.

ʘ

7 Personal encargado de ejecutar el Plan

Según listado, se constataron los números telefónicos del personal encargado de ejecutar el Plan.

Ѳ

8 Conocimientos del personal del Plan

Selectivamente se seleccionó al personal observando que cuentan con conocimientos suficientes para ejecutar el Plan

ʘ

9 Actualización del Plan En la revisión del Plan se comprobó que debe de ser actualizado por lo menos dos veces al año y deberá consignarse las fechas de actualización, se observaron estas actualizaciones los últimos dos años.

ʘ

10 Pruebas al Plan Para verificar la funcionalidad del Plan está establecido que se realice una prueba al año, anotando la fecha y resultados de ésta. En la presente revisión se observó que el año 2007 no se realizó esta actividad.

®

Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se actualice el plan, deberán de distribuirse las copias al personal involucrado.

Conclusión y Recomendación de la Auditoría de los Sistemas de Información: Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se actualice el plan, deberán de distribuirse las copias al personal involucrado. Así mismo deberá de realizarse pruebas para verificar la oportunidad de los procesos contenidos en este plan y documentar los resultados.

Capítulo 4



Para representar el nivel de riesgo de cada aspecto evaluado en la presente auditoría y el impacto en las operaciones, a continuación se presenta una matriz de impacto en la cual se utilizaron colores para representar niveles de riesgo de la siguiente forma: verde (sin riesgo), amarillo (riesgo medio) y rojo (alto riesgo):

Cuadro 4.48 Verificación del plan de continuidad del negocio.

Área de Control

Controles Activos de información

Dependencia de activos

Dependencia de personal interno

Fiabilidad de sistemas

Continuidad y recuperación

ante desastres

Control de acceso físico Amarillo Verde Amarillo Verde Back-up de información Amarillo Amarillo Verde Amarillo Inventario de equipos Amarillo Amarillo Verde Verde Contratos de mantenimiento y seguros

Amarillo Rojo Verde Verde

Plan de continuidad del negocio

Verde Rojo Verde Amarillo

Resultado de la evaluación: Riesgo medio Riesgo alto Riesgo leve Riesgo medio

La combinación de un riesgo alto con un riesgo medio incrementa la posibilidad de la materialización de una contingencia de importancia. Derivado de esta premisa se considera la siguiente categorización de riesgo: Categorización de Riesgo:

1. Aspecto calificado con color amarillo y ningún aspecto ponderado en color rojo = riesgo leve.

2. Aspectos calificados con color amarillo y ningún aspecto ponderado en color rojo = riesgo medio.

3. Aspectos calificados con color amarillo y un aspecto ponderado en color rojo = riesgo alto.

Conclusión de la verificación del Plan de Continuidad: Los resultados obtenidos indican que el riego de continuidad del negocio, está siendo afectado por la falta de pruebas al plan de continuidad y la falta de renovación al contrato de mantenimiento del aire acondicionado y al seguro de responsabilidad civil.

Capítulo 4



CONCLUSIONES DE LA AUDITORIA DEL PLAN DE CONTINUIDAD: Derivado de la revisión de los procedimientos y normativa interna y tomando en consideración la matriz de impacto de riesgos detectados, se obtuvieron las siguientes conclusiones:

1. Riesgo leve Se observaron dos equipos obsoletos ubicados en el Centro de Procesamiento

de Datos, que ocupan espacio físico. No se cuenta con un control de las reparaciones efectuadas a equipos, así como

de la fecha en que fueron devueltos al Centro de Procesamiento de Datos.

2. Riesgo medio Se establecieron accesos no autorizados de analistas programadores de los

sistemas de información al Centro de Procesamiento de Datos, por incumplimiento de normativa interna.

Se observó una clave de acceso al Centro de Procesamiento de Datos habilitada perteneciente a ex empleado.

Se determinó falta de custodia de clave Administrador de software de control de acceso al Centro de Procesamiento de Datos.

Se comprobó falta de pruebas para verificar la funcionalidad de las cintas de respaldo de información.

3. Riesgo alto Se observó que el contrato se mantenimiento del aire acondicionado y el de

seguro de responsabilidad civil están vencidos, por ausencia de un control en la fecha de vencimiento.

Se determinó que las copias del Plan de Continuidad del Negocio, vigentes no fueron distribuidas al personal responsable de implementarlo así como ausencia de pruebas para verificar la funcionalidad del Plan.

Capítulo 4



RECOMENDACIONES DE LA AUDITORIA DEL PLAN DE CONTINUIDAD:

1. Es conveniente realizar inventarios periódicos a efecto de verificar la existencia física de los equipos en el Centro de Procesamiento de Datos. Así mismo trasladar los equipos que no figuran en libros de la Empresa, a donde corresponda.

2. Se sugiere implementar un control para dejar constancia de la fecha de ingreso de los equipos en caso de reparaciones, así como el diagnóstico por el cual se originó el egreso del Centro de Procesamiento de Datos.

3. Se recomienda fortalecer los controles a efecto de cumplir lo establecido en la

normativa interna, referente a los ingresos de personal externo, depuración de claves de acceso de ex colaboradores y custodia de clave Administrador del Software para el control de acceso al Centro de Procesamiento de Datos.

4. Se recomienda establecer por escrito la periodicidad con la que se deberán realizar

las pruebas a las cintas de respaldo de información, para verificar su funcionalidad.

5. Es oportuno contar con un control de la fecha de vencimiento de los contratos de mantenimiento, las cuotas y los derechos y obligaciones contraídos.

6. Se considera necesario que al realizar la actualización del Plan de Continuidad del

Negocio, se asegure distribuir las copias del Plan actualizado al personal involucrado, así como dejar por escrito la periodicidad de las pruebas a este Plan y documentar los resultados para analizar los resultados y medir la funcionalidad de éste.

El propósito de auditar el Plan, es asegurar la viabilidad y actualización del mismo. Un Plan que es auditado regularmente permite identificar aspectos no cubiertos inicialmente, o bien, debilidades en el proceso de mantenimiento del mismo. Adicionalmente, el ejercicio derivado de la auditoria debe ser considerado como una oportunidad para entrenar al personal, tanto en la forma de actuar ante la situación de emergencia como en los procedimientos de recuperación establecidos. El resultado de la auditoría es, además de la ejercitación, materia prima para el mantenimiento del Plan de continuidad, como se presenta a continuación.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.



• A 5.2.‐ Políticas de mantenimiento.





Actividad 5.2 Mantenimiento al Plan de Continuidad. Las modificaciones al Plan de Continuidad, se basan principalmente en las observaciones efectuadas por la Auditoría, por lo que se debe hacer una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. Cada vez que se modifique el plan, se deberá llevar una bitácora en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento cambiado, la descripción de la modificación, quién la hizo y si ya se distribuyó o no.

Planear el procedimiento de mejora continua (actualización y capacitación regular en el tema) a todo el personal involucrado, incluyendo el mantenimiento y revisión del plan al menos una vez cada seis meses. Para la comunicación de las modificaciones al plan se utiliza el formulario del cuadro 4.49, adicionalmente, es conveniente que se entregue el documento en forma electrónica para facilitar su incorporación al Plan:

Cuadro 4.49 Formulario de mantenimiento al Plan de Continuidad.

Mantenimiento al Plan de Continuidad

Equipo: Administrador de emergencia

Líder del equipo: Gerencia de Sistemas

Fecha\hora: 13-08-10; 15:17 hrs

Justificación: Establecer por escrito la periodicidad con la que se deberán realizar las pruebas a las cintas de respaldo de información, para verificar su funcionalidad.

Control de modificaciones:

Elemento a cambiar Descripción de la modificación Distribuida (Sí\No):

Modificación solicitada por:

Respaldo de información Periodicidad de las pruebas a los respaldos en cinta magnética Sí Auditoría

Observaciones: Solicitud de modificación, a partir de las recomendaciones de la auditoría efectuada al Plan de Continuidad.

Los dueños de procesos o de la plataforma de TI son los responsables por reportar al coordinador del plan de continuidad, los cambios que se den en el ambiente. Esto con el fin de que el administrador coordine los esfuerzos de mantenimiento correspondientes.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.




• A 5.3.‐ Mecanismo de almacenamiento. •A 5.4.‐ Mecanismo de

actualización.



Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. Una vez terminado el plan de continuidad, éste se deberá almacenar en diferentes medios y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnéticos no están disponibles en el momento de un incidente. Dichas copias se deben almacenar también en los centros alternos. Para el control del almacenamiento y asignación de las copias del plan, se utiliza el formulario del cuadro 4.50, adicionalmente, es conveniente que se entregue el documento en forma electrónica para facilitar su incorporación al Plan:

Cuadro 4.50 Formulario de almacenamiento del Plan de Continuidad.

Almacenamiento del Plan de Continuidad

Realizó: Eq. Respuesta a incidentes

Autorizó: Dirección General

Fecha\hora: 09-09-10; 11:06 hrs

Justificación: Establecer por escrito los medios de almacenamiento del Plan de Continuidad para asegurar su disponibilidad ante cualquier contingencia.

Control del almacenamiento:

Medio Ubicación Fecha de almacenamiento

Fecha de actualización

Fecha de distribución

Impreso CPD Local, Alterno y Externo 12-08-10 01-08-10 11-08-10

Impreso Gerencia General, Dirección de Administración y Compras 07-08-10 01-08-10 06-08-10

Impreso Gerencias de orden medio 14-08-10 01-08-10 13-08-10

Magnético (CD) Todas las anteriores ubicaciones 03-08-10 30-07-10 02-08-10

Web Servidor web del proveedor de servicios CPD externo 05-08-10 28-07-10 04-08-10

Observaciones: Las ubicaciones en detalle se encuentran a la mano para todo el personal.

