Professional Documents
Culture Documents
1.- Introducción
La BCP es un proceso continuo más que un proyecto. Los planes que el planificador
desarrolla como parte de este proceso dirigirán la respuesta a incidentes desde simples
emergencias hasta desastres totales.
La meta última del proceso es poder responder a incidentes que puedan impactar en la
gente, las operaciones y la capacidad de entregar bienes y servicios al mercado.
Esta área presenta una visión general de los principios de continuidad del negocio y
recuperación de desastres y específicamente las siguientes áreas:
- Pruebas de Plan.
- Respaldo y Restauración.
- Consideraciones de Auditoría.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
1
2.- Relación de las tareas con los conocimientos relacionados
Las tareas son lo que se espera que el candidato CISA sepa cómo hacer. Los
conocimientos relacionados delinean lo que se espera que el candidato CISA sepa para
realizar las tareas.
BCP es un proceso diseñado para reducir el riesgo del negocio de la organización que
surja de una interrupción no esperada de las funciones/operaciones críticas (manuales o
automáticas) necesarias para la supervivencia de la misma. Esto incluye recursos
humanos/materiales que soportan estas funciones/operaciones críticas y garantía de la
continuidad de por lo menos el nivel mínimo de los servicios necesarios para al menos las
operaciones críticas.
El primer enfoque para afrontar cualquier riesgo debe ser eliminar la amenaza
considerando las ubicaciones de negocios materiales para la construcción y la
duplicación de funciones clave en ubicaciones remotas. Un objetivo realista es asegurar
la supervivencia de una organización estableciendo una cultura que identificará y
gestionará esos riesgos que podrían causarle que sufra.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
2
planificación rigurosa y una asignación de recursos para planear adecuadamente para
un evento semejante.
Lo primero que hay que hacer para desarrollar un BCP es identificar los procesos de
negocio de importancia estratégica, que son los procesos clave que son responsables
tanto del crecimiento permanente del negocio como del cumplimiento de las metas del
negocio. Idealmente el BCP/DRP debe ser respaldado por una política ejecutiva formal
que establezca el objetivo general de la organización y asigna poder a las personas que
están involucradas en el desarrollo, prueba y mantenimiento del plan.
Teniendo presente los procesos clave, el proceso de gestión de riesgos debe comenzar
con una valoración de riesgos. El riesgo es directamente proporcional al impacto a la
organización y la probabilidad de que ocurra la amenaza percibida. El resultado de la
valoración de riesgos debe ser la identificación de lo siguiente:
La parte de operaciones del BCP debe tratar todas las funciones y activos requeridos para
continuar como una organización viable. Aprovisionar al negocio con instalaciones
externas, algo que debería ser perseguido, es en última instancia una decisión de negocio
basada en la gestión de riesgos.
El centro de atención está en la disponibilidad de los procesos clave del negocio para
continuar operaciones si surgiera algún tipo de interrupción.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
3
produzca una interrupción, mientras se está llevando a cabo la recuperación. Este plan
debe tratar todas las funciones y los activos que se requieren para continuar como una
organización viable. Esto incluye los procedimientos de continuidad calificados como
necesarios para sobrevivir y para minimizar las consecuencias de la interrupción del
negocio.
Las operaciones críticas que son más necesarias para la supervivencia de la organización.
- El DRP que se usa para recuperar una instalación que se tornó inoperable, incluyendo la
reubicación de las operaciones en un nuevo lugar.
- El plan de restauración que se usa para regresar las operaciones a la normalidad, ya sea en
una instalación recuperada o en una nueva.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
4
amenazados. El procesamiento de SI es de importancia estratégica. Es un componente
crítico ya que la mayoría de los procesos clave del negocio depende de la disponibilidad
de sistemas clave y componente de infraestructura.
El plan de continuidad del negocio del SI debe también estar alineado con la estrategia
de la organización. De ese modo, la clasificación con respecto a la criticidad de los
diversos sistemas de aplicación desplegados en la organización depende de la
naturaleza del negocio así como también del valor de cada aplicación del negocio.
Una vez que la valoración de riesgos identifica el valor de los componentes de SI para la
organización, se puede desarrollar un plan para establecer la criticidad de los sistemas y
los métodos más apropiados para la restauración.
