Escuela Universitaria de Informática Universidad Politécnica de Madrid

Guía de Desarrollo de un Plan de Continuidad de Negocio

Autora: Laura del Pino Jiménez Director de Tesis: Jorge Ramió Aguirre Fecha del trabajo original: julio 2007

BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)

Laura del Pino es Ingeniero Técnico en Informática de Sistemas por la Universidad Politécnica de Madrid. Ha realizado el Curso Superior de Dirección de Seguridad de la Información del IADE de la Universidad Autónoma y es CISA por la ISACA. Comenzó a trabajar en Seguridad informática en KPMG como NITSO, National

Information Security Officer, pasando en el año 2000 a formar parte de AZERTIA como Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesional en el departamento de Seguridad de INDRA.

NOTA DEL DIRECTOR DE TESIS

Laura realizó su Trabajo Fin de Carrera en la Escuela Universitaria de Informática EUI de la Universidad Politécnica de Madrid en este tema en el año 2007, ocasión en la que tuve la grata oportunidad de ser su tutor de tesis, como profesor del departamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI. A mediados de 2008 le pedí que hiciese un breve resumen de esa tesis para publicarlo en Internet como documento de libre distribución, con el objeto de que fuese una guía práctica y de fácil entendimiento. Este es el feliz resultado de dicho trabajo. Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo el poco tiempo libre que le dejan sus actividades profesionales que desarrolla en esta importante área de la seguridad de la información. Madrid, marzo de 2009.

Guía de Desarrollo de Plan de Continuidad de Negocio Índice

ÍNDICE

......................................  4.................................................................................. 29  FASE DE TRANSICIÓN ..........................................................1  8.. DESARROLLO DEL PLAN DE CONTINUIDAD........................................2....1.....................................4  8............................................................  3................ 26  EQUIPO LOGÍSTICO ......1  6............2...............................................2  6.....................................2  8......................... 12  DETERMINAR LOS PROCESOS CRÍTICOS .....................................  ANÁLISIS DE RIESGOS ................... 15  IDENTIFICAR AMENAZAS ..............................................................................................5  6.................................................................................................................................... 18  EVALUAR CONTRAMEDIDAS .................. 31  8......................... ESTRATEGIA DE RESPALDO .................................... 27  FASE DE ALERTA .........  INTRODUCCIÓN ...................................................................2................ 22  SELECCIÓN DE ESTRATEGIAS .... 10  RELACIÓN DE PROCESOS................3  6................................. 20  6......................................................................................................1.............................................1  6.............................................................................................. 9  ANÁLISIS DE IMPACTO ..................................2.......... 11  RELACIÓN DE APLICACIONES... 1  OBJETO DE LA GUIA ...............................1....... 12  IDENTIFICAR ACTIVOS .........1.........................................1  8.........................2...............1......1................................2.......................  6..............................  FASE III............5  8..................................................5  6.............1  8................................................................... 22  7....................................  5.....2  6....................................................1  6....................................1.......... 26  EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES.................2............................................... 17  EVALUACIÓN DEL IMPACTO ..............................................1  8...........1......................................... 27  EQUIPO DE LAS UNIDADES DE NEGOCIO .2.....................................................Guía de Desarrollo de Plan de Continuidad de Negocio Índice 1..........6  7.....................................................1............ 7  FASE I.................... 2  ANTECEDENTES ..........4  6......................................................................................................... 5  POR DÓNDE EMPEZAMOS................. 12  PERIODO MÁXIMO DE INTERRUPCIÓN ............................. 25  EQUIPO DIRECTOR O COMITÉ DE CRISIS .................................................. 18  EVALUACIÓN DEL RIESGO ...........2  6............. 26  EQUIPO DE RECUPERACIÓN ..............................3  6..4  6... 14  FASE II...................................2  8................................... 16  EVALUAR VULNERABILIDADES .... 28  ............. 11  RELACIÓN DE DEPARTAMENTOS Y USUARIOS ........... 3  ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ......2  DESARROLLO DE PROCEDIMIENTOS ..........................................................3  8................................................................................. 25  ORGANIZACIÓN DE LOS EQUIPOS..................  2......1................................................................................................................................................................... ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS ..........................

.................... 58  ................................ 44  ANEXO V – SITIOS DE INTERÉS..............1  9....................................................... 55  RECOMENDACIONES ............................................................... 33  FASE IV.. 37  ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ...... 45  CASO DE ESTUDIO ............................................................... 36  ANEXOS ........................................................................................................................................................................Guía de Desarrollo de Plan de Continuidad de Negocio Índice 8...............................2................... 34  9......... PRUEBAS Y MANTENIMIENTO ....3  8...........................2.... 35  9.......................................................................................................................1....................................................................................................................................2.....................4  8.......................................................................................................................................................................... 55  ESTRATEGIA DE RECUPERACIÓN ............................................................................................................. 50  TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS .........................................  9.................................................5  9................................ 34  PRUEBAS .......................................................................................................................... 33  GENERACIÓN DE INFORMES Y EVALUACIÓN .................................................. 35  TEST COMPLETO .........  FASE DE RECUPERACIÓN ..... 56  DESARROLLO DEL PLAN ..................................................................................  9..................................................... 48  PROCESO PEDIDOS............2  9.................................................1....................................................................................................................... 53  VULNERABILIDADES ..................................... 48  PROCESO DE NÓMINAS ......................2.................................................................... 34  EJERCICIOS TÉCNICOS ......... 32  FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ............................................................... 54  EVALUACIÓN DE RIESGOS .................. 47  ANTECEDENTES ............................. 48  COMPONENTES DE LOS PROCESOS ............................................................................................................................................................................................CONTRAMEDIDAS ...................................................................... 43  ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS.................................................................................................................................................................2...........2........ 57  EQUIPO DE RECUPERACIÓN ... 53  INVENTARIO DE ACTIVOS .............................................................3  MANTENIMIENTO DEL PLAN DE CONTINUIDAD ........................................................... 53  LISTADO DE AMENAZAS .............. 34  TIPOS DE PRUEBAS .................................................................................................................................................................................................................. 41  ANEXO III – EJEMPLOS DE VULNERABILIDADES ................................................................................................. 57  COMITÉ DE CRISIS ............................................... 47  ANÁLISIS DE IMPACTO ......................................................................................................................... 38  ANEXO II .................. 52  ANÁLISIS DE RIESGOS ...................................LISTADO DE AMENAZAS ...........1..................................................................................................................................  OBJETIVOS DEL PLAN DE PRUEBAS ........

................................................................................................ 59  EQUIPO DE RELACIONES PÚBLICAS ............................... 65  PROCEDIMIENTO DE RESTAURACIÓN .. 61  FASE DE ALERTA ......................................... 65  PROCEDIMIENTO DE SOPORTE Y GESTIÓN ................................................................................. 67  BIBLIOGRAFÍA. 68  ............... 62  PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE ............................................................................. 62  PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN ............................................................................................................................................................................................................................... 64  PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS ....................... 64  FASE DE RECUPERACIÓN ............................................................................................. 66  FIN DE LA CONTINGENCIA ............................................................................................................................................................................ 64  PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN ............................................................................................................................................................................................... 65  FASE DE VUELTA A LA NORMALIDAD .............................................................................Guía de Desarrollo de Plan de Continuidad de Negocio Índice EQUIPO DE COORDINACIÓN LOGÍSTICA.............................................. 62  PROCEDIMIENTO DE EJECUCIÓN DEL PLAN ................. 66  ADQUISICIÓN DE NUEVO MATERIAL ................................................................................................................................................................................................................................................ 66  ANÁLISIS DEL IMPACTO .............................................................................. 62  FASE DE TRANSICIÓN.......................................... 60  EQUIPO DE LAS UNIDADES DE NEGOCIO .............................................................................................................................................................. 66  CONCLUSIONES................................................

los Planes de Continuidad. Tradicionalmente. Es importante destacar que la guía puede servir para desarrollar un Plan de Continuidad de Negocio tanto en una gran compañía como en una Pyme. INTRODUCCIÓN Dentro de la Gestión de la Seguridad de la Información en una compañía es importante contar con un plan alternativo que asegure la continuidad de la actividad del Negocio en caso de que ocurran incidentes graves. La realidad es que cualquier compañía puede sufrir un incidente que afecte a su continuidad y. el esfuerzo y el presupuesto a emplear variarán sensiblemente. 1 . están asociados a grandes compañías que necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa sus servicios. Esta guía pretende desglosar las actividades necesarias para desarrollar un Plan de Continuidad de Negocio. denominados Planes de Contingencia en sus orígenes. aunque consecuentemente el tiempo. dependiendo de la forma en que se gestione dicho incidente. proporcionando plantillas y ejemplos que ayuden al lector a entender cada una de las fases y tareas que componen el Plan. las consecuencias pueden ser más o menos graves.Guía de Desarrollo de Plan de Continuidad de Negocio Introducción 1.

donde se muestren cada una de las fases que componen el Plan. Desarrollar una Guía completa sobre Continuidad de Negocio. Resumir de forma clara y sencilla cada una de las actividades a desarrollar dentro de las Fases del Plan de Continuidad. OBJETO DE LA GUIA Una de las motivaciones que me ha llevado a desarrollar esta guía es la poca información que he encontrado que contenga una descripción detallada de las fases y tareas que componen un Plan de Continuidad. Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de Continuidad. Por ello.Guía de Desarrollo de Plan de Continuidad de Negocio Objeto de la Guía 2. o o o 2 . los principales objetivos son: o Dar a conocer la importancia del Plan de Continuidad de Negocio para hacer frente a incidentes graves de seguridad en una compañía.