Se debe verificar el inventario de los archivos de respaldo mantenidos en el sitio de almacenamiento con el control que se tiene del mismo, con el objetivo de verificar los procedimientos de actualización de respaldos.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.





• A 5.4.‐ Mecanismo de actualización.



Actividad 5.4 Mecanismo de actualización del Plan de Continuidad. Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran importancia verificar que todas las copias contengan la misma información. El coordinador del plan de continuidad es el responsable por mantener una vigilancia constante sobre el negocio y sobre TI, para identificar eventuales cambios que fuercen a un proceso de actualización de los planes de continuidad y recuperación. Es necesario hacer cambios en el mecanismo de almacenamiento, cuando surja una actualización derivada de un cambio en el ambiente organizacional, auditoría o ejercitación del plan. El siguiente cuadro, muestra el historial de revisiones del Plan de Continuidad:

Cuadro 4.51 Historial de revisiones del Plan de Continuidad.

Historial de Revisiones

Fecha Versión Descripción Autor

Mayo 2009 0.1 Versión inicial Gerencia de Sistemas

Septiembre 2009 0.2 Actualización del documento KPMG

Abril 2010 0.3 Revisión del documento Gerencia General

Octubre 2010 1.0 Aprobación del documento

Sesión No. 20 del 10 de Octubre

Dirección General

Noviembre 2010 1.0 Actualización del documento

Registro aprobación

Pricewaterhose

Por las consideraciones de las guías incluidas, periódicamente se revisarán para actualizar, eliminar o agregar nuevas disposiciones o normas, acorde a la evolución de las Tecnologías de la Información y Telecomunicaciones en la Institución. En cualquiera de los casos, los planes serán entregados al líder del equipo de respuesta a incidentes, y él será responsable de darlos a conocer al resto del personal involucrado en los equipos de recuperación. Todo cambio en los procedimientos como consecuencia de la modificación de la forma de trabajo, recursos involucrados (técnicos y humanos), etc. deberá ser comunicado oportunamente al Coordinador del Plan de Continuidad, para proceder con la actualización y distribución del plan.

Capítulo 4





general.








de los directivos.




riesgos.




desastres.





servicios.


TIC’s.



recuperación.



entrenamiento.





las pruebas.



las pruebas.






• A 5.5.‐ Mecanismo de distribución.


Actividad 5.5 Mecanismo de distribución del Plan de Continuidad. Cada vez que se modifique o actualice el plan, se deberán distribuir y divulgar las nuevas actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, éstas se tendrán que realizar con la mayor brevedad posible. Documentar a qué personas o áreas deberá hacer llegar copia de este documento y a través de qué medio se le hará llegar; el cuadro 4.59, muestra los mecanismos de distribución del Plan de Continuidad:

Cuadro 4.52 Mecanismo de Distribución del Plan de Continuidad.

Distribución del Plan de Continuidad

Al menos dos copias completas del Plan de Continuidad deben ser mantenidas fuera sitio (por ejemplo donde se almacenan respaldos fuera de sitio). DIRECTRIZ DE DISTRIBUCIÓN DEL PLAN.

El Plan de Continuidad debe ser distribuido a todo el personal autorizado, ya que sólo el personal activo puede tener acceso al plan. Si un individuo deja de laborar para el negocio o para una de sus unidades específicas, es su responsabilidad regresar las copias y todos los duplicados o partes duplicadas de este plan a su superior respectivo. A nadie fuera de la organización le será permitido leer, revisar, copiar o auditar el Plan sin la autorización formal y escrita por parte del Coordinador del Plan de Continuidad.

DISTRIBUCIÓN DE LOS DOCUMENTOS

Debido a la confidencialidad de este documento únicamente el Coordinador del Plan mantendrá una copia completa del mismo. Subconjuntos del Plan serán distribuidos tomando como base la premisa “need-to-know” y de la manera siguiente:

Adicionalmente, es necesario desarrollar el mecanismo de control para asegurar que todas las copias de las hojas que han sido modificadas sean colocadas fuera de circulación. Para controlar la actualización de los documentos se recomienda:

Enviar secciones completas para reemplazar aquellas con cambios, en lugar de enviar sólo las hojas que

han cambiado. Asegurar que los líderes provean algún tipo de recibo para verificar que recibieron las nuevas versiones del

plan. El regresar las hojas reemplazadas podría ser considerado como un recibo. Mantener el control de los planes de recuperación para propósitos de seguridad.

Con lo anterior, se verifica la actualización de los procesos, por lo menos una vez al año, las pruebas para auditar su funcionalidad y la distribución al personal responsable. Este Plan de Continuidad contempla todos los procesos críticos de la organización, para restablecer sus operaciones eficaz y eficientemente, considerando los aspectos legales y el impacto en el servicio del cliente.

Capítulo 5 Resultados Obtenidos, Valoración de Objetivos, Trabajos Futuros y Conclusiones del Proyecto de Tesis. Metodología para la Creación de un Plan para la Continuidad y Recuperación ante Desastres en los Sistemas de Tecnologías de la Información y Telecomunicaciones en la Industria de la Manufactura.

Capítulo 5

Valoración de objetivos, trabajos futuros y conclusiones del Proyecto de Tesis.


CAPÍTULO 5. -

RESULTADOS OBTENIDOS, VALORACIÓN DE OBJETIVOS, TRABAJOS FUTUROS Y CONCLUSIONES DEL PROYECTO DE TESIS.

En el capítulo anterior, se aplicó la metodología propuesta, en una empresa de manufactura de empaques de cartón, por lo que se conoció con detalle la organización a proteger, se identificaron los riesgos, se evaluaron y posteriormente se aplicaron medidas para mitigarlos. Para ello, se identificaron los activos de la empresa; así como, las debilidades que padecen, se estimaron probabilidades de ocurrencia y se asignó una importancia para la misión de la empresa. En el presente capítulo, se efectuará la valoración de objetivos, trabajos futuros y conclusiones del proyecto de tesis. 5.1 Resultados Obtenidos. A continuación, se efectúa una valoración de los resultados obtenidos al implantar la metodología propuesta, para la creación de un Plan de Continuidad y recuperación ante Desastres en los Sistemas de Tecnologías de Información y Telecomunicaciones en la Industria de la Manufactura:

Protege al personal y los activos corporativos. Asegura la continuidad de las operaciones. Garantiza la reanudación de los procesos críticos dentro de los márgenes de tiempo

tolerables. Minimiza el proceso de toma de decisiones durante una contingencia. Reduce los efectos negativos ocasionados por el caos. Mantiene el servicio al cliente. Responde a los Inversionistas. Cumple con requerimientos Legales / Contractuales / Gubernamentales. Reduce al máximo los niveles de dependencia sobre personas o grupos específicos

en el proceso de continuidad. Elimina la necesidad de desarrollar nuevos procedimientos durante la contingencia. Minimiza la posibilidad de pérdida de información crítica para el negocio. Cumple con los requerimientos de auditoria.

Capítulo 5



5.2 Valoración de Objetivos. El presente proyecto de tesis, cumple con los requerimientos funcionales detectados en la justificación del mismo, y por lo tanto se procede a continuación, con la valoración del cumplimiento del objetivo general y objetivos particulares. 5.2.1 Valoración del Objetivo General. Diseñar, proponer, aplicar y evaluar una metodología para establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que permita garantizar la continuidad de las operaciones del negocio.

En el Capítulo 3 se diseña y propone; en el capítulo 4 se aplica y evalúa la metodología para establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que permita garantizar la continuidad de las operaciones del negocio, de acuerdo a las mejores prácticas y estándares internacionales analizados, evaluados y diagnosticados en el capítulo 2, a través del marco de referencia contextual histórico y físico del capítulo 1. 5.2.2 Valoración de los Objetivos Particulares. Identificar y conocer el medio ambiente de las empresas de manufactura para efectuar un análisis y evaluación de las amenazas a la seguridad de la información y sus operaciones.

En el capítulo 1, se estudió la seguridad de la información y la continuidad del negocio como dos componentes críticos de la estrategia futura de muchas organizaciones de manufactura a nivel nacional e internacional Identificar y conocer el medio ambiente de los estándares, mejores prácticas y metodologías en Recuperación ante Desastres como parte de la gestión de la Continuidad del Negocio en los Sistemas de TIC´s para efectuar un análisis y evaluación de su desempeño.

En el capítulo 2, se estudió el desarrollo del documento de lineamientos que permite a la organización definir políticas, normas, procedimientos y estándares, de acuerdo a los requerimientos de su misión, basados en recomendaciones y mejores prácticas desarrollados con cooperación internacional; se buscó, identificar herramientas o productos tecnológicos que apoyen los controles y que permitan mitigar el riesgo y mejorar de esta manera la seguridad de la información y la continuidad de las operaciones.

Capítulo 5



Diseñar y proponer una metodología para la creación de un plan para la Continuidad y Recuperación ante Desastres en los Sistemas de Tecnologías de Información y Comunicaciones.

En los entornos de Continuidad del Negocio y Recuperación ante Desastres de TIC´s; aún no existe, un estándar que sea claramente seguido por el mercado de la industria de la manufactura, por lo que, en el capítulo 3 se estudió como se debe superar esta brecha, a través de un método, que proporcione una secuencia definida de pasos para elaborar de manera sistemática a través de una metodología propuesta, un plan para la continuidad y recuperación ante desastres, a través de la selección de un conjunto de estándares, estableciendo la estrategia de adopción, por medio de un buen candidato para marco de gobierno de TI. Aplicar la metodología propuesta en una empresa de manufactura, para garantizar la reanudación de los procesos críticos dentro de los márgenes de tiempo tolerables, asegurando la continuidad de las operaciones, minimizando la posibilidad de pérdida de información crítica para el negocio.