Un plan de continuidad del negocio de SI es mucho más que sólo un plan para los
sistemas de información. Un BCP identifica lo que el negocio hará en el caso de un
desastre. Un subcomponente del plan de continuidad del negocio es el plan de
recuperación ante desastres de TI. Éste, típicamente detalla el proceso que el personal de
TI utilizará para restablecer los sistemas de cómputo. Los DRPs pueden estar incluidos en el
BCP como un documento completamente separado, dependiendo de las necesidades del
negocio.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
5
La calidad de los elementos de SI es esencial para la recuperación ante desastres de SI.
Por lo tanto, se recomienda que la organización implemente un sistema de gestión de
seguridad de la información para mantener la integridad, confidencialidad y
disponibilidad de SI.
Los desastres son interrupciones que ocasionan que los recursos críticos de información
queden inoperantes por un período de tiempo, impactando adversamente las
operaciones organizacionales. La interrupción podría durar desde varios minutos hasta
algunos meses, dependiendo de la extensión de daño a los recursos de información. Más
importante aún, los desastres requieren esfuerzos de recuperación para restaurar el estado
operativo.
Un desastre puede ser causado por calamidades naturales, como por ejemplo, terremotos,
inundaciones, tornados, tormentas eléctricas severas, incendios, etc. los cuales causan
daños importantes a las instalaciones de procesamiento y a la localidad en general. Otros
eventos desastrosos que causan interrupciones pueden ocurrir cuando los servicios
esperados ya no son proporcionados a la compañía, por ejemplo, el suministro de energía
eléctrica, las telecomunicaciones, el suministro de gas natural u otros servicios provistos por
externos (que pueden o no estar relacionados con un desastre natural). Un desastre
podría también ser causado por eventos precipitados por seres humanos tales como
ataques terroristas, de hackers, virus o error humano.
No todas las interrupciones críticas del servicio son causadas por un desastre. Por ejemplo,
la interrupción del servicio es causada a veces por mal funcionamiento del sistema,
eliminación accidental de archivos, ataques de negación de servicio (DoS), intrusiones y
virus.
Un buen plan de continuidad del negocio tomará en cuenta todos los tipos de
acontecimientos que impacten tanto en las instalaciones de procesamiento de los
sistemas de información críticos como las funciones organizacionales normales de
operación del usuario final. Para escenarios de peor caso, se requieren estrategias de
marcha atrás de corto y largo plazo. Para el corto plazo, se puede necesitar una
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
6
instalación del procesamiento alterno para satisfacer las necesidades operativas
inmediatas, como en el caso de un desastre natural mayor. En el largo plazo, para
recuperación ante desastres, se debe considerar una nueva instalación permanente,
equipada para proveer la continuidad del servicio de procesamiento de los sistemas de
información de manera regular.
Los rumores dañinos pueden surgir de muchas fuentes (incluso internas). Pueden o no estar
asociados con un incidente serio o con una crisis. Una de las peores consecuencias de las
crisis es la pérdida de la confianza.
El proceso de BCP puede dividirse en las etapas del ciclo de vida siguientes:
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
7
Programa de capacitación y concientización.
Monitoreo.
Una política de continuidad del negocio debe ser proactiva y abarcar controles
preventivos, de detección y correctivos. El BCP es el control correctivo más crítico.
Depende de que otros controles sean efectivos, en particular la gestión de incidentes y
respaldo de medios.
Los incidentes y crisis son dinámicos por naturaleza. Evolucionan, cambian con el tiempo y
las circunstancias, y a menudo son rápidos e imprevisibles.
Dependiendo de una estimación del nivel de daños resultantes a la organización, todos los
tipos de incidentes deben ser clasificados. Un sistema de clasificación podría incluir las
siguientes categorías: sin importancia, menor, mayor y crisis. La clasificación puede
cambiar dinámicamente mientras se resuelve el incidente. Estos niveles pueden describirse
como sigue:
Incidentes sin importancia son los que no causan daños perceptibles o significativos, como
por ejemplo, caídas del sistema operativo (OS) muy breves con recuperación total de la
información o cortes de energía momentáneos con respaldo de suministro ininterrumpido
de energía (UPS).