ANTECEDENTES A la velocidad con la que operan los negocios actuales un incidente de unas pocas horas de duración puede tener un impacto catastrófico en los resultados y en la imagen de la organización que lo sufra. la continuidad del negocio. pérdida de información. El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de 2005 o el Huracán Katrina en agosto de ese mismo año. La íntima dependencia que existe entre el negocio y los sistemas de información exige que éstos estén preparados para afrontar las múltiples amenazas que ponen en riesgo su operatividad y. en última instancia. como delitos cibernéticos. fallos en el suministro de agua. robos. tales como incendios o inundaciones. Sin embargo. son dos ejemplos que vienen a sumarse a sucesos. etc. eventos como la irrupción de un virus o la instalación de un parche de seguridad pueden conducir a la inoperabilidad temporal de los sistemas. fallos en las comunicaciones. Daños en las infraestructuras o en los servicios. como los atentados del 11-S del año 2001. errores de operación en los sistemas. la pérdida de información crítica o. fallos en los sistemas IT.Guía de Desarrollo de Plan de Continuidad de Negocio Antecedentes 3. etc. fallos en el suministro eléctrico. en los equipos de refrigeración. no siendo el tamaño una característica 3 . huelgas en los servicios de limpieza. guerras. Tipos de incidentes No sólo las catástrofes ambientales. robo de información sensible o su distribución accidental. como los que se detallan a continuación. en consecuencia. la inutilización de las infraestructuras. pueden causar daños adversos a una organización. pueden tener impactos adversos para una compañía: • Incidentes serios de seguridad en los sistemas. Daños deliberados como actos de terrorismo o de sabotaje. Otros tipos de incidentes. en no pocas ocasiones no es necesario un desastre de dimensiones parecidas a las de los mencionados anteriormente para poner en peligro no sólo la buena marcha del negocio sino su misma supervivencia. • • • Los accidentes afectan de forma diferente a cada organización. incluyendo fallos en las fuentes de alimentación. huelgas. Fallos en los equipos o en los sistemas. dependiendo de su tamaño y de su área de actividad.

Las consecuencias de estos accidentes sobre las organizaciones que no tienen un plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas. Un 53% de los clientes de estas organizaciones no recuperarán las pérdidas causadas por los daños derivados. • • • Fuente: Cámara de Comercio de Londres A pesar de que los efectos inmediatos de un desastre aparentemente son la pérdida de beneficios por la parada de actividad puntual y la incapacidad para proveer servicios críticos. Otros efectos derivados que pueden causar un gran impacto en la compañía son la pérdida de reputación de cara a los clientes. no son éstos los efectos más perniciosos que un incidente de este tipo provoca. Tomemos como ejemplo las siguientes cifras: • Un 43% de las organizaciones después de un accidente no podrán continuar sus operaciones viéndose obligadas a cerrar. o la pérdida de ventaja competitiva con otras compañías. 4 .Guía de Desarrollo de Plan de Continuidad de Negocio Antecedentes fundamental. las pequeñas y medianas organizaciones también pueden verse seriamente afectadas. Un 50% se verán forzadas a cerrar antes de cinco años después del desastre. Un 80% tendrán que hacerlo en menos de 13 meses.

¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? Un Plan de Continuidad de Negocio se compone de varias fases que comienzan con un análisis de los procesos que componen la organización. Un Plan de Continuidad de Negocio. organizará y documentará los riesgos. humano y de reputación sobre la organización. Aporta una ventaja competitiva frente a la competencia. políticas y procedimientos. En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas clave: • ¿Cuáles son los recursos de información relacionados con los procesos críticos del negocio de la compañía? ¿Cuál es el período de tiempo de recuperación crítico para los recursos de información en el cual se debe establecer el procesamiento del negocio antes de que se experimenten pérdidas significativas o aceptables? • Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que se toman durante un período en que los errores pueden resultar mayores. está orientado al mantenimiento del negocio de la organización. acuerdos con entidades internas y externas. Este análisis servirá para priorizar qué procesos son críticos para el negocio y establecer una política de recuperación ante un desastre. responsabilidades. a diferencia de una Plan de Contingencia. BENEFICIOS • Identifica los diversos eventos que podrían impactar sobre la continuidad de las operaciones y su impacto financiero. 5 • • • • . La activación de un Plan de Continuidad debería producirse solamente en situaciones de emergencia y cuando las medidas de seguridad hayan fallado. Obliga a conocer los tiempos críticos de recuperación para volver a la situación anterior al desastre sin comprometer al negocio. El Plan establecerá.Guía de Desarrollo de Plan de Continuidad de Negocio ¿Qué es un Plan de Continuidad de Negocio? 4. Previene o minimiza las pérdidas para el negocio en caso de desastre. con lo que priorizará las operaciones de negocio críticas necesarias para continuar en funcionamiento después de un incidente no planificado. Clasifica los activos para priorizar su protección en caso de desastre. estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción. Por cada proceso se identifican los impactos potenciales que amenazan la organización.

De hecho. Si una organización es muy grande. con grandes edificios y gran número de empleados. con beneficios millonarios.Guía de Desarrollo de Plan de Continuidad de Negocio ¿Qué es un Plan de Continuidad de Negocio? • Fomenta e implica a los recursos humanos de la compañía en las actividades de continuidad. o si se trata de una persona trabajando en una pequeña oficina con 5 empleados. ambos necesitan asegurar la disponibilidad de su negocio. debido a los pocos recursos y a las pocas opciones de respuesta ante un desastre. Se puede responder a esta pregunta diciendo que NO. en algunos casos sería más vital desarrollar un Plan de Recuperación de Negocio para los pequeños negocios que para las grandes corporaciones. ¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN? Una pregunta que podemos hacernos es si el tamaño de una organización determina la necesidad o no de tener un Plan de Continuidad. 6 .

Guía de Desarrollo de Plan de Continuidad de Negocio ¿Por Dónde Empezamos? 5. minimizando costes y aumentando la efectividad. El propósito general de un Plan de recuperación es obtener un mapa de acciones que reduzcan “la toma de decisiones” durante las operaciones de recuperación. Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases: Figura 1. sus objetivos empresariales. Aunque en ambos casos el objetivo será el de seguir dando servicio a sus clientes. las actividades y procesos sobre las que se soporta la empresa tendrán diferentes prioridades de recuperación ante una contingencia grave. procesos internos. restaure los servicios críticos rápidamente y permita un normal funcionamiento de los sistemas y procesos lo antes posible. etc. Diagrama de Fases del Plan de Continuidad 7 . No es lo mismo un Plan de Continuidad para una empresa de servicios de Internet que para una empresa fabricante de juguetes. POR DÓNDE EMPEZAMOS Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por obtener un conocimiento de la compañía: sus productos/servicios.

se analizarán cuáles son los riesgos asociados a dichos procesos para identificar cuáles son las causas potenciales que pueden llegar a interrumpir un negocio. para afinarlo según los resultados. FASE II – SELECCIÓN DE ESTRATEGIAS Esta fase tiene dos objetivos: • Por un lado. en esta última fase se definirán los procedimientos de mantenimiento del Plan. Por otro lado. • FASE III. y se organizan los equipos que intervienen en cada fase del Plan. Además. Una vez identificados los procesos críticos. valorar las diferentes alternativas y estrategias de respaldo en función de los resultados obtenidos en la fase anterior. Para ello se define la estrategia de pruebas y se realiza la prueba del Plan.DESARROLLO DEL PLAN Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e implantarla dentro de la compañía. En esta fase se desarrollan los procedimientos y planes de actuación para las distintas áreas y equipos. 8 . FASE IV – PRUEBAS Y MANTENIMIENTO Una parte importante del Plan de Continuidad. corregir las vulnerabilidades detectadas en los procesos críticos de negocio identificadas en el Análisis de Riesgos. es conocer que realmente funciona y es efectivo. para seleccionar la más adecuada a las necesidades de la compañía.Guía de Desarrollo de Plan de Continuidad de Negocio ¿Por Dónde Empezamos? FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS Se trata de obtener un conocimiento de los objetivos de negocio y de los procesos que se consideran críticos para el funcionamiento de la compañía.

Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y analizar los diferentes factores de riesgo que potencialmente podrán afectar a las actividades que queremos proteger. Atención al Cliente. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS Para desarrollar un Plan de Continuidad con garantía de éxito. FASE I. de Ventas. que también deben ser analizados. También es posible. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado. Para ello debemos empezar por responder a cuestiones tales como: • • • • ¿Cuáles son las actividades más importantes para la compañía? ¿Cómo afectaría económicamente una interrupción de los servicios a medida que va pasando el tiempo sin reanudar el servicio? ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el tiempo? ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en graves pérdidas? Las actividades/procesos que se clasifican como esenciales dentro de una compañía suelen ser en su mayoría los Operacionales. etc. lo primero es conocer y entender cuáles son los procesos de negocio que son esenciales dentro de la compañía en la que se va a desarrollar el Plan. Esta información nos permitirá seleccionar cuál es la estrategia más adecuada. Dpto. determinando el impacto en caso de interrupción. con el objetivo de asegurar la continuidad de la actividad en caso de contingencia. Análisis del Negocio y Evaluación de Riesgos 6. 9 .). Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias de continuidad. Estos procesos interactúan directamente con los clientes o con otras organizaciones externas a la compañía (Dpto.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el impacto que supondría para la organización. vamos a utilizar dos mecanismos de análisis: Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá identificar la urgencia de recuperación de cada función de negocio. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. que estos procesos dependan de otros internos.