En el capítulo 4, se hace una aproximación acertada a detalle de la organización que se quiere proteger, se identifican los riesgos, se evalúan y posteriormente se decide sobre las medidas que puedan mitigarlos. Para ello, se identificaron los activos de TIC’s de la empresa; así como, las debilidades que pueden padecer, estimando probabilidades de ocurrencia y asignándoles una importancia para la misión de la organización, que obligue a que se reanude rápidamente su funcionamiento, so pena de que su interrupción perjudique o degrade los objetivos y la calidad de la actividad en concreto. Por lo que se puede afirmar que se cumple con el objetivo general y los objetivos particulares del presente Proyecto de Tesis.

Capítulo 5



5.3 Trabajos Futuros. La metodología propuesta trabaja un Plan de Recuperación ante Desastres (por sus siglas en inglés, DRP), incrustado sobre un Plan de Continuidad del Negocio (por sus siglas en inglés, BCP), cuyo siguiente nivel que se propone y se considera como trabajo futuro, es montarlo sobre la Administración de Continuidad del Negocio (por sus siglas en inglés, BCM), para lo cual se proponen las siguientes fases a desarrollar:

1. Administración de la Continuidad del Negocio. 2. Coordinación con autoridades públicas.

Por lo que se requiere:

Un propósito de competencia y capacidad del BCM. Creación de conciencia en toda la organización. Definición y documentación de un conjunto de principios del BCM. Definición y documentación de un conjunto de guías y estándares mínimos del BCM Definición y documentación de estrategias del BCM Definición y documentación del marco operacional del BCM. Asegurar el personal apropiado Definición y documentación de procesos del programa del BCM de gestión de la

organización Asegurar que los directivos y personal de la organización son conscientes y

cumplen con las normas pertinentes y requisitos legislativos

Capítulo 5



5.4 Conclusiones del Proyecto de Tesis. La manufactura ha recibido recientemente cierto empuje de las tecnologías de la información, permitiendo el diseño y desarrollo simultáneo de productos, procesos y actividades de apoyo, aportando una base confiable y flexible para el desarrollo de plataformas de ingeniería concurrente. Frente a esta realidad, la operatividad de los sistemas de información ocupa un lugar preponderante, ligado a la condición imprescindible de su disponibilidad absoluta. Una alteración de esta continuidad que impacte en forma relevante el normal desarrollo de un servicio considerado crítico, es manejado a través de un Plan de Continuidad el cual se define como: una secuencia definida de pasos para elaborar de manera sistemática un método que proporcione una combinación de diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos. Al inicio del presente proyecto de tesis, se concluyó que no existe para la industria de la manufactura, una metodología con un enfoque integrado de todo el proceso para la creación de Planes de Continuidad del Negocio y Recuperación ante Desastres de TIC’s, por lo tanto se justificó el desarrollo de una metodología para superar esta brecha, por medio de una estructura, que proporcione una secuencia definida de pasos para elaborar de manera sistemática un plan para la continuidad y recuperación ante desastres, a través de la selección de un conjunto de estándares, estableciendo la estrategia de adopción, por medio de un candidato para marco de Gobierno de TI con un buen nivel de madurez y que cubra la diversidad de actividades, complementado en temas específicos con otros estándares, buenas prácticas y metodologías manteniendo la concordancia. La metodología propuesta se aplicó, en una empresa de manufactura de empaques de cartón, por lo que se conoció con detalle la organización a proteger, se identificaron los riesgos, se evaluaron y posteriormente se aplicaron medidas para mitigarlos. Para ello, se identificaron los activos de la empresa; así como, las debilidades que padece, se estimaron probabilidades de ocurrencia y se asignó una importancia para la misión de la empresa, desprendiendo las siguientes conclusiones: Ayudó a conocer y entender de forma detallada el negocio al que se dedica la organización, obteniendo como resultado un plan de continuidad óptimo, por lo que el

Capítulo 5



desarrollo del Plan analizó todos los recursos (humanos, tecnológicos, datos vitales, infraestructura, etc.), a través del conocimiento del negocio como un todo, mas no como procesos, actividades o funciones individuales. Permitió a la empresa identificar, analizar, evaluar y diagnosticar amenazas internas y externas que representan riesgos a las actividades críticas de la organización, se calificó el impacto que genera una interrupción y cuantifico, permitiendo que la empresa se prepare económica y operacionalmente brindando estabilidad a su negocio, por medio de la definición y documentación de procedimientos y estrategias de recuperación. Desarrolló planes de concientización a los empleados, proporcionando seguridad ante una situación que requiera el uso del Plan. Se aseguró la funcionalidad del Plan a través del desarrollo de pruebas, mantenimiento y actualizaciones, para que este pueda ser usado en cualquier momento cuando se presenten cambios en la organización. Minimizo costos derivados de la caída de los Sistemas de Información Basados en Computadoras y maximizó las utilidades, al apoyar al desarrollo de nuevos Sistemas de Información que impactan al negocio. En lo particular, el desarrollo del presente trabajo de tesis, me ha dejado en claro, las diferentes competencias profesionales que requiere la industria de la manufactura para el personal de TIC´s, las cuales representan oportunidades y amenazas importantes: Sistema de Gestión de la calidad de desarrollo de software (CMMI / SSE / CMM). Sistema de Gestión de la calidad del producto (ISO 9001). Sistema de Gestión de servicios de TI (ITIL / ISO 20000). Sistema de Gestión de la Seguridad de la información (ISO 27001 / 27005). Sistema de Gestión de la Continuidad del Negocio (BS25999 / ISO 27005). Sistema de Gestión de Proyectos (PMBOK / PRINCE2). Gobierno de TI (COBIT / ISO 38500). Sistema de Gestión de estrategias de negocio (BSC). Gobierno de las inversiones en TI (ValIT). Sistema de Gestión de riesgo empresarial (COSO). Reguladores de negocio (SOX / BASILEAII / PCI).

Capítulo 5



Por lo que fue necesario complementar el conocimiento anterior, adquirido a lo largo de dieciocho años de experiencia con temas orientados a la manufactura de productos de consumo: Distribución de área de trabajo / Diseño de equipo de prueba. Distribución de planta / Diseño electrónico. Administración de materiales / Diseño de tecnologías. Diseño de estaciones de trabajo / Adaptación de tecnologías. Ingeniería de procesos / Diseño de interfaces. Planeación y control de producción / Ingeniería de desarrollo de productos. Manufactura. Evaluación de materiales. Evaluación de equipos. Coordinación de corridas piloto / Elaboración de prototipos. Mejoramiento del proceso / Robótica. Diseño de herramientas para el ensamble. Implementación de sistemas de calidad / Enlace entre diseño y manufactura. Implementación de estándares / Soporte a la producción. Implementación de nuevas tecnologías. Implementación de nuevos productos / Corridas de pruebas. Integración de sistemas / Ingeniería de software.

Y por lo tanto, comprender las relaciones empresa/proceso/máquina/humano, llevándome a un nuevo nivel de visión organizacional y de manejo de relaciones inter personales horizontal y verticalmente a través de la estructura organizacional. Lo anteriormente expresado me permitió integrar los conocimientos adquiridos, con una visión sistémica, donde los elementos anunciados convivan en un entorno simbiótico mutualista en una relación de sinergia estable: Robusta, competente y complementaria; bajo el modelo sustentable de la metodología propuesta.

Capítulo 5



BIBLIOGRAFÍA

[Barnes, 2001] Barnes C.J., “A Guide to Business Continuity Planning”, John Wiley & Sons, 1a. edición (May 2001), Pp. 55-86.

[Barros, 2001] Barros O., “Arquitectura y Diseño de Procesos de Negocio”, Documentos de trabajo, No. 86, Centro de Gestión (CEGES) Departamento de Ingeniería Industrial Universidad de Chile, 2001.

[Chase, 2000] Chase, R.B., Aquilano, N.J., Jacobs, F.R., “Administración de Producción y Operaciones”, McGraw-Hill, Junio 2000, Pp 160-223.

[CISA, 2006] CISA, “Manual para la preparación para el Examen CISA, Asociación de Auditoría y Control de Sistemas de Información”, Estados Unidos de América, Noviembre 2006.

[Galindo, 2006] Galindo L., “Una Metodología para la Planeación Estratégica de Sistemas de Información”, Memorias del 2º Congreso Internacional de Metodología de la Ciencia y la Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y ESIME Unidad Culhuacan, México D.F., Mayo 2006.

[Galindo, 2006] Galindo L., “Una Metodología para el Desarrollo de Sistemas de Información Basados en Computadoras”, Memorias del 2º Congreso Internacional de Metodología de la Ciencia y la Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y ESIME Unidad Culhuacan, México D.F., Mayo 2006. Pp. 143-146.

[Galindo, 2007] Galindo L., “Una Metodología Básica para el Desarrollo de Sistemas”, Memorias del 3er. Congreso Internacional de Metodología de la Ciencia y la Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. e Instituto Campechano, Campeche, Camp., Marzo 2007.

[Galindo, 2008] Galindo L., “Metodología para la Creación de la Tabla Metodológica” o “Solución Integral”, Memorias del 3º Congreso Internacional de Metodología de la Ciencia y la Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y CFIE del IPN, México D.F., Junio 2008.

[García, 2004] Rodolfo, G.F., “Ingeniería Concurrente y Tecnologías de la Información”, Memorias del 4º Congreso Internacional de Ingeniería Mecánica y de Sistemas, Facultad de Ingeniería Mecánica y Eléctrica, UANL, Enero-Marzo 2004, Vol. VII, No. 22.

[Hiles, 2000] Hiles A., “Business Continuity: Best Practices”, Rothstein Associates, Junio 2000, Pp. 88-102.