Eventos menores, son los que, aunque no insignificantes, no producen un impacto material
(de relativa importancia) o financiero negativo.
Incidentes mayores que causan un impacto material negativo sobre los procesos de
negocio y pueden afectar otros sistemas, departamentos o incluso clientes externos.
La crisis es un incidente mayor que puede tener un impacto material (de relativa
importancia) serio sobre el funcionamiento continuo del negocio y que puede también
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
8
tener un impacto adverso sobre otros sistemas o terceros. La seriedad de ellos depende de
la industria y de las circunstancias, pero la severidad es generalmente directamente
proporcional al tiempo transcurrido desde el inicio del incidente hasta su resolución.
En general el criterio principal para la severidad (nivel) de los incidentes es el tiempo sin
servicio. Otros criterios pueden incluir el impacto sobre los datos o sobre las plataformas. El
servicio puede definirse como la inclusión de compromisos con clientes que pueden ser
tanto clientes externos como departamentos internos. En la mayoría de los ambientes, la
severidad es proporcional al tiempo improductivo. Otros criterios pueden incluir el impacto
sobre los datos o sobre las plataformas
El BIA es un paso crítico para desarrollar el BCP. Esta etapa implica identificar los diversos
eventos que podrían tener un impacto sobre la continuidad de las operaciones y su
impacto financiero, humano, legal y de reputación sobre la organización.
Sistemas.
Datos.
Redes.
Software de sistemas.
Instalaciones.
Hay diferentes métodos para efectuar un análisis del impacto sobre el negocio (BIA). Uno
de los más populares es el método del cuestionario. Este enfoque implica desarrollar un
cuestionario detallado y circularlo a los usuarios clave tanto en las áreas de TI como de los
usuarios finales. La información recopilada es tabulada y analizada.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
9
relevantes para llegar a una conclusión respecto al impacto potencial sobre el negocio de
diversos niveles de interrupción.
Las tres principales preguntas que deben ser consideradas durante la etapa de BIA
incluyen las siguientes:
2.- ¿Cuáles son los recursos de información críticos relacionados con los procesos críticos
del negocio de la organización?
Recepción de pagos.
Producción.
Pago de empleados.
Publicidad.
3.- ¿cuál es el período crítico de tiempo de recuperación para los recursos de información
en el cual se debe restablecer el procesamiento del negocio antes de que se
experimenten las pérdidas significativas o inaceptables?
Para tomar esta decisión, hay dos factores independientes de costo a considerar: uno es
el costo de tiempo producto del desastre, cuyo componente principal se deriva del
tiempo improductivo y de la falta de servicio.
El otro factor es el costo de las estrategias de corrección alternativas (la activación del
BCP), que disminuye con el objetivo escogido para el tiempo de recuperación.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
10
Al identificar estos costos, se suman los costos totales (interrupciones y recuperación)
donde una organización querrían encontrar el punto en el cual el costo total minimizado.
Cada estrategia posible tiene un costo fijo (es decir, no cambia con el tiempo). Tenga en
cuenta que el costo fijo de cada estrategia posible puede ser diferente, normalmente,
cuanto más es el tiempo de recuperación que se pretende, más elevado será el costo fijo.
La organización paga por la estrategia, aún si no ocurriera ningún accidente. Si hubiera un
accidente, los costos variables aumentarán de manera significativa (por ejemplo, su
contrato de “warm site” puede proveer un costo anual fijo más un costo diario de
ocupación efectiva) debido a la necesidad del personal adicional, horas adicionales,
transporte adicional y otra logística (por ejemplo, viáticos diarios, nuevas líneas de
comunicación).
Clasificació
Dn Descripción
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
11
llevarlas a cabo.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
12
Cuanto más bajo sea el tiempo de recuperación requerido, más elevado será el costo de
las estrategias de recuperación, es decir, si el RPO está en minutos (pérdida de datos
aceptable más baja posible), entonces el MIRROGING o la duplicación de datos debe
implementarse como la estrategia de recuperación. Si el RTO es menor, entonces el sitio
alternativo podría preferirse a un contrato de hot site.
Además de RTO y RPO, existen algunos parámetros que son importantes para definir las
estrategias de recuperación. Estos incluyen:
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
13
11.- Estrategias de Recuperación
- La criticidad del proceso del negocio y las aplicaciones que soportan los
procesos.