Determinar cuáles son los Procesos Críticos: Pueden darse dos valoraciones. • • En los casos en que la organización tenga varias sedes. Período Máximo de Interrupción: El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y las actividades están interrumpidas. En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las partes que componen el Análisis de Impacto. se referiría a las pérdidas económicas por período debido a la ausencia de los procesos (valoración cuantitativa).1 ANÁLISIS DE IMPACTO El Análisis de Impacto es esencial para establecer una estrategia de recuperación. En términos económicos esta valoración sería responder a la pregunta de cuánto perdería la organización si la actividad/proceso no estuviera disponible.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. será necesario establecer un alcance geográfico. las pérdidas sufren un aumento significativo y las funciones no podrían ser reasumidas. No obstante. Dentro del Análisis de Impacto podemos distinguir las siguientes actividades: • • • Obtención de la Relación de Procesos: Establecer los procesos de negocio que se realizan en la compañía. una basada en la importancia para la compañía de los procesos cuya ausencia tendría un impacto alto en la actividad de la compañía (valoración cualitativa). que es la organización y de lo que repercutiría su indisponibilidad. Relación de Departamentos y Usuarios: Se identifican los departamentos que hay en la empresa y el nombre de las personas que la componen y que intervienen en los procesos. a partir de un momento que denominaremos Período Máximo de Interrupción. La recogida de esta información permitirá evaluar las necesidades de la organización en materia de continuidad. que en principio dará continuidad a las actividades críticas y posteriormente al resto. La otra. Obtención de la Relación de Aplicaciones: Establecer la relación de aplicaciones que soportan los procesos de la compañía. Análisis del Negocio y Evaluación de Riesgos 6. si es posible. por lo que es importante que la información sea lo más completa posible. El nivel de criticidad de una actividad dentro de la compañía se mide en función de lo dependiente de ella. 10 .

Los procesos de soporte. 11 . Podemos dividir los procesos en operativos y procesos de soporte. atención al cliente. es esencial la participación de las personas responsables de los mismos dentro de la compañía. identificando cada uno de los elementos hardware que soportan los sistemas de información de la compañía. indispensables para el funcionamiento y optimización del Sistema de Información de la compañía. incluido todos los asociados al sistema operativo.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I.1 RELACIÓN DE PROCESOS Para obtener la información sobre los procesos y las aplicaciones que los gestionan.2 RELACIÓN DE APLICACIONES En este apartado debe recogerse el inventario de los recursos tecnológicos que soportan los procesos de la compañía. y de aquellos trabajadores que conocen en profundidad los mismos. facturación. Para ello pueden utilizarse entrevistas personales y cuestionarios que nos acercarán a los procesos críticos del negocio. Análisis del Negocio y Evaluación de Riesgos 6. • Sistemas de Infraestructura.). gestión financiera. almacenaje. • Software de Aplicaciones. a fin de identificar aquellos que den soporte directo a los servicios críticos.) 6. inventariando las aplicaciones de gestión que son utilizadas en la empresa. considerando aquellos elementos o componentes que sin disponer de una tecnología enfocada propiamente al tratamiento de la información sí son requeridos para garantizan la operatividad del servicio. etc. • Software Base. Los tipos de recursos que se deben analizar son: • Hardware.1. recogiendo todos aquellos componentes de software.1. Los procesos operativos son aquellos que guardan una relación directa con el cliente (comercial. etc. serían aquellos que facilitan los “recursos” para poder realizar los procesos operativos (recursos humanos.

5 PERIODO MÁXIMO DE INTERRUPCIÓN Una vez que obtenemos la visión del negocio.1. Dentro del inventario de procesos es necesario conocer el personal involucrado en los mismos. Análisis del Negocio y Evaluación de Riesgos 6. de los procesos que lo componen y de la criticidad de cada uno de ellos. 1) a aquellos procesos que se consideren más críticos y menor prioridad (p. tales como la imagen de la organización ante sus clientes.e. etc.1. incumplimiento de normativa internacional como la Ley Sarbanes Oxley. Sanciones administrativas por incumplimiento de leyes debido a la falta de control en situación de desastre (exposición de datos personales.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS Los procesos de la compañía están gestionados por departamentos/usuarios. al no poder usar las aplicaciones que no tengan alternativa manual o cuyo tratamiento manual suponga una pérdida de eficiencia importante. La valoración de pérdidas no es una cuestión sencilla. • • • • Para simplificar esta valoración de los procesos podemos establecer una clasificación numérica.1. Esta información puede obtenerse en las mismas entrevistas donde se recoge la información de los procesos existentes y de los elementos (hardware.).Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. etc. Algunos criterios que pueden ayudar a valorar las eventuales pérdidas pueden ser: • Coste de horas de trabajo perdidas. 3) a aquellos que se consideren menos críticos. deben estimarse para cada uno de los 12 . ya que pueden concurrir aspectos intangibles. debemos establecer los tiempos de recuperación. Ingresos dejados de percibir. 6.) que lo componen. Penalizaciones por incumplimiento de contratos con clientes. asignando mayor prioridad (p.4 DETERMINAR LOS PROCESOS CRÍTICOS Esta tarea supone evaluar los impactos económicos y operacionales sobre el negocio en caso de no disponer de la función analizada.e. software. 6. Teniendo en cuenta que el objetivo del Plan es dar continuidad al negocio tras un incidente o contingencia grave con las menores pérdidas económicas posibles para la compañía. Gastos financieros.

TIEMPO MÁXIMO DE INTERRUPCIÓN MINUTOS HORAS DIAS SEMANAS MESES TIEMPO DE RECUPERACIÓN OBJETIVO Figura 2. actividades y recursos a proteger con la prioridad de recuperación de cada uno de ellos. el Análisis de Criticidad nos da una visión de los procesos. pueden tener un periodo de recuperación mayor (días o semanas). por ejemplo el servicio de banca electrónica de un banco. Pueden existir procesos en los que el tiempo de recuperación es muy pequeño (horas). Esta estimación es importante de cara a seleccionar la estrategia de respaldo adecuada a las necesidades de recuperación. Análisis del Negocio y Evaluación de Riesgos procesos que se han considerado críticos. Tiempos de Recuperación PERDIDAS ECOÓMICAS GRAVES En definitiva.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. y otros procesos como la facturación a clientes en una empresa de servicios. junto con los tiempos objetivo de puesta en marcha tras un incidente. el tiempo a partir del cual las pérdidas económicas afectarían de forma grave a la compañía (Tiempo máximo de interrupción). 13 .

2 ANÁLISIS DE RIESGOS El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades actuales que por su situación o su importancia pueden poner en marcha. La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el coste que supondría. Esquema Análisis de Riesgos 14 . Análisis del Negocio y Evaluación de Riesgos 6. El Análisis de Riesgo debe centrarse en los procesos/actividades del negocio que se han considerado críticos.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado. a las siguientes preguntas: ¿Qué se intenta proteger? ¿Cuál es su valor para uno o para la organización? ¿Frente a qué se intenta proteger? ¿Cuál es la probabilidad de un ataque? ESQUEMA DEL ANÁLISIS DE RIESGOS Figura 3. con la mayor fiabilidad posible. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. la evaluación de riesgos que se ha de llevar a cabo ha de contestar. aunque también puede extenderse a aquellos que no lo son. antes de lo deseable. el Plan de Recuperación de Negocio. En lo fundamental.

15 . Los activos se definen como los recursos de una compañía que son necesarios para la consecución de sus objetivos de negocio. Análisis del Negocio y Evaluación de Riesgos Existen diferentes metodologías de Análisis de Riesgos: • • • MARION OCTAVE MAGERIT Para el desarrollo de esta guía no se ha seleccionado ninguna metodología concreta.2.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. Cada activo de la compañía tendrá unos costes asociados. Ejemplos de activos de una compañía pueden ser: • • • • Información Equipamiento Conocimiento Sistemas Nota: en el apartado anterior. En este inventario se identificará claramente su propietario y su valor para la organización. sobre los activos que componen los procesos críticos. sino que se realiza una descripción general de los pasos que componen un Análisis de Riesgos. 6. A continuación se incluye un esquema con la relación existente entre los diferentes elementos que intervienen en el Análisis de Riesgos. y en otros casos es más complicado cuantificar el activo con valores monetarios (activos intangibles) tales como el prestigio o la confianza de los clientes.1 IDENTIFICAR ACTIVOS Para cada uno de los procesos críticos de la compañía es necesario realizar un inventario de los activos involucrados en el proceso. En algunos casos estos costes pueden ser cuantificados con un valor económico (activos tangibles) como el software o el hardware. El proceso de elaborar un inventario de activos es uno de los aspectos fundamentales de un correcto análisis de riesgos. así como su localización actual. se ha obtenido gran parte de esta información.

Clasificación General de Amenazas 16 . La siguiente ilustración clasifica las distintas amenazas a los sistemas. Entre éstas se incluyen los agresores malintencionados. Análisis del Negocio y Evaluación de Riesgos Figura 4.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. las amenazas no intencionadas y los desastres naturales. Componentes del Análisis de Riesgos 6.2 IDENTIFICAR AMENAZAS Una amenaza se define como un evento que puede desencadenar un incidente en la organización. Figura 5. A la hora de analizar los riesgos hay que evaluar las distintas amenazas que pueden provenir de las más diversas fuentes. produciendo daños materiales o pérdidas inmateriales en sus servicios.2.

3 EVALUAR VULNERABILIDADES Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daños graves en una compañía. Por ejemplo una amenaza del tipo de desastre natural como es un terremoto. evaluando si dentro de la compañía puede darse esa circunstancia.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. resulta más complicado valorar las amenazas humanas (ataques maliciosos. Las amenazas tendrán una probabilidad de ocurrencia que dependerá de la existencia de una vulnerabilidad que pueda ser explotada. para materializarse en un incidente. En el componente humano existen dos factores a tener en cuenta: AMENAZA= CAPACIDAD X MOTIVACIÓN La motivación es una característica humana que es difícil de valorar. Por ejemplo: si nuestra 17 . que las amenazas naturales. que en España. si el nivel de protección es suficiente para evitar que se materialice la amenaza. 6. serán aplicables distintos tipos de amenazas. Análisis del Negocio y Evaluación de Riesgos Dependiendo de la organización y el proceso analizado. pero que sin embargo es un factor a considerar: empleados descontentos. etc. Por lo tanto. robos de información. A la hora de valorar la probabilidad de ocurrencia de una amenaza. donde los terremotos ocurren con mayor frecuencia. En el anexo III se recogen algunos ejemplos de vulnerabilidades.). a priori podemos decir que el riesgo de daño por terremoto en una compañía situada en Japón es mayor que el de una compañía situada en España. Las vulnerabilidades en sí mismas no causan daño alguno. sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo. etc. es decir. En el anexo II se recogen algunos ejemplos de posibles amenazas. Para identificar las vulnerabilidades que pueden afectar a una compañía debemos responder a la pregunta: ¿Cómo puede ocurrir una amenaza? Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las distintas situaciones por las que puede ocurrir la misma.2. tendrá una mayor probabilidad de ocurrencia en una empresa con oficinas en Japón. Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a la organización de forma grave y valorar la probabilidad de que se conviertan en un incidente real. ex-empleados.