Capítulo 5



[Rodríguez, 2005] Rodríguez A., “Hacia la definición de procesos de negocio seguros, basados en una arquitectura dirigida por modelos”, 3er congreso Iberoamericano de Seguridad Informática, Universidad del Bio Bio, Dpto de Auditoría Informática, Chile 2005.

Capítulo 5



REFERENCIAS A INTERNET

[BCI, 2002] BCI, “Exercising, maintenance and audit”, Versión BCI DJS 1.0 01/11/02, [Artículo

en línea], Fecha de consulta: [16/06/2010]. http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%205.pdf

[BCI, 2007] BCI, “A Management Guide to Implementing Global Good Practice in Business Continuity Management”, Section 2 Understanding The Organisation, Octubre 2007, [Artículo en línea], Fecha de consulta: [23/03/2010]. http://www.thebci.org/GPG2008V1%20Section2.pdf

[BSI, 2009] BSI, “Avalution Consulting, LLC & BSI Management Systems America”,How To Deploy Bs 25999, 2009, [Artículo en línea], Fecha de consulta: [26/04/2010]. http://www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf

[DRI, 2004] DRI, “Risk evaluation & control”, 2004, [Artículo en línea], Fecha de consulta: [29/04/2010]. http://www.drii.org/DRII/ProfessionalPractices/Pro_02.aspx

[DRI, 2004] DRIl, “Business Impact Analysis”, 2004, [Artículo en línea], Fecha de consulta: [3/05/2010]. http://www.drii.org/DRII/ProfessionalPractices/Pro_03.aspx

[DRI, 2004] DRII, “Emergency response & operation”, 2004, [Artículo en línea], Fecha de consulta: [13/05/2010]. http://www.drii.org/DRII/ProfessionalPractices/Pro_05.aspx

[ISO, 2009] ISO, “Otros Estándares”, 2009, [Artículo en línea], Fecha de consulta: [20/07/2010]. http://www.iso27000.es/otros_estandar.html

[Lesmes, 2009] Lesmes A.M., “TIC y Sector Productivo. (Lo más destacado del 2009)”, Coordinadora TIC y Sector Productivo Corporación Colombia Digital, 2009, [Artículo en línea], Fecha de consulta: [18/01/2010]. http://www.ccdboletin.net/index.

[Macau, 2004] Macau R., “TIC: ¿Para qué? (Funciones de las tecnologías de la información y la comunicación en las organizaciones)”, Revista de la Universidad y Sociedad del Conocimiento (RUSC). Vol. 1., 2004, [Artículo en línea], Fecha de consulta: [19/01/2010]. http://www.uoc.edu.

[SDG Consulting, 2010]

SDG Consulting: “El Balanced Scorecard como sistema de gestión estratégica”, por Alejandro Martínez, Consultant SDG Consulting, [Artículo en línea], Fecha de consulta: [01/02/2010].

Capítulo 5



http://www.sdggroup.com/file/c-spain/2009%20Focus%20Q4%20-%20la%20Organizacion%20orientada%20a%20la%20estrategia.pdf

[Sotelo, 2008] Sotelo M.B.: ”Gestión de Tecnologías de la Información”, Lima - Perú, Diciembre 2008. [Artículo en línea], Fecha de consulta: [19/02/2010]. http://www.esutic.com/26437-e-book-gestion-ti-2009-02.pdf

Anexo A

Estándar BS25999

Metodología para la creación de un plan para la continuidad y recuperación Página A.1 ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

ANEXO A: ESTÁNDAR BS25999, CONTINUIDAD DEL NEGOCIO.

FASES DE LA ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO (BCM) A. INICIO Y GESTIÓN DEL PROYECTO.

El objetivo de esta primera fase, es establecer la necesidad de desarrollar el BCM en la organización, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante:

Definir un comité responsable del plan. Asignar responsabilidades por cada equipo de

trabajo.

Indicar las actividades de cada una de las fases del proyecto.

Documentar los procesos.

Presentar los avances. Obtener la aprobación por parte de los directivos.

Las responsabilidades del coordinador de esta etapa son:

Dirigir la definición de objetivos, políticas y actividades críticas.

Coordinar y organizar directores por cada fase del proyecto.

Controlar el proceso de BCM a través de métodos de control efectivo y gestión de cambio.

Presentar el proceso a Directivos y personal. Desarrollar el plan y presupuesto para iniciar el

proceso. Definir y recomendar procesos de estructura y

gestión. Dirigir el proyecto a desarrollar e implementar el

proceso del BCM. B. EVALUACIÓN Y CONTROL DE RIESGOS El objetivo de la evaluación de riesgos es identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que pueden causar la interrupción o pérdida de las Actividades Críticas de una organización, así como la probabilidad (o frecuencia) de que ocurra una amenaza y cómo es vulnerable una organización a varios tipos de amenazas permitiendo su gestión de priorización y control para formar una base en la que se establezca un programa de control y un plan de acción de gestión de riesgo. Para realizar una evaluación y control de riesgos se debe tener en cuenta lo siguiente:

Identificar riesgos

Análisis/Evaluación de riesgos

Gestión y Control de riesgos Después de realizar la evaluación y el control de riesgos, los resultados obtenidos incluyen la identificación y documentación de:

La probabilidad de ocurrencia, en la organización, a un tipo específico de amenaza.

Concentración de riesgos donde el número de Actividades de Misión Crítica es localizado dentro del mismo edificio o en el mismo lugar.

Una evaluación y análisis de riesgos (combinado con un Análisis de Impacto del Negocio - BIA).

Una estrategia de gestión de control de riesgo y plan de acción.

El enfoque de priorización del BCM y control de riesgos.

C. ANÁLISIS DE IMPACTO DEL NEGOCIO (BIA)

El Análisis de Impacto del Negocio (BIA – Business Impact Analysis) consiste en técnicas y metodologías que pueden ser usadas para identificar, cuantificar y cualificar los impactos de negocio y sus efectos en una organización en caso de pérdida o interrupción de las Actividades de Misión Crítica. Sin embargo, la clave para realizar un Análisis de Impacto del Negocio es analizar el negocio como un todo más no como componentes, procesos o funciones individuales. El análisis BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point Objective) que deben ser establecidos por la organización y están definidos como:

RTO (recovery Time Objective): El tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados.

RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento.

El objetivo de un Análisis de Impacto del Negocio es identificar las actividades de misión crítica de una organización, sus dependencias y sus puntos de fallas así como analizar el impacto y el efecto que se generaría en caso de la perdida e interrupción de las actividades de misión crítica. A su vez, informar y permitir opciones para crear una resistencia en las operaciones de negocio de la organización. Sin embargo, el BIA posee los siguientes componentes claves:

Cuestionarios de autovaloración – papel y digitales.

Anexo A

Estándar BS25999


Listas de comprobación.

Una Matriz de Análisis de Impacto del Negocio. Después de realizado el BIA, se obtendrán como resultados, la identificación y documentación de:

Objetivos y salidas (servicios y productos). Actividades de Misión Crítica, sus dependencias y

puntos de falla. Impactos y efectos (consecuencias) financieros y no

financieros como resultado de una interrupción o pérdida de una o más actividades de misión crítica durante varios periodos de tiempo.

Los objetivos del BCM para cada actividad de misión crítica y sus dependencias.

Una priorización mínima y aceptable de la recuperación de los recursos.

Registros/datos vitales. Usuarios y Clientes Claves. Proveedores (tanto dentro como fuera de la

organización). D. DESARROLLO DE ESTRATEGIAS PARA LA

CONTINUIDAD DEL NEGOCIO.

El propósito del desarrollo de estrategias consiste en identificar las alternativas de recuperación de las operaciones en los marcos de tiempo definidos. El desarrollo de las estrategias del BCM involucra los siguientes aspectos:

Identificar los requerimientos de continuidad de la organización.

Evaluar la compatibilidad de las estrategias contra los resultados del BIA.

Presentar el análisis costo / beneficio de las estrategias de continuidad.

Seleccionar los sitios alternos y de almacenamiento externo.

Entender los términos contractuales de los servicios de continuidad del negocio.

Algunas de las alternativas de recuperación comprenden estrategias de almacenamiento externo a la organización (Ej. Hotsite, coldsite, etc.), a su vez procedimientos de recuperación interna documentados, así como acuerdos recíprocos entre empresa-empresa y/o empresa-cliente, o una utilización de combinación de estrategias. E. RESPUESTA ANTE EMERGENCIAS El propósito de la fase de respuesta ante emergencias es desarrollar e implementar procedimientos para responder y estabilizar la situación después de un incidente y administrar el centro de operaciones de emergencia a ser utilizado como “centro de mando”

. Para cumplir con este propósito es necesario que:

Identifique componentes de los procedimientos de respuesta a emergencia.

Especifique los procedimientos de respuesta a emergencia.

Identifique requerimientos de control y autoridad.

Procedimientos de control y autoridad. Respuesta a emergencia y recuperación de heridos. Seguridad y recuperación.

F. DESARROLLO E IMPLEMENTACIÓN DEL BCM.

Esta fase involucra el diseño, desarrollo e implementación de planes de continuidad del negocio para evitar interrupciones de acuerdo a los marcos establecidos por los RTO’S y RPO’S. Un buen desarrollo e implementación de un BCM incluye:

Identificar requerimientos para el desarrollo de los planes.

Definir requerimientos de control y administración de la continuidad.

Identificar y definir un formato y la estructura principal de los componentes de los planes.

Elaborar un borrador de los planes.

Definir procedimientos de gestión de crisis y continuidad del negocio.

Definir las estrategias de evaluación de daños y reanudación.

Desarrollar una introducción general a los planes. Desarrollar la documentación de los equipos de

operación del negocio. Desarrollar la documentación de los equipos de

recuperación de tecnología de información. Desarrollar el sistema de comunicaciones.

