You are on page 1of 14

Technology and Security

Risk Services
Planes de Continuidad de Negocio
AS TSRS
Planes de Continuidad de Negocio
Conjunto de tareas que permite a las
organizaciones continuar su actividad en la
situacin de que un evento afecte sus
operaciones.
Un plan de continuidad afecta tanto a los
sistemas informticos como al resto de
procesos de una organizacin y tiene en
cuenta la situacin antes, durante y despus
de un incidente.
Metodologa del Plan de Continuidad
1 1
2 2
3 3
4 4
5 5
Obtener una imagen clara y detallada de los procesos de negocio de la Entidad, determinando sus
criticidades, interdependencias y riesgos.
Lograr un conocimiento profundo de la plataforma tecnolgica.
Determinar las necesidades crticas para permitir un grado de
operatividad en lnea con la estrategia definida.
Desarrollar una solucin cuya relacin
coste-beneficio cumpla los requisitos y las
expectativas de la Entidad.
Prever y documentar las
acciones necesarias
para restaurar la
actividad.
Lograr una situaci Lograr una situaci n que garantice la n que garantice la
continuidad del negocio. continuidad del negocio.
El proyecto se inicia en el negocio y progresa hasta garantizar su
continuidad.
Los resultados de cada etapa alimentan a la siguiente, con lo que
se logra una evolucin coherente.
A lo largo del desarrollo del
proyecto, se cubren los siguientes
objetivos:
Gestin de Continuidad
Baja Dependencia Alta Dependencia
P
r
o
c
e
s
o

I
n
t
e
r
n
o
P
r
o
c
e
s
o

E
x
t
e
r
n
o
Plan de Contingencia
Comit de Crisis
Plan de Recuperacin de Desastres
Recuperacin
Calidad de Servicio Interna
Relacin Estratgica
Planificacin Conjunta
SLAs y Auditoras
Preparacin Conjunta
Relacin Operativa
Calidad de Servicio
Garantas Contractuales
Diferencias entre BCP y DRP
El DRP, Disaster Recovery
Plan plantea:
Realizar planes de prevencin y
recuperacin antes los
escenarios de desastre con
mayor impacto y probabilidad de
ocurrencia.
El mbito del DRP son los
sistemas de informacin de la
organizacin.
Dentro de los DRP son crticos
los tiempos de prdida y
recuperacin de informacin.
El BCP, Business
Continuity Plan extiende el
alcance:
El BCP tiene como objetivo el
mantenimiento de la actividad de
la empresa, bien mediante la
recuperacin de los procesos de
soporte o mediante la aplicacin
de procesos de emergencia.
Dentro del BCP es clave el BIA,
Business Impact Analysis, que
tiene en cuenta el impacto
econmico de una parada de la
actividad.
Ejemplo de Manual de Contingencia:
Manuales de Contingencia
rbol de Decisin: Procedimiento de toma de decisin para la declaracin de
contingencia y activacin de los procedimientos adecuados.
Hoja de Contactos: Procedimientos de contacto y comunicacin con cada
miembro de los comits o equipos de recuperacin. Esta hoja incluye
procedimientos de contacto y responsables de salvaguarda.
Acciones
Preparacin: Inicio de actividades
Movilizacin: Activacin y puesta en marcha de los recursos necesarios
Recuperacin: Puesta en marcha de las medidas de recuperacin
Verificacin: Validacin por cada responsable del funcionamiento de las medidas
de recuperacin
Gestin Documental: Procedimientos de almacenamiento y distribucin
de los manuales de contingencia
BCP y SGSI
La existencia de un BCP se considera una parte
clave en la implantacin de un SGSI
UNE 71502, BS-7799-2, ISO 27001
Una medida bsica en cualquier organizacin de
seguridad es la disponibilidad y acceso a la
informacin crtica
Las organizaciones ms importantes van a
empezar a solicitar Planes de Contingencia a sus
proveedores
Adaptando los BCP a la Organizacin
Cul es el objetivo de mi organizacin?
Es necesarios establecer los escenarios que pueden afectar
a su continuidad
Cul es el mbito del proyecto?
El proyecto debe involucrar a todos los procesos y reas
crticas de la empresa
Adaptando los BCP a la Organizacin
Responsables del BCP
Los responsables de los procesos de BCP deben ser los
responsables de los procesos crticos en la organizacin
Cadena de Sumistro
Produccin
Explotacin Informtica

La supervisin del BCP debe estar a cargo de
departamentos de calidad o aduditora
Adaptando los BCP a la Organizacin
Comit de Crisis
Los responsables del comit de crisis deben tener la
autoridad y los mecanismos de comunicacin
Todos los procedimientos del comit de crisis deben
estar definidos y aprobados
Cada miembro del comit debe tener una persona
de respaldo
Los subcomits ms frecuentes son:
Comunicacin
Tecnologa
Logstica
Adaptando los BCP a la Organizacin
Recomendaciones
Conocer la madurez de los
sistemas de gestin de la
organizacin
Obtener el soporte adecuado al
mbito del proyecto
Realizar un enfoque mixto
externo interno
Deficiencias en los BCP
Involucran solo a las reas
tcnicas
La gestin del riesgo se limita a
pequeas reas
No se implantan las medidas
establecidas
Conclusiones
Elementos crticos de un BCP
Conocer los elementos clave del negocio
Responsabilizar de los BCP a los directores de cada rea
clave
Establecer el mbito necesario de los BCP
Utilizar el BCP como elemento de motivacin y
concienciacin
Su turno!
Contacte con nosotros
Alejandro Villar Alejandro Villar n V n V zquez zquez
Senior Manager, CISA Senior Manager, CISA
Responsable Zona Norte E&Y Technology&Security Risk Services (TS Responsable Zona Norte E&Y Technology&Security Risk Services (TSRS) RS)
alejandro.villaranvazquez@es.ey.com
Telf: 944 243777
C/Ibaez de Bilbao, 28
48009 Bilbao