En otro caso. 2. el robo de información confidencial de la compañía puede causar un impacto alto si ésta cae en malas manos. Robo de datos mediante accesos no autorizados. asignando un valor dentro de una escala (p. o de forma cualitativa.4 EVALUACIÓN DEL IMPACTO Los incidentes causan un impacto dentro de la organización. bajo). NIVEL DE PROTECCIÓN ¿Existe un control de acceso a los datos? ¿Están los dispositivos de almacenamiento protegidos y controlados de forma adecuada? 3. Entrada no autorizada a los datos a través del sistema informático. Robo de datos de los dispositivos de almacenamiento magnético. La valoración del impacto puede realizarse de forma cuantitativa. podemos estimar las pérdidas económicas de equipos tangibles valorando el coste de reposición y puesta en marcha.2.5 EVALUACIÓN DEL RIESGO Riesgo es la posibilidad de que se produzca un impacto determinado en la organización. Por ejemplo. estimando las pérdidas económicas. podemos establecer. 6. 6.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. los siguientes escenarios: ESCENARIOS 1. medio.e. El riesgo calculado es simplemente un indicador ligado al par de 18 . Cuadro de Escenarios ¿Existen perfiles adecuados de acceso a los datos? Si no se responde afirmativamente a las preguntas de la columna derecha. Análisis del Negocio y Evaluación de Riesgos Amenaza es que nos roben datos estratégicos de la compañía. es que existen vulnerabilidades que podrían utilizarse de forma que la amenaza se convierta en un incidente real. alto. que también deberá tomarse en cuenta a la hora de calcular los riesgos. Figura 6. entre otros.2. y causar daños importantes en la compañía.

ambos ligados a su vez de la relación entre el activo y la amenaza a la que el riesgo calculado se refiere. A continuación se muestra un ejemplo de una matriz de probabilidad/impacto: MEDIO ALTO RIESGO MEDIO RIESGO ALTO RIESGO ALTO BAJO Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades) y el impacto sobre la compañía sea también bajo. Análisis del Negocio y Evaluación de Riesgos valores calculados de vulnerabilidad y el impacto.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. estaremos en unos niveles de riesgo medio-alto. si existen vulnerabilidades que aumenten la probabilidad de ocurrencia o el impacto del incidente sea alto para la compañía. Bajo). A modo de ejemplo se muestra la siguiente tabla: 19 PROBABILIDADD RIESGO BAJO RIESGO MEDIO RIESGO ALTO RIESGO BAJO BAJO RIESGO BAJO MEDIO RIESGO MEDIO ALTO IMPACTO Figura 7. Sin embargo. estaremos en un nivel de riesgo bajo. PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO El riesgo suele expresarse en términos cualitativos (Alto. Medio. Matriz de Riesgos .

omisión o acto malicioso ocurrido. Contratar seguros para los activos. Aceptar el riesgo (posicionamiento aprobado por la dirección de la compañía). 20 . Controles detectivos o Identifican y “reportan” la ocurrencia de un error. omisiones o actos maliciosos. Eliminar el riesgo (eliminando la causa o el foco del riesgo). Establecer procedimientos / políticas de seguridad.Guía de Desarrollo de Plan de Continuidad de Negocio FASE I.6 EVALUAR CONTRAMEDIDAS Para reducir riesgos se utilizan los denominados controles o medidas de seguridad.2. queda decidir qué hacemos con ellos. Reducir el riesgo con controles que los mitiguen. Establecer control de acceso a la información. Ejemplos: • • • • • • Realizar copias de seguridad de los archivos. Podemos clasificar los controles en: • Controles preventivos o o Identifican potenciales problemas antes de que ocurran Previenen errores. 6. Establecer control de acceso físico. Se pueden tomar diferentes caminos: • • • • Transferir el riesgo a través de seguros o subcontratando la gestión del riesgo a terceras empresas. Análisis del Negocio y Evaluación de Riesgos DESCRIPCIÓN Terremoto en ciudades situadas fuera de fallas sísmicas Terremoto en ciudades situadas sobre fallas sísmicas Robo de información confidencial compañía con control de acceso lógico Robo de información confidencial compañía sin control de acceso lógico PROBAB BAJA ALTA BAJA ALTA IMPACTO MEDIO MEDIO ALTO ALTO RIESGO BAJO ALTO MEDIO ALTO Una vez que se han evaluado los riesgos.

Las medidas seleccionadas para mitigar riesgos deben mantener una proporción entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan (evaluación del coste-beneficio). • Corrección de daños por virus. Por ello. nuevas obligaciones legales. 21 . Auditorías internas. Sensores de humo. Identifican la causa de los problemas con el objeto de corregir errores producidos. La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de gestión de riesgos de la organización y en función de la evolución del negocio (crecimiento).Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. • Recuperación de datos perdidos. • Controles Correctivos o o o o Minimizan el impacto de una amenaza. Modifican los procedimientos para minimizar futuras ocurrencias del problema. Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible que se produzcan incidentes que hagan necesaria su ejecución. es importante que la compañía conozca sus riesgos y ponga las medidas adecuadas para corregir el mayor número de vulnerabilidades que puedan provocar un incidente grave. Detección de virus (Antivirus). Solucionan errores detectados por controles detectivos. Análisis del Negocio y Evaluación de Riesgos Ejemplos: • • • • • Monitorización de eventos. de cambios importantes en la organización (procesos internos). Revisiones periódicas de procesos. Ejemplos: • Parches de seguridad. etc.

etc. El método seleccionado deberá garantizar la restauración de los procesos afectados en los tiempos determinados por el Análisis de Impacto. desde • • • • Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos unidades de negocio de la propia compañía diferentes) con características de equipamiento/espacio similares que permitiría a cada una de las partes recuperar funciones en la otra localización.Guía de Desarrollo de Plan de Continuidad de Negocio FASE II. A continuación se describen diferentes estrategias para reubicación funcional: • No hacer nada: Este tipo de actuación podría utilizarse en aquellas funciones o actividades que se han clasificado como “no urgentes” en el Análisis de Impacto. disponibilidad y costes asociados que serán más o menos apropiados dependiendo de las funciones de negocio. ESTRATEGIA DE RESPALDO En esta fase se seleccionarán los métodos operativos alternativos que se van a utilizar en el caso de que ocurra un incidente que provoque una interrupción en la organización. En este tipo de estrategia se asume el riesgo. Estrategia de Respaldo 7. En este caso hay que asegurar que estas compañías pueden 22 • . Trabajo Remoto o Teletrabajo: Posibilidad de trabajar ubicaciones exteriores a la compañía mediante conexión remota. En este caso se debe poner cuidado en convertir la función no urgente en urgente por ser desatendida durante demasiado tiempo. Reutilización de recursos: Reubicación de personal con funciones no urgentes en tareas que requieren una mayor prioridad. Utilización de espacios propios: Espacios existentes en la compañía tales como salas de formación. cafeterías.1 SELECCIÓN DE ESTRATEGIAS Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada una de estas estrategias tiene unos parámetros de tiempo. FASE II. 7. Sitio alternativo subcontratado a terceros: Contratación con compañías especializadas de espacios alternativos para la recuperación de la actividad. En este caso es importante definir las condiciones de uso y la realización de pruebas periódicas para asegurar las condiciones pactadas. Este tipo de estrategia requiere una planificación minuciosa.

23 . Esta solución es normalmente la más cara. Centro replicado: Solución que permite trasladar de forma inmediata la operación y continuar la actividad de forma inmediata. Módulos prefabricados: Pueden tardar unos días en estar disponibles para su uso. o o o • Localizaciones diversas: Se traslada la operación pero no el personal. Tabla de Estrategias de Recuperación Fuente: Business Continuity Institute. En contrapartida este servicio es más caro que otras alternativas. pero tienen un espacio limitado. Es más barato que un centro dedicado. Espacio compartido: Se comparte el espacio con otras compañías. pero también la mejor solución en el caso de que se necesite una recuperación muy rápida de la operación.Guía de Desarrollo de Plan de Continuidad de Negocio FASE II. Estrategia de Respaldo proporcionar unos tiempos de recuperación acordes con las necesidades de la organización. También puede denominarse “centro espejo”. Este tipo de compañías pueden proporcionar diferentes de soluciones: o Espacio dedicado: Se garantiza la disponibilidad inmediata del espacio. • A continuación se muestra una tabla que recoge la relación entre el Tiempo Objetivo de recuperación y la solución de continuidad más adecuada a este Objetivo: TIEMPO OBJETIVO DE RECUPERACIÓN MESES INTERNAS CONTRATADO Reconstrucción / Realojamiento Edificios prefabricados OnSite Recuperación “in situ” Trabajo en casa ---- SEMANAS Contratación de unidades móviles o prefabricados Subcontratación de procesos en oficinas móviles Re-localización de un grupo de personas Cambio de funcionamiento a un centro de respaldo subcontratado DIAS HORAS Localizaciones diversas con empleados formados Localizaciones diversas para la misma función INMEDIATO Figura 8. Espacios móviles: Se pueden utilizar rápidamente.