Desarrollar los planes de los usuarios finales de aplicaciones.

Implementar los planes.

Establecer los procedimientos de control y distribución de los planes.

G. PROGRAMA DE CONCIENTIZACIÓN Y

ENTRENAMIENTO DEL BCM

Toda organización que quiera posicionarse en el mercado y estar preparada a cambios en su entorno, requiere de un constante proceso de evolución. Este proceso genera en la mayoría de los casos, cambios al interior de la empresa. Siempre que se presentan estos cambios existe un porcentaje de resistencia al cambio relacionado con el personal que interviene en dicho proceso. Es necesario que la organización prepare a sus empleados ante la presencia de un cambio, logrando minimizar esa resistencia y obteniendo la mejor disposición ante situaciones

Anexo A

Estándar BS25999


de este tipo creando una cultura de aceptación ante un evento que perturbe su labor. Son estos algunos motivos por los cuales se presenta en la gestión de continuidad de negocio una fase en la cual se trata la concientización y entrenamiento del BCM y su relación con la implementación mantenimiento, gestión y ejecución del mismo. Este proceso de conciencia es necesario que se realice en toda la organización (no solamente en el área de TI) logrando aumentar la resistencia ante riesgos. Para lograr una concientización y entrenamiento en necesario:

Definir objetivos de concientización y entrenamiento

Desarrollar e implementar varios tipos de programas de entrenamiento

Desarrollar programas de concientización

Identificar otras oportunidades de educación H. MANTENIMIENTO Y EJERCICIO DEL BCM

El punto D y F hacen referencia a la realización, desarrollo e implementación de estrategias y/o planes, con el objetivo de su utilización ante una situación de interrupción de un proceso en la organización. Una vez que se han declarado y documentado estas estrategias y planes, que contribuyen al proceso de normalización ante una situación de crisis, es necesario realizar pruebas para determinar la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupción. Así mismo se puede evaluar el equipo y personal a cargo de cada actividad crítica, además se realizara una prueba al sistema demostrando competencia y capacidad de continuidad de negocio. Los propósito de realizar el ejercicio son: 1. Evaluar y permitir el continuo mejoramiento del BCM en la organización logrando una recuperación prioritaria de las actividades criticas de acuerdo con los objetivos de tiempo de recuperación y los objetivos de punto de recuperación asegurando un nivel mínimo de continuidad del negocio. 2. Permite evaluar y mejorar la capacidad de competencia ante la gestión de crisis. Con la realización del ejercicio se pueden determinar varios aspectos, entre los cuales se listan:

Identificar el nivel de madures del BCM de la organización

Verificación y validación que la capacidad y competencia de la gestión de crisis de la organización es efectiva, actualizada y ajustada a los propósitos y permiten la gestión, control y coordinación de eventos y estrategias del BCM a nivel táctico y operacional.

Verificación y validación que los miembros y personal se familiarizan con el entendimiento de roles, responsabilidades y autoridades en la

operación de la continuidad del negocio y proceso de administración de crisis.

La formación de conciencia involucrando individuos usando la continuidad del negocio y los planes de gestión de crisis

El ensayo y familiarización de los miembros del equipo y personal con sus roles responsabilidad y autoridad en la operación de la continuidad del negocio y planes de gestión de crisis.

Pruebas técnicas, logísticas, de administración y otras de sistemas operacionales de continuidad del negocio y planes de gestión de crisis.

Probar la organización e infraestructura de la gestión de continuidad del negocio, incluye centros de comando, áreas de trabajo, recursos de recuperación de tecnología y telecomunicaciones.

El ensayo de la disponibilidad y traslado del personal.

Verificación y validación que el plan de continuidad de negocio refleja las actuales prioridades del negocio.

La disposición de mecanismos para reforzar la continuidad del negocio y auditoria y mantenimiento de la gestión de la crisis.

Una demostrable continuidad del negocio, capacidad y competencias en la gestión de crisis.

Documentar resultados

Incrementar la cultura de los procedimientos de conciencia.

Incrementar la conciencia del significado del BCM

La oportunidad de identificar defectos y mejorías de la organización del BCM, administración de crisis y planes de continuidad de negocio.

Documentación y evaluación del ejercicio. Para lograr estos resultados es necesario seguir un proceso en la elaboración de una prueba. Principalmente es necesario establecer directores de cada área de organización, luego se planificaran los escenarios en los cuales se van a llevar a cabo las pruebas. Estas pruebas deben tener un grupo de administración, logística, recursos, listas de verificación, estructura, posteriormente al haber planificado el ejercicio se harán las consideraciones del programa, se documentará el ejercicio junto con la información de los participantes, se procederá a la realización del ejercicio luego se evaluará y se hará un análisis de los resultados con el objetivo de tenerlos en cuenta en pruebas posteriores junto con sus recomendaciones. 1). Mantenimiento El proceso de gestión de continuidad de negocio no finaliza con la realización del documento en el cual se plasman estrategias y se asignan roles o equipos de trabajo a las áreas organizacionales; es quizás el proceso de mantenimiento del plan un punto importante si se quiere hacer uso de éste,

Anexo A

Estándar BS25999


considerando que el negocio continúa y está en constante cambio. El propósito de este proceso de mantenimiento es asegurar que la gestión de continuidad del negocio incluyendo la gestión de crisis permanezca efectivo, con el objetivo de ser capaz de lograr la recuperación de actividades de misión crítica y sus dependencias dentro de los objetivos de tiempo de recuperación y los objetivos de punto de recuperación asegurando una continuidad de sus servicios y productos. Con la realización del mantenimiento al BCM podremos obtener:

Pruebas definidas y documentadas para la gestión y gobierno pro activo del programa de mantenimiento y monitoreo del BCM respecto a actividades de misión crítica y sus dependencias.

Detalles de todos los cambios de estrategias del BCM y planes de continuidad de negocio documentados con toda la historia de estrategias y detalles de control de versiones.

Verificación y validación de políticas, estrategias y planes BCM

Identificación e inclusión de cambios en los sistemas y proceso de la organización.

Identificación e inclusión de cambios en legislación y regulación para la industria.

Verificación y validación de análisis de impacto y de riesgos basados en las estrategias y planes BCM

Verificación y validación que las estrategias y planes BCM son actualizados, precisos y completos.

Verificación y validación que la capacidad del BCM (incluyendo planes y estrategias) son actualizadas

Verificación y validación que los planes continuidad de negocio siguen una secuencia lógica, formato, estructura conforme a las directrices y estándares de buenas prácticas.

Verificación y validación que los cambios de procedimiento y procesos son puestos.

Verificación y validación que el personal tiene entendido los roles de responsabilidad y le es claro el plan BCM.

Los resultados que se obtendrán con el proceso de mantenimiento son de gran utilidad para la organización, previniendo que los documentos realizados queden obsoletos con el paso de los años. Para realizarlo es necesario tener una clara definición y documentación del programa de mantenimiento y monitoreo, incluyendo políticas, marcos y procesos así como la estrategia de negocio operacional. La tecnología de información TI es un gran apoyo en los proceso de una organización, es necesario que se realice un análisis de la tecnología requerida por la organización cuando se tienen interrupciones en el sistema, para este punto el

estándar ISO 17999 el cual trata sobre la seguridad de TI será de gran ayuda. Para la realización de cualquier plan es necesario tener en cuenta la legislación existente, para tener una base y cumplir con la normatividad que se exige. El proceso de mantenimiento requiere de un subconjunto de procesos auditoria ejercicio y aseguramiento que permiten su fortalecimiento, capacidad de continuidad y soporte a la gestión de continuidad de negocio en su aplicación a la organización cuando lo requiera. 2). Auditoria Luego de haber realizado los procesos de ejercicio y mantenimiento sigue un proceso de auditoría que se hace necesaria en cualquier proceso al interior de la organización. El propósito de la auditoria en la gestión de continuidad de negocio es revisar los estándares del BCM identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a estándares predefinidos. La auditoría revisara varios aspectos en la organización algunos de ellos son:

Resistencia (aplicación de planes y estrategias en crisis)

Políticas, estrategias, marcos y planes continúa bajo presión de acuerdo a estrategias, prioridades y objetivos.

Políticas, estrategias, marcos y planes continúa bajo presión de acuerdo a las directrices de buenas prácticas.

El BCM es competente de acuerdo al propósito Los planes y soluciones son efectivos y actualizados

de acuerdo al propósito Implementa sus programas Documenta el control, procesos y procedimientos

operando efectivamente En la realización de la auditoria como en cualquier proceso existen componentes. Para el caso se mencionan algunos como son: definición y documentación del programa de auditoria, auditar el plan de auditoria, buscar expertos internos y externos, aplicar los estándares de auditoria, actualizar estrategias del BCM, tener en las normas de requerimientos, legislación directrices de buenas prácticas, estándares (ISO 17999), realizar programas de conciencia y formación, actualizar análisis de impacto, estrategias y planes a ser auditados. Para poder obtener estos resultados el proceso de auditoria debe seguir métodos y/o técnicas que optimicen este proceso. Algunas técnicas y/o metodologías que se nombran son: Auto evaluación, auditoria forense, cumplimiento de auditoria, diligencia auditoria, viabilidad de auditoria, control de auditoria,

Anexo A

Estándar BS25999


mejor valor auditado. Con el seguimiento de estas técnicas y la ayuda de los responsables, el proceso de auditoria podrá cumplir su propósito y así dar un informe para la organización en el cual se presenten los resultados de los procesos auditados. En el proceso de auditoria intervienen varios pasos:

Clara identificación y documentación del tipo de auditoria

Clara identificación y documentación de objetivos de auditoria

Clara identificación y documentación del marco de auditoria ISO 17799

Clara identificación y documentación del alcance de la auditoria.