- Costo.
- Seguridad.
En general, cada plataforma TI en la que corra una aplicación que soporte una
función crítica del negocio necesitará una estrategia de recuperación. Lo que se
trata es de firmar un acuerdo con otra organización que tenga equipos y sistemas
similares. Lo que se transa son horas de procesamiento.
Ventajas:
- Bajo Costo.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
14
- Recuperación rápida.
Desventajas:
Las interrupciones más prolongadas y más costosas, en particular los desastres que
afectan la instalación física primaria, requieren alternativas de recuperación en un
sitio distinto a la ubicación primaria (offsite). Los tipos de instalaciones de respaldo de
hardware en sitio alternativo que existen son:
Hot Sites: Se configuran totalmente y están listos para operar dentro de varias
horas. El equipo, red y software del sistema deben ser compatibles con la instalación
primaria que está siendo respaldada. Las únicas necesidades adicionales son
personal, programas, archivos de datos y documentación.
Los costos asociados con el uso de un hot site de terceros por lo general son
elevados, pero más bajos que crear un sitio redundante y con frecuencia son costos
justificables para aplicaciones críticas.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
15
computadora es la unidad más cara, dicho acuerdo es menos costoso que un hot
site.
Cold Sites.
Suscripciones por sitio: ¿El contrato limita el número de suscriptores por sitio?
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
16
clientes declaran desastres de manera simultánea? ¿Tiene el proveedor más de una
instalación disponible para el uso del suscriptor?
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
17
Fuera de inventario: Dichos componentes están rápidamente a disposición
provenientes del inventario de los proveedores, previo aviso, no muy
anticipado, y con una necesidad mínima de acuerdos especiales.
-Direccionamiento alternativo.
- Direccionamiento diversificado.
- Recuperación de voz.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
18
Usar los procedimientos manuales.
Los diversos factores que se deben considerar mientras se desarrolla/ revisa el plan son:
- Procedimientos de evacuación.
- Las circunstancias bajo las cuales se debe declarar un desastre. Todas las
interrupciones no son desastres, pero un pequeño incidente, si no es tratado a
su debido tiempo o de manera apropiada, puede conducir a un desastre. Por
ejemplo, un ataque de virus no reconocido y contenido a tiempo puede
hacer colapsar toda la instalación de TI.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
19
- La clara identificación de los diversos recursos requeridos para la
recuperación y operación continua de la organización.
El plan debe identificar los equipos con sus responsabilidades asignadas en el caso de un
incidente / desastre. Para implementar las estrategias que se han desarrollado para la
recuperación del negocio, se debe identificar el personal de tomas de decisiones de SI y
del usuario final. Es una buena idea desarrollar una matriz sobre la correlación entre los
equipos que se necesitan para participar y el esfuerzo de recuperación/ nivel de
interrupción estimado.
- Equipo de seguridad.
- Equipo de comunicaciones.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
20
- Equipo de transportes.
- Equipo de suministros.
- Equipo de salvamento.
- Equipo de reubicación.
- Equipo de coordinación.
- Equipo de entrenamiento.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
21
- Reconstruir bases de datos.
- Hacer los arreglos y pagar por los gastos de reubicación de los empleados en
el sitio de recuperación.
Las tres divisiones principales que requieren participación en la formulación del BCP son los
servicios de soporte, las operaciones del negocio y el soporte de procesamiento de
información.
Cuando el plan se formule, se deben incluir los siguientes puntos: Una lista del personal, con
información de contacto, requerido para mantener las funciones críticas del negocio en el
corto, mediano y largo plazo. La configuración de las instalaciones físicas, escritorios, sillas,
teléfonos etc. que se requieren para mantener las funciones críticas del negocio, en el
corto, mediano y largo plazo.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
22
de las actividades normales del negocio durante el proceso de recuperación.
Procedimientos, formularios y todos los documentos que se requieran.
- Seguros.
Plan de continuidad Procedimientos para sostener las Se ocupa de los procesos del
del negocio BCP. operaciones esenciales del negocio negocio; dirigido a TI basado
mientras éste se recupera de una únicamente como soporte para
interrupción significativa. los procesos de negocio.