Estrategia de Respaldo De todas las alternativas existentes hay que elegir la más adecuada en cada caso. Además deberá considerarse otros factores como: • Ubicación y superficie requerida o o • Espacio suficiente Zonas acondicionadas para acoger a personal Recursos técnicos necesarios: o o o o Hardware Software Comunicaciones Datos de respaldo • Recursos humanos requeridos o o o o Recursos materiales y de infraestructura Servicios auxiliares necesarios Tiempos de activación Coste Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo. recursos. Por ello es conveniente realizar un análisis con tiempos de recuperación adecuados y adaptados a la realidad de la compañía. pasaremos a desarrollar todos los procedimientos. en cuanto a tiempos de recuperación. Dependerá de las necesidades de cada compañía. mayor será el coste de la solución. etc. funciones y actividades que permitirán restablecer los procesos de negocio en unos plazos razonables. Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como respaldo en caso de interrupción del negocio.Guía de Desarrollo de Plan de Continuidad de Negocio FASE II. 24 . costes económicos.

La estrategia de vuelta a la normalidad. DESARROLLO DEL PLAN DE CONTINUIDAD Hasta este momento hemos obtenido: • • • Conocimiento de los procesos de la compañía. Estrategia de Continuidad más adecuada para el negocio. Valoración de los riesgos que pueden afectar al negocio y que pueden disparar el Plan de Continuidad de Negocio. Para ello definiremos: • • • • • • Los equipos necesarios para el desarrollo del Plan. Desarrollo del Plan de Continuidad 8. comunicaciones.).Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. de dirigir las acciones durante la Equipo de Recuperación: Su función es restablecer todos los sistemas necesarios (voz. 8. Cada equipo tiene unas funciones y procedimientos que tendrán que desarrollar en las distintas fases del Plan.1 ORGANIZACIÓN DE LOS EQUIPOS Los equipos de emergencia están formados por el personal clave necesario en la activación y desarrollo del Plan de Continuidad. Los procedimientos de actuación ante incidentes. Las responsabilidades y funciones de cada uno de los equipos. etc. datos. Aunque la composición y número de equipos puede variar según el tipo de estrategia de recuperación. A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación. Las dependencias orgánicas entre los diferentes equipos. valorando cuáles son críticos para el funcionamiento del negocio. El desarrollo de los procedimientos de alerta y actuación ante eventos que puedan activar el Plan. Equipo de las Unidades de Negocio: Encargados de la realización de pruebas que verifiquen la recuperación de los sistemas críticos. 25 . FASE III. a continuación se muestran algunos ejemplos de los equipos que pueden formar parte del Plan: • • • • Comité de Crisis: Encargado contingencia y recuperación.

tales como: • Transporte de material y personas (si es necesario) al lugar de recuperación. además de hacer de enlace con la dirección de la compañía. Las principales tareas y responsabilidades de este comité son: • • • • Análisis de la situación.1.1. manteniéndoles informados de la situación regularmente. El personal asignado a cada uno de los equipos puede variar dependiendo del tamaño de la organización y de la estrategia de recuperación seleccionada. Desarrollo del Plan de Continuidad • Equipo de Relaciones Públicas: Encargado de las comunicaciones a los medios de comunicación y clientes.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS El objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en la dirección de la situación. comunicaciones de voz y datos y cualquier otro elemento necesario para la restauración de un servicio. Seguimiento del proceso de recuperación. con relación a los tiempos estimados de recuperación.2 EQUIPO DE RECUPERACIÓN El equipo de recuperación es responsable de establecer la infraestructura necesaria para la recuperación. 8.3 EQUIPO LOGÍSTICO Este equipo es responsable de todo lo relacionado con las necesidades logísticas en el marco de la recuperación. 8. siempre y cuando no existan incompatibilidades en las tareas a realizar. Decisión de activar o no el Plan de Continuidad. Iniciar el proceso de notificación a los empleados a través de los diferentes responsables. Esto incluye todos los servidores. 26 . Este Comité debe tomar las decisiones “clave” durante los incidentes. Una persona puede pertenecer a más de un equipo.1. PC’s.Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. 8.

estableciendo canales de comunicación.5 EQUIPO DE LAS UNIDADES DE NEGOCIO Estos equipos estarán formados por las personas que trabajan con las aplicaciones críticas. para asegurar que todas las necesidades logísticas sean cubiertas.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES Se trata de canalizar la información que se realiza al exterior en un solo punto para que los datos sean referidos desde una sola fuente. 8. 27 . Comunicación con los clientes. Desarrollo del Plan de Continuidad • • • • Suministros de oficina. si son necesarias. 8. Sus funciones principales son: • • Elaboración de comunicados para la prensa.1. Reservas de hotel. Uno de los valores más importantes de una compañía son sus clientes. y serán los encargados de realizar las pruebas de funcionamiento para verificar la operatividad de los sistemas y comenzar a funcionar.1. por lo que es importante mantener informados a los mismos. Este equipo debe trabajar conjuntamente con los demás. Contacto con los proveedores. Cada equipo deberá configurar las diferentes pruebas que deberán realizar para los sistemas.Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. Comida.

Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. Desarrollo del Plan de Continuidad

8.2

DESARROLLO DE PROCEDIMIENTOS

Una vez que hemos definido los equipos y se han establecido las funciones que debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que van a seguir, y su actuación en cada una de las fases de activación del Plan de Continuidad.

- FASE DE ALERTA
• • • Procedimiento de notificación del desastre. Procedimiento de lanzamiento del Plan Procedimiento de notificación de la puesta en marcha del Plan a los equipos implicados.

- FASE DE TRANSICIÓN • • Procedimiento de concentración de equipos. Procedimiento de traslado y puesta en marcha de la recuperación.

- FASE DE RECUPERACIÓN • • Procedimientos de restauración. Procedimientos de soporte y gestión.

- FASE DE VUELTA A LA NORMALIDAD • • Análisis del impacto. Procedimientos de vuelta a la normalidad.

En el siguiente esquema podemos ver las fases que componen el Plan de Continuidad de Negocio:

28

Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. Desarrollo del Plan de Continuidad

Figura 9. Fases y Actividades del Plan de Continuidad

8.2.1 FASE DE ALERTA
La Fase de Alerta define los procedimientos de actuación ante las primeras etapas de un suceso que implique la pérdida parcial o total de uno o varios servicios críticos. Dividiremos esta fase en tres partes: Notificación: Define cómo y quién debe ser informado en primera instancia de lo ocurrido. Evaluación: Análisis de la situación y valoración inicial de los daños. Definición de estrategias. Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al alcance de los daños.

Notificación Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos los casos que resultan de suponer que cualquier persona pueda dar aviso de un incidente, vamos a suponer que la persona que descubre la contingencia será un empleado o cualquier otra persona próxima al lugar donde ocurre el incidente. Como parte del Plan de Continuidad se debe establecer un programa de concienciación, en el que se informe debidamente al personal de cómo actuar ante estos casos y a quién comunicar lo ocurrido.
29

Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. Desarrollo del Plan de Continuidad

EVENTO
1 Situación de contingencia/incidente detectado por algún empleado de la compañía. (Fuego, inundación, virus, etc.).

ACCIÓN
Aviso inmediato con el máximo detalle posible al Responsable de Personal de turno o a Seguridad. Aviso a la persona de contacto del Comité de Crisis. Aviso a los equipos de emergencia (si procede).

2 El responsable de turno o de seguridad conoce que ha sucedido una contingencia.

Figura 10. Cuadro Fase de Notificación

Evaluación Una vez que un miembro del Comité de Crisis es contactado e informado del incidente, procederá a evaluar la situación con la recopilación de la mayor información posible. El Comité informará a los responsables de los distintos equipos de lo ocurrido y de la situación en ese momento para que permanezcan en situación de espera, hasta que se tome la decisión de disparar el Plan o iniciar otro tipo de estrategia.

EVENTO
3 Conocimiento por algún miembro del Comité de incidente ocurrido.

ACCIÓN
El equipo del Comité se reunirá en un lugar acordado previamente y evaluará la situación. Este Comité deberá tomar la decisión de activar o no el Plan de Continuidad. Será necesario informar de la situación a los siguientes responsables: • • • • • Responsable de Seguridad. Comité de Dirección de la Empresa. Relaciones Públicas. Equipo de Recuperación. Responsable de los Equipos.

Figura 11. Cuadro Fase de Evaluación

Ejecución del Plan Una vez que el Comité de Crisis ha decidido poner en marcha el Plan de Recuperación, debe de iniciarse el árbol de llamadas (En el Anexo IV se incluye un ejemplo de un árbol de llamadas) para comunicar a los Responsables y
30

A continuación pasamos a describir de manera detallada cada uno de los procedimientos y equipos que deben interactuar en esta fase de transición. Si el incidente ocurre fuera del horario de trabajo. Es importante que en esta fase exista una coordinación entre los diferentes equipos y equipos de logística. Realizaremos una descripción general de los procedimientos. ya que son éstos los encargados de que todo esté disponible para comenzar la recuperación en el menor tiempo posible. este procedimiento puede variar. el lugar de reunión será el designado como centro de respaldo. Una vez avisados los equipos y puesto en marcha el Plan. y por tanto el Plan de Continuidad fallará. deberán acudir al centro de reunión.Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. EVENTO 4 Consideración por parte del Comité de Crisis y ejecución del Plan. Podemos dividir la fase de transición en dos partes principalmente: • • Procedimientos de concentración y traslado de personas y equipos. 5 Figura 10. Cuadro Fase de Lanzamiento del Plan 8.2. Deberá informarse también al Comité de Dirección. Si esta parte falla. o cualquier otro designado por el Comité de Dirección de Crisis. ACCIÓN Iniciar el árbol de llamadas.2 FASE DE TRANSICIÓN La Fase de Transición es la fase previa a la de recuperación de los sistemas. Procedimientos de puesta en marcha del centro de recuperación. Ambos procedimientos son la base del proceso de recuperación de los sistemas. Informar al Comité de Dirección. En el caso de que la emergencia se declare en horas de trabajo. 31 . Paso a la Fase de Transición. Procedimientos de concentración y traslado de material y personas Dependiendo de la solución final que se decida como estrategia de respaldo. se tomará como punto de encuentro los lugares designados en el Plan de Emergencia. Desarrollo del Plan de Continuidad componentes de cada equipo la situación de inicio de las actividades del Plan para comenzar los procedimientos de actuación de cada uno de ellos. no será posible comenzar la recuperación. que podrá completarse una vez que se tome una solución definitiva.