Clara identificación y documentación de la propuesta de auditoria

Clara identificación y documentación de criterios de evaluación de la auditoria

Clara identificación y documentación de roles Clara identificación y documentación de recursos

financieros y otros requeridos Requerimientos del programa de auditoria

comunicados a los usuarios Actividades de auditoria

Luego de haber realizado el proceso de auditoria la organización tendrá definido y documentado este proceso y se preparara para realizar un plan de acción y un programa de monitoreo. I. COMUNICACIÓN DE CRISIS La etapa de comunicación de crisis se propone desarrollar, coordinar, evaluar y ejercitar planes para comunicarlos a directivos, personal, usuarios, proveedores y medios de comunicación, de tal forma que el entorno de la organización se entere de su estado y en caso de crisis poder reaccionar de forma adecuada para minimizar los costos de interrupción de los procesos internos. Para ello, el BCM debe contener un listado de clientes, proveedores y medios de comunicación entre otros, en el cual se muestren los datos básicos de cada contacto. J. COORDINACIÓN CON AUTORIDADES PÚBLICAS

En esta etapa se quiere que la organización tenga una clara definición y documentación de las políticas a implementar como un documento obligatorio en la organización. Por lo tanto, en este proceso la organización vera los resultados en la mejoría de los procesos de toda su organización, teniendo en cuenta que las políticas están dirigidas a la organización como un todo.

A continuación, se describen algunos resultados:

Un efectivo propósito de competencia y capacidad del BCM.

Creación de conciencia en toda la organización.

Una clara definición y documentación de un conjunto de principios del BCM.

Una clara definición y documentación de un conjunto de guías y estándares mínimos del BCM

Una clara definición y documentación de estrategias del BCM

Una clara definición y documentación del marco operacional del BCM.

Asegurar el personal apropiado

Una clara definición y documentación de procesos del programa del BCM de gestión de la organización

Una clara definición y documentación de garantía de procesos del programa BCM de gestión de la organización

Asegurar que los directivos y personal de la organización son concientes y cumplen con las normas pertinentes y requisitos legislativos

El documento que contiene las políticas de la organización deberá estar compuesto por los siguientes aspectos entre otros:

El alcance Declaración del contenido de las políticas Objetivos

Roles, responsabilidades Detalles de otro material pertinente.

Como técnicas o metodologías para el desarrollo de este proceso de declaración de políticas se mencionan las siguientes:

Revisión de las políticas actuales. Investigación de origen externo de guías. Investigación dentro de la organización para

identificar versiones actuales e información concerniente al BCM relacionada con declaraciones y políticas.

Identificar y adoptar o modificar una política BCM de otra organización que es considerada de buenas prácticas.

Estado actual de evaluación, análisis y revisión de políticas internas y externas para manejar el núcleo de los componentes de una política BCM nueva o corregida.

Organización de grupos multidisciplinarios. Consulta de profesionales externos. Circulación de borradores de una política BCM para

ver reacción y comentarios.

Anexo A

Estándar BS25999


Toda declaración de documentos sigue un proceso, en el caso de declaración de las políticas de la organización se enumeran los siguientes procesos:

Identificación y documentación de los componentes de una política BCM

Identificación de algunos estándares relevantes, guía de buenas prácticas, regulación y legislación que impactan la política BCM.

Identificar políticas BCM de otras organizaciones que actuaría como un punto de referencia.

Revisar y conducir un análisis de interrupciones de las políticas BCM actuales de la organización y el punto de referencia de políticas externas como requerimientos para una nueva política BCM.

Desarrollar un borrador de una política BCM nueva o corregida.

Circulación de políticas borradores para consulta. Enmendar el borrador de políticas BCM, apropiado

basada en la reacción de la consulta. Publicar y distribuir Políticas de Continuidad de

Negocio usando un sistema de control de versiones apropiado.

Anexo B

Metodología DRII

Metodología para la creación de un plan para la continuidad y recuperación Página B.1 ante desastres en los Sistemas de TIC´s en la Industria de la Manufactura.

ANEXO B: METODOLOGÍA DRII, CONTINUIDAD DEL NEGOCIO.

INICIO Y ADMINISTRACIÓN 1.1 Presentación del proyecto 1.1.1 Participantes

Se definirán claramente las personas del área que elaborarán el plan de contingencia. 1.1.2 Fecha de inicio y fecha de terminación

Se fijará una fecha de inicio específica y una fecha tentativa de terminación. 1.1.3 Mecanismo de reporte y seguimiento

Se especificará(n) el (los) mecanismo(s) de reporte y seguimiento acordado(s) con los directivos del área.

1.2 Objetivos y Alcance 1.2.1 Objetivos

Se enumerarán los objetivos generales del plan.

Se enumerarán los objetivos específicos del plan.

1.2.2 Alcance Se enumerarán los escenarios para los que el plan está diseñado.

1.3 Equipos y responsabilidades Se asignarán responsabilidades para la administración del proyecto y se conformarán los grupos de trabajo encargados del Plan de contingencia del área, detallando los roles e integrantes de cada equipo. A continuación se muestran algunos ejemplos.

1.3.1 Equipo Administración del proyecto Es el equipo encargado de evaluar las decisiones que se toman en cada una de las fases, y de aprobar las estrategias y el presupuesto involucrado; además, velará por la vigencia del plan del área y mantendrá certificada el área en continuidad del negocio.

1.3.2 Equipo Atención de la emergencia Es el equipo que atiende la emergencia en primera instancia y realiza las respectivas acciones de notificación en el área.

1.3.3 Equipo Evaluador de riesgos Es el equipo encargado de evaluar periódicamente los riesgos inherentes al servicio y mantener enterado al equipo de continuidad del negocio de la necesidad de generar nuevas estrategias o de hacer mantenimiento al plan.

REQUERIMIENTOS FUNCIONALES 2.1 Conocimiento del negocio 2.1.1 Descripción funcional del negocio

Se realizará una descripción del área en cuestión incluyendo sus objetivos y responsabilidades.

2.1.2 Selección de procesos críticos 2.1.2.1 Criticidad

Se identificarán todos los procesos críticos que se realizan en el área, las actividades involucradas en ellos de manera secuencial, su periodicidad y se calificará su criticidad de 1 a 3, donde 1 es el nivel más alto. Se suministrará la siguiente información para cada proceso: Número del proceso o tarea Nombre del proceso

Descripción del proceso o tarea Producto o servicio relacionado con el proceso

2.1.2.2 Información externa de apoyo Para los procesos de criticidad 1 y 2, se identificará la información que no pertenece al área y que apoya el proceso. Se relacionarán las áreas con las que interactúa el proceso y el tipo de información a través del cual interactúan. Si el proceso no interactúa con otras áreas, se debe especificar el nombre del área que ejecuta el proceso en la dependencia origen y en la dependencia destino; de lo contrario, se deben anotar todas las dependencias tanto origen como destino. Dependencia origen: áreas o departamentos de

donde proviene la información.

Dependencia destino: áreas o departamentos hacia donde se dirige la información.

2.1.3 Identificación de tiempos críticos 2.1.3.1 Horarios, RTO y RPO

Se establecerán los horarios críticos de ejecución de los procesos con prioridades 1 y 2 y el tiempo máximo que tienen para su recuperación (RTO), así como el punto de recuperación de los datos que se requieran para el proceso (RPO).

Frecuencia de ejecución. D: Diario; S: Semanal; Q: Quincenal; M: Mensual; B: Bimestral; T: Trimestral; R: Semestral; A: Anual; O: Ocasional.

Tiempo esperado de recuperación Se refiere al tiempo máximo que el proceso puede esperar sin que impacte de manera considerable a los clientes, entes de control, usuarios internos y entes externos.

Tiempo límite de ejecución Hace referencia a los procesos que se deben ejecutar en una fecha específica o a una hora determinada. o Fecha máxima de ejecución: último día en

el que se puede ejecutar el proceso. Ej.: Día 10 (transmisión balance a la Superintendencia Bancaria); Todos los

Anexo B

Metodología DRII


días (transmisión de tasas a la Superintendencia Bancaria).

o Hora máxima de ejecución: hora límite para ejecutar el proceso. Ej.: 8:00 a.m. (transmisión de tasas a la Superintendencia Bancaria).

2.2 Inventario de recursos Se debe hacer un inventario de todos los recursos que soportan cada proceso dentro del área, ya que éstos son la fuente fundamental del análisis de riesgo. Se debe realizar una descripción detallada de cada uno de ellos (recursos de tipo información, tecnológico, instalaciones físicas y humano, entre otros), indicando si forman parte esencial del sistema o proceso o si, por el contrario, en ausencia de éste el proceso puede llevarse a cabo aunque sea de manera parcial.

2.2.1 Inventario de información Se han de incluir el tipo de información, su descripción y el mecanismo en la que ésta es actualiza.

2.2.1.1 Entidades externas y clientes Se debe relacionar (para cada proceso crítico definido anteriormente) todo el intercambio de información con los clientes y los entes externos, puesto que es importante tener en cuenta la información que envía o recibe la entidad y el medio de intercambio: Número del proceso o tarea: este número debe

coincidir con el número del proceso asignado en la selección de procesos críticos.

Entidad externa o cliente: se debe especificar con quién se realiza el intercambio de información.

Entrega/Recepción: se debe especificar si la información la entrega el banco o si, por el contrario, la recibe.

Descripción: Se debe proporcionar una breve descripción del tipo de información que se intercambia.

Medio de transmisión o intercambio: Se debe especificar el medio de transmisión de la información (L: listado; D: disquete; C: cinta; E: correo; CD: unidad de CD; V: videolínea; I: Internet; M: módem; R: RDSI; etc.).