Para las fases de planeación, implementación y evaluación del BCP se debe acordar lo
siguiente:
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
23
Las políticas que regirán todos los esfuerzos de continuidad y recuperación.
Las metas/ requerimientos/ productos de cada fase.
Instalaciones alternativas para realizar tareas y operaciones.
Recursos de información crítica a instalar.
Personas responsables de su ejecución.
Recursos disponibles para ayudar en la ejecución del plan.
El cronograma de actividades con las prioridades establecidas.
- Una lista con prioridades, de los contactos, es decir, quien debe ser llamado
primero en una lista de teléfonos.
- Números de teléfono y direcciones primarias y de emergencia para cada persona
crítica a contactar. Estos serán por lo general, jefes clave de equipo, responsables
de contactar a los miembros de su equipo.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
24
- Números de teléfono de las personas a contactar en las instalaciones de
recuperación, incluyendo representantes en el mismo lugar o servicios definidos
previamente de re direccionamiento de las comunicaciones de red.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
25
vulnerables a diversos inconvenientes que son propios de las características de los
medios de telecomunicaciones.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
26
Nivel 0: Arreglo de disco con datos distribuidos sin tolerancia a fallas: Mejora
el desempeño creando lo que parece ser un disco entre varios manejadores
de disco separados físicamente.
Nivel 1: Mirroring: Permite que una copia exacta de información en un área
de disco, sea copiada a otra. Una vez establecidos, los datos grabados en el
disco también se graban en el espacio libre de la otra mitad del disco
espejo.
Nivel 2: Cifrado de curva elíptica con código de hamming (ECC): Es el
proceso de intercalar datos en múltiples drives incluyendo información de
paridad creada usando la técnica del código de Hamming.
Nivel 3: Transferencia paralela con paridad: Usa paridad a nivel de byte en
dispositivos (drives) dedicados y datos de usuario distribuidos a través de los
múltiples dispositivos.
Nivel 4: Discos de datos independientes con bloques de paridad compartida:
Similar al nivel 3 pero usa paridad a nivel de bloque y disk striping, en vez de
byte dentro de un bloque.
Nivel 5: Discos de datos independientes con bloques de paridad distribuida:
Hace una distribución tanto de los datos, como de la información de paridad
entre los múltiples discos a nivel de bloque.
22.- Seguros
Los tipos específicos de cobertura que deben tener los seguros son:
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
27
- Equipos e instalaciones de SI: Provee cobertura por daños físicos al sitio de
procesamiento de información y al equipo de su propiedad.
- Reconstrucción de los medios (software): Cubre daños a los medios de SI
que sean de prioridad del asegurado y del cual el asegurado sea
responsable.
- Gastos adicionales: Están diseñados para cubrir los costos adicionales que
ocasiona la continuidad de las operaciones luego de los daños o de la
destrucción en el sitio de procesamiento de la información.
- Interrupción del negocio: Pérdida de ganancias debido a la interrupción
de actividades.
- Documentos y registros valiosos: Valor real efectivo de documentos y
registros valiosos que se encuentran en las instalaciones del asegurado.
- Error y omisiones: Protección legal de responsabilidad.
- Cobertura de fidelidad: Pérdida originada por actos deshonestos o
fraudulentos de empleados.
- Transporte de medios: Pérdida o daño potencial a medios en tránsito hacia
instalaciones de respaldo.
Se deben realizar las pruebas al PCN para saber si el plan funciona bien o qué partes
de éste necesitan ser resguardadas. Las pruebas deben ser programadas durante un
tiempo que minimice las interrupciones de las operaciones normales. Por ejemplo, los
fines de semana, en la noche, etc.
Especificaciones:
- Verificar si el BCP es completo y preciso.
- Evaluar el desempeño del personal involucrado en el ejercicio.
- Evaluar la capacitación y concientización de los miembros del equipo de
continuidad que no pertenecen al negocio.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
28
- Evaluar la coordinación entre el equipo de continuidad del negocio y los
proveedores.
- Medir la habilidad y capacidad del lugar de respaldo para llevar a cabo
el procesamiento prescrito.
- Valorar la capacidad de recuperación de los registros vitales.