tanto de software como de comunicaciones. se procederá a la carga de datos y a la restauración de los servicios críticos. documentación. estableciendo la infraestructura necesaria. Desarrollo del Plan de Continuidad Además del traslado de personas al centro de recuperación (si es necesario) hay que realizar una importante labor de coordinación para el traslado de todo el material necesario para poner en marcha el centro de recuperación (cintas de backup. realizar un mantenimiento sobre los mismos y protegerlos.2. de manera que se reanude el negocio con las máximas garantías de éxito. y con todos los elementos necesarios disponibles para comenzar la recuperación..Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. Este proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para cumplir con los plazos fijados. 32 .3 FASE DE RECUPERACIÓN Una vez que hemos establecido las bases para comenzar la recuperación. 8..) Procedimientos de puesta en marcha del centro de recuperación Una vez concentrados los distintos equipos que van a intervenir en la recuperación. Procedimientos de soporte y gestión Una vez restaurados los sistemas hay que comprobar su funcionamiento. etc. Podemos dividir esta fase en dos: • • Procedimientos de Restauración Procedimientos de Gestión y Soporte Procedimientos de Restauración Estos procedimientos se refieren a las acciones que se llevan a cabo para restaurar los sistemas críticos. material de oficina. hay que poner en marcha este centro. Los integrantes del equipo de unidades de negocio serán los encargados de comprobar y verificar el correcto funcionamiento de los procesos. .

33 . mobiliario. etc. tenerlos en cuenta para la adecuación del mismo.2. etc. material.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA Una vez con los procesos críticos en marcha y solventada la contingencia. Estas acciones incluyen las necesidades de compra de nuevos equipos. así como conocer los posibles fallos. Para ello vamos a dividir esta fase en diferentes procedimientos: • • Análisis del impacto. Procedimientos de vuelta a la normalidad Una vez determinado el impacto deben establecerse los mecanismos que en la medida de lo posible lleven a recuperar la normalidad total de funcionamiento. Toda esta información servirá para valorar si el Plan ha funcionado según lo planeado. cada equipo deberá realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de los objetivos del Plan de Continuidad.Guía de Desarrollo de Plan de Continuidad de Negocio Fase III.5 GENERACIÓN DE INFORMES Y EVALUACIÓN Una vez solventado el incidente y vuelto a la normalidad. dificultades con las que se encontraron. y en su caso.2. Desarrollo del Plan de Continuidad 8. los tiempos empleados. Procedimientos de vuelta a la normalidad Análisis del impacto El análisis de impacto pretende realizar una valoración detallada de los equipos e instalaciones dañadas para definir la estrategia de vuelta a la normalidad. debemos plantearnos las diferentes estrategias y acciones para recuperar la normalidad total de funcionamiento. 8.

Identificar las áreas de mejora en el diseño y ejecución del Plan. Evaluar si los participantes del ejercicio están suficientemente familiarizados con la operativa en situación de contingencia. FASE IV.1 PRUEBAS 9. es decir.1. que si se programa una prueba que 34 .Guía de Desarrollo de Plan de Continuidad de Negocio Fase IV. • • • • • 9. Concienciación y formación para los empleados a través de la realización de pruebas. Comprobar si los procedimientos desarrollados son adecuados para soportar la recuperación de las operaciones de negocio. Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lo menos posible en el negocio. Pruebas y Mantenimiento 9. Por ello es importante reproducir escenarios que proporcionen un nivel de entrenamiento adecuado a las situaciones de riesgo. Probar la efectividad y los tiempos de respuesta del Plan para comprobar que están alineados con la definición realizada en el diseño.2 TIPOS DE PRUEBAS Las pruebas de un Plan de Continuidad deben tener dos características principales: Realismo: La utilidad de las pruebas se reduce con la selección de escenarios irreales. El Plan de Pruebas diseñado tiene como objetivos: • Evaluar la capacidad de respuesta ante una situación de desastre que afecte a los recursos de la compañía. OBJETIVOS DEL PLAN DE PRUEBAS El Plan de Continuidad no se considerará válido hasta que no se haya superado satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones adoptadas.1. PRUEBAS Y MANTENIMIENTO 9.

Capacidad y rendimiento del hardware. los procesos en producción no son interrumpidos.Guía de Desarrollo de Plan de Continuidad de Negocio Fase IV.2. 35 . Normalmente. el uso de equipos de hardware. Recuperación de datos. En algunos casos puede resultar complicado realizar una prueba completa del Plan de Continuidad de Negocio.2 TEST COMPLETO Los ejercicios de test son ejercicios planificados que implican la restauración real de la capacidad de proceso en un centro alternativo.1 EJERCICIOS TÉCNICOS Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y operativos. pero puede planificarse su restauración y validación en el centro alternativo. Procedimientos de notificación Vendedores / Clientes. este tipo de prueba requiere la participación de toda la organización de continuidad del negocio. Accesibilidad al centro de respaldo. software y posibles centros y métodos alternativos para asegurar un rendimiento adecuado. Generalmente. es necesario desarrollar un programa de pruebas planificado para garantizar que todos los aspectos de los planes y personal se han ensayado durante un período de tiempo. Pruebas y Mantenimiento suponga una parada de los sistemas de información. personal técnico y de operaciones. Métodos alternativos. 9. Movilización de los equipos de trabajo. debe realizarse una ventana de tiempo que impacte lo menos posible para el negocio. 9. incluyendo usuarios.2. Líneas de telecomunicaciones de backup. Por ello. Ejemplos de elementos verificados durante un ejercicio de simulación son: Procedimientos de emergencia. Portabilidad del software. Recuperación de ficheros y documentación almacenados en lugar externo.

Guía de Desarrollo de Plan de Continuidad de Negocio Fase IV. La correcta planificación del mantenimiento del Plan de Continuidad evitará que quede en poco tiempo obsoleto y que en caso de contingencia no pueda dar respuesta a las necesidades. 36 .3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD Por la propia dinámica de negocio. se van incorporando nuevas soluciones a los Sistemas de Información y los activos informáticos van evolucionando para dar respuesta a las necesidades planteadas. Pruebas y Mantenimiento 9.

Guía de Desarrollo de Plan de Continuidad de Negocio ANEXOS ANEXOS 37 .

La organización/departamento puede funcionar sin el sistema 38 .Guía de Desarrollo de Plan de Continuidad de Negocio Anexo I – Cuadros de Recogida de Datos Análisis de Impacto ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO o CUADRO DE PROCESOS En este cuadro se recogen los procesos y subprocesos que componen la organización donde se va a desarrollar el Plan de Continuidad. Nombre del Sistema Tipo de Sistema Descripción Criticidad (PC/Servidor/ Mainframe) Nº de Equipos con la aplicación Responsable Contacto Técnicos Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el sistema 2 – La organización/departamento no puede funcionar parcialmente sin el sistema 3 . Frecuencia Proceso Subproceso Breve descripción (Diario/Semanal Mensual) Persona responsable o SISTEMAS QUE SOPORTAN EL PROCESO En este cuadro se recogen los sistemas que soportan el proceso analizado.

). datos. que forman parte del proceso y que son necesarios para dar continuidad al mismo en caso de interrupción.Guía de Desarrollo de Plan de Continuidad de Negocio Anexo I – Cuadros de Recogida de Datos Análisis de Impacto o RECURSOS HARDWARE DEL PROCESO En este apartado se recogen los componentes hardware que soportan los procesos. etc. Descripción Tipo Criticidad Localización Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el activo 2 – La organización/departamento no puede funcionar parcialmente sin el activo 3 .La organización/departamento puede funcionar sin el hardware o OTROS ACTIVOS En este apartado se recogen todos aquellos activos (comunicaciones.La organización/departamento puede funcionar sin el activo 39 . Tipo de hardware Detalles del Modelo/Configuración Distribuidor Criticidad Localización Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el hardware 2 – La organización/departamento no puede funcionar parcialmente sin el hardware 3 . infraestructura.

Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes.Guía de Desarrollo de Plan de Continuidad de Negocio Anexo I – Cuadros de Recogida de Datos Análisis de Impacto o TIEMPO MÁXIMO DE INTERRUPCIÓN Para cada uno de los procesos. especificando cuántos días puede permanecer el proceso sin incurrir en pérdidas económicas graves. 40 . Proceso Necesidades de Recuperación Criticidad Necesidad de Recuperación: Día 0 : Recuperación inmediata Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente. se determinará el tiempo máximo de interrupción. Más 30 días: El proceso pude esperar más de 30 días a ser recuperado.

gases tóxicos Subida de tensión Fallo de suministro eléctrico Fallo de la UPS Accidentes del personal Capacidad inadecuada de las comunicaciones Fallo/degradación del hardware Fallo/degradación de las comunicaciones Errores de operación Fallos en las copias de seguridad Fallos de los sistemas de autenticación/autorización Pérdida de confidencialidad Incumplimientos legales ATAQUES INTENCIONADOS Explosivos Fuego intencionado Accesos no autorizados al edificio Actos de vandalismo Radiaciones electromagnéticas Robos intencionados Manipulación de datos/software Manipulación de hardware Uso de software por personal no autorizado Acceso no autorizados a datos de la compañía Software malicioso Robo de equipos Robo de documentos 41 .Guía de Desarrollo de Plan de Continuidad de Negocio ANEXO II .LISTADO DE AMENAZAS AMENAZAS DESASTRES NATURALES Huracanes Inundaciones Incendios DAÑOS ACCIDENTALES Fuego fortuito Inundaciones Fallo del aire acondicionado Exceso de humedad Humo.Listado de Amenazas ANEXO II .