Periodicidad: Se debe relacionar la periodicidad con la que se envía o se recibe la información (D: Diario; S: Semanal; Q: Quincenal; M: Mensual; B: Bimestral; T: Trimestral; R: Semestral; A: Anual; O: Ocasional).

2.2.1.2 Proveedores Se debe relacionar (para cada proceso crítico definido anteriormente) todo el intercambio de información con los proveedores, ya que es importante tener en cuenta la información que envía o recibe la entidad y el medio de intercambio.

Número del proceso o tarea: este número debe coincidir con el número del proceso asignado en la selección de procesos críticos.

Nombre del proveedor: se debe especificar el nombre del proveedor.

Servicio prestado: se debe proporcionar una breve descripción del servicio que proporciona el proveedor.

Entrega/Recepción: se debe especificar si la información la entrega el banco o si, por el contrario, la recibe.

Descripción: se debe proporcionar una breve descripción del tipo de información que se intercambia.

Medio de transmisión o intercambio: Se debe especificar el medio de transmisión de la información (L: listado; D: disquete; C: cinta; E: correo; CD: unidad de CD; V: videolínea; I: Internet; M: módem; R: RDSI; etc.).

Periodicidad: se debe relacionar la periodicidad con la que se envía se recibe la información (D: Diario; S: Semanal; Q: Quincenal; M: Mensual; B: Bimestral; T: Trimestral; R: Semestral; A: Anual; O: Ocasional).

2.2.2 Inventario tecnológico Se deben detallar los elementos que forman parte del recurso tecnológico, incluyendo servidores, direcciones IP y esquema de comunicaciones, entre otros.

2.2.2.1 Diagrama de estructura tecnológica Se debe detallar la estructura tecnológica con la que cuenta la entidad para soportar cada proceso.

2.2.2.2 Software Se debe especificar, para cada proceso, el software requerido para que éste se pueda llevar a cabo, incluyendo la versión y los parches instalados, la fecha de la última actualización, el tipo de mantenimiento y los sistemas con los que interactúa.

2.2.2.3 Hardware y periféricos Se debe especificar, para cada proceso, el hardware requerido para que éste se pueda llevar a cabo, incluyendo el equipo, discos, sistema operativo, memoria y tipo de mantenimiento.

2.2.2.4 Comunicaciones Se debe especificar, para cada proceso, la necesidad de comunicación para que éste se pueda llevar a cabo, incluyendo una descripción exacta del origen y el receptor de la comunicación, el proveedor que presta el servicio y el medio físico empleado para realizarla.

2.2.3 Inventario de instalaciones físicas Se debe identificar, para cada proceso, la ubicación física donde se desarrollan las actividades de las personas que intervienen en éste, tanto empleados como usuarios externos. Esto incluye la ciudad, la edificación, el piso y el dueño de la propiedad.

2.2.4 Inventario de recurso humano

Anexo B

Metodología DRII


Se debe identificar, para cada proceso, a todas las personas que intervienen en éste, tanto internas de la entidad como externas. Hay que incluir una breve descripción de lo que cada una hace, el número de personas que realizan la actividad y el área a la que pertenecen. Se debe suministrar la siguiente información sobre el (los) responsable(s) de cada proceso crítico:

Nombre del responsable: apellidos y nombres de la persona encargada de realizar el proceso.

Cargo del responsable: cargo de la persona encargada del proceso.

Nombre de otras personas que conocen el proceso: relacionar los apellidos y nombres de otras personas que pueden ejecutar el proceso, en caso de que la persona titular no lo pueda llevar a cabo.

2.3 Análisis de riesgos El análisis de riesgos está orientado a determinar un conjunto de estrategias (independientes o conjuntas) que deberán implementarse para que cada proceso tenga unas condiciones mínimas para poder reanudarse. Para la obtención de estas estrategias se determina el número de ocurrencias anuales de las amenazas, factor de exposición, vulnerabilidades frente a las pérdidas y valoración del riesgo por recurso en cada actividad que interviene; adicionalmente, se recomienda hacer controles preventivos ante ciertas amenazas. Entre los factores que hay que considerar dentro del análisis de riesgos se encuentran los siguientes: Identificación de amenazas Historia de incidentes por recurso y amenaza

Probabilidad de ocurrencia Exposición por amenaza Impacto por amenaza

o Recomendación de controles preventivos o Identificación de estrategias por recurso o Asignación de estrategias por amenazas

2.4 Análisis de impacto 2.4.1 Propósito

El objetivo de un «análisis de impacto» es poder determinar la exposición financiera y el impacto operacional ante la interrupción de las funciones críticas del negocio de una compañía. Un análisis de impacto está diseñado para asegurar un entendimiento de las funciones y sistemas vitales del área dentro de la organización. El impacto de cada una de estas funciones se identifica, evalúa y categoriza de acuerdo con los marcos de tiempo requeridos para la recuperación del negocio. Los propósitos generales de la realización de este

análisis son: Identificar las consecuencias de la interrupción

en lo referente a pérdidas financieras, gastos adicionales e imagen de la organización.

Identificar el máximo período de interrupción que la organización puede tolerar.

Determinar qué nivel de pérdidas financieras es aceptable para la organización en conjunto y para una función específica del negocio.

Dejar datos para realizar un análisis costo / beneficio.

Establecer o confirmar prioridades de recuperación para aplicaciones críticas, sistemas y prioridades de recuperación de negocios.

Entre los factores que hay que considerar dentro del análisis de impactos se encuentran los siguientes: Valoración cuantitativa del impacto

Valor aceptable de pérdida Valoración cualitativa del impacto

2.4.2 Impacto externo Se refiere al impacto (alto, medio o bajo) que puede generar en los clientes o en los organismos externos el hecho de no prestar el servicio o no generar la información a tiempo. Los entes externos pueden ser la Superintendencia Financiera, la Asociación Bancaria, la DIAN, el Banco de la República, Deceval, DCV, ATATEC, MEC o IQ Outsourcing, entre otros.

2.4.3 Impacto interno Se refiere al impacto que afecta únicamente a la institución. Impacto financiero (alto, medio o bajo): se

refiere al impacto que puede tener, en el aspecto económico, el hecho de dejar de prestar el servicio o prestarlo a destiempo, ocasionando pérdida de clientes y de ingresos, multas o litigios. o Valor en $ (pesos) de la pérdida de

ingresos: se refiere al valor de la pérdida de ingresos, por ejemplo, por dejar de recibir comisiones. El valor de la pérdida debe tenerse en cuenta de acuerdo con la periodicidad del proceso, de tal manera que si la periodicidad es diaria, la pérdida ha de ser diaria.

o Valor en $ (pesos) de la multa: se refiere al valor de la multa por incumplimiento. Debe tomarse en cuenta de acuerdo con la periodicidad del proceso, de modo que si la periodicidad es diaria, la multa ha de ser diaria.

Impacto operativo (alto, medio o bajo): se refiere al impacto que pueden ocasionar grandes pérdidas de información o altos costos de recuperación.

2.5 Prioridad de reanudación Una vez realizado el análisis anterior, se priorizan los procesos en una “Matriz de tiempos de recuperación”. En esta matriz se presentan los procesos del área en el orden en que se

Anexo B

Metodología DRII


recuperarán, de acuerdo con la información suministrada por los usuarios.

DISEÑO E IMPLEMENTACIÓN En esta etapa se determinan los recursos mínimos para trabajar en un centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudación y recuperación correspondientes a las estrategias alternas de contingencia identificadas en la etapa anterior. Así mismo, deben definirse los procedimientos de notificación y escalamiento de emergencias, los criterios y procedimientos de activación de los planes de contingencia, al igual que los equipos de reanudación y recuperación, encargados de coordinar las actividades de recuperación en el evento de activación del plan. A continuación se detallan aún más algunas actividades de la etapa.

Requerimientos mínimos. o Identificar recursos de personal,

computacionales, de comunicaciones, implementos de oficina y espacio físico y amoblado para operar en centros alternos a corto, mediano y largo plazos.

Definición de programas de registros vitales y almacenamiento alterno. o Identificación de los registros vitales. o Protección y recuperación de registros

vitales. o Backups fuera del sitio.

Definición de procedimientos de escalamiento y notificación del plan. o Respuesta inicial, procedimientos de

emergencia. o Recuperación en el sitio alterno. o Recuperación de actividades en paralelo. o Recuperación en el sitio original o alterno.

Delegación y designación de autoridad. Procedimientos de activación del plan.

o Activación de los equipos de recuperación de desastres y continuidad del negocio (árbol de llamadas).

o Activación del sitio de recuperación y notificaciones.

o Requerimientos de los usuarios finales y personal de las áreas funcionales.

o Monitoreo de la recuperación y progreso de la reanudación.

o Revisiones para conducir a la pos-reanudación.

Adquisición del hardware, software, líneas de comunicación, etc.

Negociación y firma de contratos con los vendedores.

Preparación de los sitios. 3.1 Recursos mínimos

Se deben prever, para cada área en particular, el peor escenario de desastre y la necesidad de

desplazamiento a un centro alterno. Ante esta situación, hay que establecer los períodos de operación en el centro alterno, definiendo un corto, mediano y largo plazos. A continuación se procede a determinar y a describir los recursos mínimos requeridos para los períodos descritos.

3.1.1 Personal Se deben identificar, para cada período, el número de personas requeridas para llevar a cabo cada proceso, incluyendo una breve descripción de sus funciones.

3.1.2 Computacional Se deben identificar, para cada período, los elementos computacionales requeridos para llevar a cabo cada proceso, incluyendo equipos, discos, sistema operativo, memoria y software. Adicionalmente, se ha de describir la forma como se proveerán recursos a mediano y largo plazos (se compran, se alquilan, provienen de directivos, etc.)

3.1.3 Comunicaciones (red y voz) Se deben identificar, para cada período, los elementos de comunicación necesarios para llevar a cabo cada proceso, incluyendo puntos de red y líneas telefónicas, con sus respectivas características.