- Evaluar el estado y la cantidad de equipo y de suministros que han sido
reubicados en el lugar de recuperación.
- Medir el desempeño general de actividades operativas y de
procesamiento de los sistemas de información relacionadas con el
mantenimiento de la entidad de negocio.
Ejecución de Pruebas:
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
29
-Desarrollar un programa para revisión y mantenimiento periódico del plan avisando a
todo el personal.
-Exigir revisiones no programadas cuando hayan ocurrido cambios significativos.
-Examinar las revisiones y comentarios y actualizar el plan dentro de X días siguientes a
partir de la fecha de revisión.
-Hacer arreglos y coordinar las pruebas programadas y no programadas del BCP para
evaluar si son adecuadas.
-Participar en las pruebas programadas del plan.
-Desarrollar un programa para capacitar al personal de recuperación en los
procedimientos de emergencia y de recuperación como se establece en el BCP.
-Mantener registros de las actividades de mantenimientos del BCP – pruebas,
capacitación y revisiones.
-Actualizar periódicamente, por lo menos trimestralmente el directorio de notificaciones
con todos los cambios de personal, incluyendo números de teléfono, responsabilidades
o estatus dentro de la compañía.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
30
- Asegurar que sólo el personal autorizado tenga acceso a la biblioteca y a
los medios fuera de línea.
- Asegurar que se mantenga un inventario perpetuo de todos los medios de
almacenamiento y de los archivos almacenados en la biblioteca.
- Asegurar que se mantenga un registro de información respecto al
contenido, a las versiones y a la ubicación de los archivos de datos.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
31
puede diferir por programa de aplicación o por sistema de software. Por ejemplo,
ciertos sistemas de aplicación que se ejecutan mensualmente en los cuales los
archivos principales o de transacciones se actualizan mensualmente requerirán que
se programen las copias de respaldo después que se ejecute la producción
mensual. Sin embargo, los sistemas operativos o el software de aplicación que sea
actualizado con frecuencia podrán requerir copias de respaldo semanales. A
menudo los sistemas en línea que efectúan el procesamiento de grandes
volúmenes de transacciones requieren de copias de respaldo cada noche o
inmediatamente o utilizan actualizaciones de archivos maestros espejados en una
instalación de procesamiento separada.
Frecuencia de rotación.
La siguiente figura describe la documentación que debe tener respaldo y que debe
ser almacenada en un sitio alterno:
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
32
Almacenamiento en el Sitio Alterno
Clasificación Descripción
Procedimientos de operación Librerías o bibliotecas de ejecución de las aplicaciones,
instrucciones para la ejecución consecutiva de trabajos,
manuales del sistema operativo y procedimientos especiales.
Documentación de sistemas Diagramas de flujo, listados del código fuente de los
y de programas programas, descripción lógica de los programas, sentencias
o instrucciones del lenguaje especial de control de trabajos
en condiciones de error y manuales de los usuarios.
Procedimientos especiales Cualquier procedimiento o instrucción que esté fuera de lo
ordinario como por ejemplo, el procesamiento de
excepción, variaciones en el procesamiento y
procesamiento de emergencia.
Documentos fuente de Copias duplicadas, fotocopias, microfichas, reportes de
entrada microflim o resúmenes que se requieren para hacer auditoría,
Documentos de salida análisis histórico, la realización de trabajo vital, la satisfacción
de los requisitos legales o agilizar los reclamos de seguros.
Plan de Continuidad del Una copia apropiada del plan para referencia.
Negocio
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
33
las cintas u otros medios mensuales y anuales son retenidos y no están sujetos al ciclo
de rotación.
Un elemento clave de este método es que las copias de respaldo rotadas en el sitio
alterno no deben ser devueltas para su reutilización hasta que su reemplazo haya
sido enviado al sitio alterno. Como un ejemplo, los medios de respaldo para la
semana 1 no deben ser devueltos del almacenamiento alterno hasta que la copia de
respaldo de fin de mes esté almacenada con seguridad en el sitio alterno. Se pueden
emplear variaciones de este método dependiendo de si se requieren copias de
respaldo trimestrales y de la cantidad de redundancia que una organización pueda
desear tener.
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
34
Marín N° 0586 – Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl
35