Listado de Amenazas Robo de software Descarga de software no controlada Interceptación de las líneas de comunicación Manipulación de las líneas de comunicación Abuso de privilegios de acceso Introducción de virus en los sistemas Troyanos Ataques por ingeniería social Bombas lógicas Ataques de denegación de servicio Errores intencionados Copias incontroladas de documentos/software/datos Errores en el mantenimiento Corrupción de datos Incumplimientos legales intencionados 42 .Guía de Desarrollo de Plan de Continuidad de Negocio ANEXO II .

) Definición de privilegios de acceso inadecuada Ausencia de un Plan de recuperación de incidentes 43 . Ley Sarbanes Oxley.Guía de Desarrollo de Plan de Continuidad de Negocio ANEXO III – Ejemplos de Vulnerabilidades ANEXO III – EJEMPLOS DE VULNERABILIDADES VULNERABILIDADES Existencia de materiales inflamables como papel o cajas Cableado inapropiado Ancho de banda inapropiado Suministro eléctrico inapropiado Mantenimiento inapropiado del servicio técnico Ausencia de mantenimiento Educación inadecuada del personal en virus y malware Políticas de firewall inadecuadas Política de seguridad de la información inadecuada Ausencia de política de seguridad Derechos de acceso incorrectos Ausencia de un sistema de extinción automática de fuegos/humos Ausencia de backup Ausencia de control de cambios de configuración eficiente y efectiva Ausencia de mecanismos de identificación y autenticación Ausencia de política de restricción de personal para uso licencias de software Ubicación física en un área susceptible de desastres naturales Carencia de software antivirus Descarga incontrolada y uso de software de Internet Ausencia de mecanismos de cifrado de datos para la transmisión de datos confidenciales Protección física de equipos inadecuada Personal sin formación adecuada Incumplimientos legales (LOPD. etc.

Guía de Desarrollo de Plan de Continuidad de Negocio Anexo IV – Ejemplo Árbol de Llamadas ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS Comité de Crisis Comité de Dirección Equipo de Recuperación Equipo de Coordinación Logística Equipo de Seguridad Equipo de Relaciones Públicas Equipo de Unidades de Negocio 44 .

www2.ibm.Información y guías sobre Continuidad http://www.gov/ .com/services/cache/9270-0-0-197-470.com/ .html Proveedor de Servicios de Continuidad de Negocio 45 .disaster-recovery-guide.Revista de Continuidad de Negocio http://www.Base de datos de vulnerabilidades X-Force http://nvd.contingencyplanning.thebci.iss.htm .Business Continuity Institute http://www.globalcontinuity.Mejores prácticas en Seguridad Informática http://www.org/pas56.Portal de Business Continuity Plan http://www.Proveedor de Servicios de Continuidad de Negocio http://h20219.org/ .securityfocus.nist.net/ .nist.com/ .com/ .Guía de Desarrollo de Plan de Continuidad de Negocio Anexo V – Sitios de Interés ANEXO V – SITIOS DE INTERÉS http://www.Base de datos de vulnerabilidades http://www-5.html .Base de datos de vulnerabilidades del NIST http://www.com/ .hp.com/services/es/portfolios/recuperacion.

Guía de Desarrollo de Plan de Continuidad de Negocio CASO DE ESTUDIO 46 .

cuenta actualmente con 80 empleados.A. el Director de Informática de Zapasol S.A. para configurar una estrategia de recuperación ante cualquier evento grave que haga peligrar el negocio de la empresa. etc. El éxito de venta de este tipo de zapatos les ha llevado a mercados internacionales. Sin embargo. repartidos en dos plantas de fabricación. Zapasol S. atención al cliente. bases de datos. nóminas.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio CASO DE ESTUDIO ANTECEDENTES Zapasol S. pero los usuarios comparten contraseñas. El rápido desarrollo y expansión de esta compañía ha resultado en un crecimiento tecnológico importante en los procesos de soporte. Este departamento y su centro de proceso de datos se encuentran en Valencia. ha propuesto la realización de un Plan de Continuidad de Negocio. Existe control de acceso a los equipos. tales como facturación. Como parte de los proyectos a acometer durante el año 2007. A continuación se describe brevemente cuál es la situación actual en cuanto a seguridad de la compañía: • • • • • • No existe una política de seguridad en la compañía. …. software. las medidas de seguridad no han acompañado de igual forma a este crecimiento. No se realizan copias de seguridad de la información. es una compañía que fabrica zapatos con materiales reciclados. Sólo hay antivirus en algunos equipos. importando a más de 20 países. Dentro de la propia fábrica cuentan con un pequeño departamento de informática formado por 4 empleados que se encargan de la gestión de todo lo relacionado con comunicaciones. una en Valencia y otra en Albacete distante 200 kilómetros. hardware. Los servidores se encuentran en una sala sin ninguna medida de protección física. 47 . en otro no se ha instalado.A.

el director de informática ha encargado a Luis (otro de los empleados del departamento de informática) que realice un inventario de los procesos críticos de la compañía. Comunicaciones. Software.. etc. que conforman los procesos definidos en Zapasol S. PROCESO PEDIDOS • Sistemas del proceso de Pedidos: 48 . estableciendo los tiempos de recuperación de los mismos.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio ANÁLISIS DE IMPACTO Para desarrollar este Plan. antes de incurrir en pérdidas graves. Para ello. Luis se ha entrevistado con los responsables de los procesos obteniendo la siguiente información: Frecuencia Proceso Subproceso Breve descripción (Diario/Semanal Mensual) Pedidos -Se encarga de recibir todos los pedidos de los distintos clientes y de gestionar su envío en los plazos y condiciones establecidas Recogida y Gestión de incidentes Selección y formación del personal de la compañía Generación y Pago de las Nóminas de los empleados Control y Gestión del stock de zapatos en los almacenes Diario Inés Burgos Responsable Atención al Cliente Recursos Humanos Nóminas --- Diario Ángela Cano -- Según necesidad Mensual Marta Álvarez -- Laura Cuesta Stock --- Diario Antonio Romero Nota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas) COMPONENTES DE LOS PROCESOS A continuación se describen cada uno de los componentes Hardware.A.

Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio Nombre del Sistema Correo Electrónico Gestión Pedidos Descripción Criticidad Tipo de Sistema (PC/Servidor/ Mainframe) Servidor de Correo Nº de Equipos con la aplicación 4 Responsable Contacto Técnicos ---- 2 --- Aplicación para la Gestión de pedidos 1 4 ---- • Hardware del proceso de Pedidos: Tipo de Hardware Servidor de Correo Detalles del Modelo/Configuración PowerEdgeTM 1900 Servidor en torre de núcleo cuádruple con 2 sockets Procesador Intel® CoreTM 2 Duo E6000 Chipset Q965 ICH8DO compatible con Active Management Technology (iAMT 2.1) de Intel® Solución LAN Gigabit Ethernet de Intel® Distribuidor Dell Criticidad 3 Localización Centro proceso datos Valencia PC’s Dell 2 Centros de Valencia y Albacete Servidor de Aplicaciones PowerEdgeTM 2900 Servidor en torre de núcleo cuádruple con 2 sockets Dell 1 Centro proceso datos Valencia • Otros Activos del proceso: Descripción Línea RDSI comunicaciones de Tipo Comunicaciones Criticidad 1 Localización Centros de trabajo 49 .

Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio Impresoras Centralita de Comunicaciones Hardware Comunicaciones 2 3 Centros de trabajo Centros de trabajo PROCESO DE NÓMINAS • Sistemas del proceso de Nóminas: Nombre del Sistema Aplicación Nóminas Descripción Criticidad 3 Tipo de Sistema (PC/Servidor/ Mainframe) Servidor / PC’s Nº de Equipos con la aplicación 3 Responsable Laura Cuesta Contacto Técnicos ----- Programa que se encarga de realizar el cálculo de las nóminas Sistema Operativo Windows 2 PC’s 20 Angel Perez Soporte Windows • Hardware del proceso de Nóminas: Tipo de Hardware Servidor de aplicaciones Detalles del Modelo/Configuración PowerEdgeTM 1900 Servidor en torre de núcleo cuádruple con 2 sockets Procesador Intel® CoreTM 2 Duo E6000 Chipset Q965 ICH8DO compatible con Active Management Technology (iAMT 2.1) de Intel® Solución LAN Gigabit Ethernet de Intel® Distribuidor Dell Criticidad 2 Localización Centro proceso datos Valencia PC’s Dell 2 Centros de Valencia y Albacete 50 .

Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio • Otros Activos del proceso Descripción Impresoras Tipo Hardware Criticidad 2 Localización Centros de trabajo 51 .

Por ello es importante que este proceso se recupere lo antes posible.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS Necesidades de Recuperación En 2-3 días Proceso PEDIDOS Criticidad 1 El proceso de Pedidos es clave para la organización. Proceso NOMINAS Necesidades de Recuperación En 15-30 días Criticidad 3 Aunque el proceso de Nóminas es importante. cuando estén disponibles de nuevo los sistemas. la compañía puede esperar semanas a que se restablezca y crear procedimientos alternativos como por ejemplo. repetir el último pago de nómina a los trabajadores y realizar las compensaciones correspondientes. ya que si no se pueden gestionar los pedidos de los clientes la empresa no puede dar servicio y por lo tanto incurrirá rápidamente en pérdidas. 52 .

Tomando como ejemplo el inventario de los procesos descritos y las premisas descritas en la presentación de la compañía. elaboraremos el Análisis de Riesgos. 53 . Este análisis permitirá a la compañía conocer sus riesgos y gestionarlos de forma adecuada. OCTAVE. etc.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio ANÁLISIS DE RIESGOS Una parte importante dentro del desarrollo del Plan de Continuidad es el Análisis de Riesgos. MAGERIT. INVENTARIO DE ACTIVOS Activo/Descripción SERVIDOR DE APLICACIOMES Hardware Tipo Propietaro ---- Localización Centro de Proceso de datos Servidores y PC’s Base de datos Valor MEDIO APLICACIÓN DE PEDIDOS INFORMACIÓN CLIENTES IMPRESORAS Aplicación ---- MEDIO Información ---- ALTO Hardware ---- Centros de Albacete y Valencia Centros de Albacete y Valencia BAJO REDES DE COMUNICACIONES Comunicaciones ---- BAJO LISTADO DE AMENAZAS Del listado de Amenazas marcamos las que pueden afectar la compañía en su situación actual. Para el ejemplo realizaremos un análisis con un enfoque general. Existen diferentes metodologías de riesgo (NIST.) que pueden aplicarse para realizar el Análisis de Riesgos. sin entrar en metodologías concretas ni valoraciones de los activos.