3.1.4 Elementos logísticos 3.1.4.1 Espacio físico

Se deben identificar, para cada período, los elementos de espacio físico que se requieren, incluyendo tamaño, seguridad y privacidad, entre otros.

3.1.4.2 Amoblado Se deben identificar, para cada período, los elementos de mobiliario que se requieren, como escritorios y sillas, por ejemplo.

3.1.4.3 Documentos e implementos de oficina Se deben identificar, para cada período, los documentos e implementos de oficina necesarios para efectuar cada una de las actividades programadas.

3.2 Registros vitales Se debe establecer, para cada área en particular, el esquema de respaldos de aquella información vital requerida para llevar a cabo cada proceso que no reside en los dispositivos de almacenamiento alternos. Servidores de estaciones PC Se deben incluir los datos que hay que respaldar, el día y la hora en que se hace el respaldo o la periodicidad, el tipo de respaldo, el tiempo de retención de la información y la instalación o ubicación donde se encontrarán estos registros vitales. Adicionalmente, se deberán especificar los usuarios que tendrán acceso a esta información.

3.3 Notificación La notificación tanto interna como externa para la reanudación y el retorno deberá hacerse en el momento del incidente. Para esto deberá elaborarse

Anexo B

Metodología DRII


un esquema general de notificación y esquemas particulares si es necesario. Es recomendable realizar estos esquemas gráficamente e incluir una breve descripción de cada uno para mayor claridad.

3.3.1 Notificación interna o externa: activación y retorno de contingencia

En todos los casos se debe incluir el cargo de la persona que notifica, el de la persona notificada y el medio de comunicación empleado.

3.3.2 Delegación de autoridad En todos los casos se debe incluir el tipo de autorización, el responsable actual (cargo) y a quién se le delega la autorización (cargo). Adicionalmente, hay que proporcionar información sobre el proceso o procedimiento al que hace referencia la autorización.

3.4 Programación centro alterno En este capítulo se consolidan la información del centro alterno, su ubicación, el mapa de los elementos que están en el sitio, la funcionalidad de cada puesto de trabajo y el responsable de los elementos que allí se encuentran.

3.4.1 Ubicación y mecanismo de ingreso Se debe especificar la ubicación del centro alterno y el procedimiento para ingresar, teniendo en cuenta consideraciones de horario (hábil o no hábil).

3.4.2 Distribución Se debe especificar la ubicación de cada elemento de hardware, incluyendo direcciones IP, software instalado y funciones que se realizarán en él. Se debe especificar la ubicación de cada elemento de oficina incluyendo equipos de transmisión de fax, escáner y fotocopiadoras, entre otros. Se debe especificar la ubicación de todos los útiles de oficina.

3.5 Descripción de estrategias Se deben describir, para cada estrategia, todos los elementos que intervienen en ésta, los procedimientos necesarios para su ejecución, los escenarios en los que se puede aplicar, los equipos que participan y los controles requeridos en cada una de las actividades. 3.5.1 Escenarios Se deben especificar los incidentes o amenazas para los que sirve esta estrategia. 3.5.2 Equipos de trabajo Se deben especificar las personas que intervienen para la reanudación del servicio o recuperación de la falla hasta la normalidad. Hace referencia a las personas que conforman los equipos que se describen a continuación: 3.5.2.1 Equipo de reanudación (ERO) Es el equipo responsable de reanudar el servicio, es decir, aquellas personas que técnica u operativamente son quienes deben realizar las acciones de la estrategia de contingencia para restablecer el servicio. Se debe diferenciar (en caso de ser diferentes) a las personas encargadas de la parte tecnológica de las responsables de la parte

operativa, incluyendo el área a la que pertenecen y el cargo. 3.5.2.2 Equipo de recuperación (ERP) Es el equipo encargado de que los escenarios de falla para esta estrategia sean atendidos y recuperados a un estado de operación normal. Se deben incluir el escenario de falla y el responsable, incluyendo el área a la que pertenece y el cargo. Adicionalmente, en caso de existir y de ser relevante, se debe incluir el proveedor del sistema afectado. 3.5.3 Recursos específicos Tiene que ver con los elementos propios de la estrategia, la cantidad, ubicación y el responsable de proveer el recurso. Si el responsable es un proveedor, se debe explicar en qué condiciones entrega el elemento; si existe un contrato, se debe hacer referencia a éste y anexarlo. 3.5.4 Controles Se deben enumerar, para cada proceso, las actividades de la estrategia que hay que controlar, indicando el mecanismo de control y el verificador. 3.5.5 Proceso de activación La estrategia sugiere un flujo de actividades para reanudar el servicio oportunamente. A continuación se detallan el procedimiento técnico u operativo y el responsable. Si se necesita describir el procedimiento de una manera más explícita, deberá haber un pie de página con el documento que podrá encontrar en los anexos. 3.5.5.1 Estrategia técnica Hay que relacionar cada una de las actividades y al equipo responsable, si no es explícito en la descripción de la actividad. 3.5.5.2 Estrategia operativa Hay que relacionar cada una de las actividades y al equipo responsable si no es explícito en la descripción de la actividad. 3.5.6 Proceso de retorno La estrategia sugiere un flujo de actividades para retornar a la normalidad. A continuación se detallan el procedimiento técnico u operativo y el responsable. Si se necesita describir el procedimiento de una manera más explícita, deberá haber un pie de página con el documento que podrá encontrar en los anexos. 3.5.6.1 Estrategia técnica Se deben relacionar cada una de las actividades y al equipo responsable si no es explícito en la descripción de la actividad. 3.5.6.2 Estrategia operativa Se deben relacionar cada una de las actividades y al equipo responsable si no es explícito en la descripción de la actividad.

CAPACITACIÓN Y PRUEBAS

Anexo B

Metodología DRII


En esta etapa se capacita y concientiza a todos los niveles de la organización en lo referente a los planes de contingencia de los procesos del negocio. Así mismo se planean y realizan las pruebas a los planes de contingencia, luego se hace la evaluación respectiva.

4.1 Capacitación Se debe elaborar una lista de las actividades programadas en la capacitación, con su responsable, fecha de ejecución y resultado, indicando las formas en las que se capacitará y concientizará al personal del área y demás personas involucradas en todo lo relacionado con el plan de contingencia.

4.2 Pruebas El objetivo de las pruebas es verificar los procedimientos establecidos, probar los controles definidos, reanudar operaciones en sitios alternos, o con elementos reducidos, conocer a las personas en su rol, establecer los tiempos de recuperación y en general, detectar fallas y aplicar correctivos. Es importante asegurarse de que el procedimiento de recuperación sea factible y práctico, identificar deficiencias en procesos existentes, demostrar la habilidad del área para recuperarse y tener la certeza de que las personas de los equipos de recuperación y reanudación son capaces de trabajar en conjunto y bajo la presión de incidentes con diferente magnitud. Se debe hacer un cronograma de pruebas en el que se indiquen la estrategia que se va a probar y el tipo de prueba (tecnológico/operativo), e incluir una breve descripción de lo que se quiere realizar.

4.2.1 Periodicidad La periodicidad de cada una de las pruebas asegura su vigencia. Por tal motivo, se deben especificar las estrategias que se probarán regularmente, indicando su periodicidad y sus responsables.

4.2.2 Descripción de pruebas 4.2.2.1 Objetivos

Se deben precisar los objetivos específicos de cada prueba que se vaya a realizar.

4.2.2.2 Planeación Se debe definir la prueba, proporcionando la siguiente información:

Título Clase de prueba (tecnológica, operativa,

de notificación, etc.) Sistemas de información (si se requieren)

Duración aproximada de la prueba Participantes Criterios de evaluación

4.2.2.3 Ejecución, resultados y mejoras Se debe realizar una bitácora de ejecución con los resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecución, resultados y responsables.

MANTENIMIENTO El objetivo de esta etapa es desarrollar procedimientos y mecanismos de mantenimiento y actualización de los planes definidos, con el fin de garantizar que éstos se podrán utilizar efectivamente en una emergencia, velando porque su información se encuentre actualizada, completa y precisa. Así mismo, en esta etapa se busca implementar mecanismos que aseguren que el plan es consistente con los procedimientos actuales de la organización o área, que los mecanismos de comunicación y procesamiento de datos se prueban periódicamente y que los miembros de la organización conocen todos los cambios realizados a los planes. Además, se velará por establecer los procedimientos de revisiones periódicas de los mismos. Igualmente, en esta etapa deben definirse los mecanismos de divulgación y distribución de los planes, así como las estrategias de actualización, cuando se hagan modificaciones a los mismos. Deben definirse, además, dónde residirán los documentos de los planes y las copias de seguridad de los mismos.

5.1 Políticas de mantenimiento Se debe hacer una lista de medidas mediante las cuales se mantendrá el plan de contingencia. Se Incluyen resultados, resoluciones y reuniones, entre otros.

5.2 Bitácora Cada vez que se modifique el plan, se deberá llevar una bitácora en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento cambiado, la descripción de la modificación, quién la hizo y si ya se distribuyó o no.

5.3 Mecanismo de almacenamiento Una vez terminado el plan de contingencia, éste se deberá almacenar en diferentes medios y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnéticos no están disponibles en el momento de un incidente. Dichas copias se deben almacenar también en los centros alternos.

5.4 Mecanismo de actualización Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran importancia verificar que todas las copias contengan la misma información.

5.5 Mecanismo de distribución Cada vez que se modifique o actualice el plan, se deberán distribuir y divulgar las nuevas actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, éstas se tendrán que realizar con la mayor brevedad posible.

instituto politÉcnico nacional fierro… · actividad 3.2 presentar el análisis costo/beneficio...

Documents