Fallos del Suministro Eléctrico. establecemos los escenarios en que una amenaza puede convertirse en un incidente de seguridad. ESCENARIOS 1. Inundación del Centro de Proceso de Datos 2.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio AMENAZAS DESASTRES NATURALES Inundaciones Incendios DAÑOS ACCIDENTALES Fuego fortuito Inundaciones Fallo de suministro eléctrico Pérdida de confidencialidad Incumplimientos legales ATAQUES INTENCIONADOS Accesos no autorizados al edificio Accesos no autorizados a datos de la compañía Actos de vandalismo Robo de equipos Robo de datos / documentos POSIBLE x x x x x x x x x x x x VULNERABILIDADES Tomando como base los objetivos de seguridad de la ISO 17799 y en función de las Amenazas que hemos marcado como posibles. NIVEL DE PROTECCIÓN ¿El centro está situado en un terreno alto? ¿Existen Unidades de Suministro Eléctrico Alternativo (UPS)? RESPUESTA NO NO 54 .

Establecer detectores de humo y alarmas de fuego. Pérdida de servicios por infección de virus NO EVALUACIÓN DE RIESGOS DESCRIPCIÓN Terremotos Pérdida del servicio por fallos en la alimentación eléctrica Accesos no autorizados al edificio Robo de información confidencial compañía Pérdida de información crítica de la compañía PROBAB BAJA ALTA BAJA ALTA ALTA IMPACTO MEDIO MEDIO ALTO ALTO ALTO RIESGO BAJO ALTO MEDIO ALTO ALTO RECOMENDACIONES . Pérdida de información clave de la compañía. Establecer un control de acceso físico al lugar donde se encuentran los equipos con información clave para la compañía.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio 3. Accesos no autorizados al edificio 5. se propone la puesta en marcha de las siguientes contramedidas: Realizar copias de seguridad periódicamente. 4. Robo de datos ¿Se realizan copias de seguridad de los datos periódicamente? ¿Existe un control de acceso físico a los edificios de la compañía? ¿Existe una clasificación de la información adecuada al nivel de confidencialidad de los datos? ¿Están los equipos protegidos por un antivirus? No periódicamente NO NO 6. Controlar el acceso a la información estableciendo mecanismos de autenticación. o o o o o 55 .CONTRAMEDIDAS Para gestionar los riesgos detectados y mitigarlos en la medida de lo posible. Instalar antivirus en todos los equipos de la compañía.

etc. capacidad de disco. la solución más adecuada sería utilizar el centro de Albacete con alternativa en caso de incidencia grave. 56 .A.A. se debe seleccionar una estrategia de recuperación de negocio que asegure la continuidad de los procesos que hemos considerado críticos en el Análisis de Impacto.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio ESTRATEGIA DE RECUPERACIÓN Una vez que se ha realizado la gestión de los riesgos detectados. sin que el impacto de un incidente tuviera consecuencias catastróficas para la compañía. Para ello. podrán utilizarse en primera instancia los equipos que se utilizan en este centro.. podría seguir dando servicio a sus clientes. De esta forma Zapasol S. de forma que se reaproveche la inversión. De las alternativas existentes y dado que la opción de subcontratar espacios y soporte a terceros resultaría muy cara para Zapasol S. Para que estos equipos sean válidos será necesario equipar la infraestructura del centro de trabajo de Albacete con algunos elementos extras (incremento de memoria.).

Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio DESARROLLO DEL PLAN Una vez que se ha seleccionado la estrategia de continuidad. Responsable del Comité Nombre: Rodolfo Pérez Posición: Director General Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Miembros del Comité Nombre: Arturo Cañas Posición: Director Fábrica Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: Luis Jiménez Posición: Director Informática Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: Marta Álvarez Posición: Directora de RRHH Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Lugar de Reunión: Casa del Director General sita en calle Carmelo 25 de Valencia. es una empresa de tamaño medio. Una vez que se comunica un incidente. Deben estar continuamente informados de 57 . que serán necesarios en caso de activación del Plan de Continuidad. COMITÉ DE CRISIS Listado de Integrantes del Comité. Dado que Zapasol S.A. el Comité de Crisis debe reunirse y tomar decisiones para afrontar la situación. se puede comenzar a construir el Plan de Continuidad definiendo la estructura y composición de los equipos y las acciones de cada uno de ellos. reduciremos el número de equipos y su composición..

Pondrán en marcha por orden de criticidad los sistemas: Pedidos. Se contactará con la persona responsable de logística para que solicite a los proveedores todos los equipos necesarios en los plazos acordados (durante el desarrollo del plan). PC’s. Correo. Si no es posible reunirse en el Centro de Valencia porque los daños sean cuantiosos. Una vez que se vayan restaurando los servicios.) y que no se ha podido salvar del Centro de Valencia. se tomará como punto de reunión el polideportivo “Deporte y Salud”. Facturación. etc.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio la situación y determinar si es necesario iniciar el Plan de Continuidad. Nóminas. EQUIPO DE RECUPERACIÓN El equipo de recuperación es el encargado de poner en marcha todo el proceso de recuperación para restaurar los servicios en el Centro de Albacete. se tomará la última copia de seguridad de los sistemas que semanalmente se manda desde el Centro de Valencia a Albacete. sirvan todo el material necesario (servidores. debe comprobarse su operatividad. En primera instancia se reutilizarán los equipos del centro de Albacete para iniciar los servicios. Para ello realizarán las siguientes actividades: Se trasladarán en coche desde Valencia al Centro de Albacete. Para la puesta en marcha de los sistemas. situado a 500 metros del centro de trabajo y con quienes se ha firmado un acuerdo de colaboración. 58 . se comunicará a los responsables de los equipos del comienzo de las actividades que llevarán a restablecer los servicios en el centro de Albacete. etc. impresoras. En este caso. o o o o o Punto de Reunión: Centro de Trabajo de Valencia.

En función del tipo de incidente se encargará de: Atender las necesidades logísticas de primera instancia tras contingencia. etc. Reservar habitaciones de hotel en Albacete para las personas que se desplacen a este Centro.) la o o Contactar con los proveedores para solicitar el material necesario que indiquen los responsables de la recuperación. Gestionar el suministro de comida al personal involucrado.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio Listado de Integrantes del Equipo de Recuperación Integrantes del Equipo Nombre: Federico Alonso Posición: Responsable de Sistemas Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: Alba González Posición: Técnico Informático Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: Alberto Pérez Posición: Técnico Informático Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX EQUIPO DE COORDINACIÓN LOGÍSTICA El equipo de coordinación logística es responsable de todo lo relacionado con las necesidades logísticas. o o Listado de Proveedores 59 . transporte de materiales. (Transporte de personas.

o o 60 . Atender a los clientes para proporcionarles información sobre el incidente y tranquilizarles lo máximo posible.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio DELL Persona de Contacto: Ángel Núñez Teléfono Contacto: xxxxxx HP Persona de Contacto: Felipe Méndez Teléfono Contacto: xxxxxxx FUJIJTSU Persona de Contacto: Laura Pérez Teléfono Contacto: xxxxxx Listado de Integrantes del Equipo de Coordinación Logística Integrantes del Equipo Nombre: Daniela Gómez Posición: Técnico de RRHH Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: David López Posición: Administrativo Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX EQUIPO DE RELACIONES PÚBLICAS El equipo de Relaciones Públicas es responsable de “ser la voz” de la empresa en el contexto de la contingencia. Las tareas a realizar serán: Si el tipo de incidente lo requiere. emitir un comunicado oficial a clientes y proveedores en el que se indique que se restablecerán los servicios lo antes posible.

Integrantes del Equipo Nombre: Inés Burgos Posición: Responsable Pedidos Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: Ángela Cano Posición: Atención al Cliente Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: Marta Álvarez Posición: RRHH Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX …. 61 ..Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio Listado de Integrantes del Equipo de Relaciones Públicas Integrantes del Equipo Nombre: Juan Carlos Bono Posición: Técnico Comercial Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX Nombre: Ángela Cano Posición: Atención al Cliente Teléfono Móvil: XXXXXXX Teléfono Casa: XXXXXXX EQUIPO DE LAS UNIDADES DE NEGOCIO Estos equipos estarán formados por las personas que trabajan con las aplicaciones críticas. y serán los encargados de realizar las pruebas de funcionamiento para verificar la operatividad de los sistemas.

se iniciará el procedimiento de ejecución del Plan. Con toda la información de detalle sobre el incidente. El Jefe de Seguridad debe evaluar la situación e informar al Responsable del Comité de Crisis. sí será necesario gestionar el incidente para que no aumente su gravedad. En caso afirmativo. que sea consciente de un incidente grave que pueda afectar a la empresa. debe comunicarlo al Jefe de Seguridad de la Planta proporcionando el mayor detalle posible en la descripción de los hechos. En el caso de que el Comité decidida no activar el Plan de Continuidad porque la gravedad del incidente no lo requiere. 62 .Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio FASE DE ALERTA PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE Cualquier empleado de Zapasol S. se decidirá si se activa o no el Plan de Continuidad de Negocio. que en este caso coincide con la figura del Director General.A. PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN Activar el árbol de llamadas para avisar a los integrantes de los diferentes equipos que van a participar en el Plan. PROCEDIMIENTO DE EJECUCIÓN DEL PLAN El Comité de Crisis reunido en el punto de encuentro evaluará la situación.

Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio Comité de Crisis Equipo de Recuperación Equipo de Coordinación Logística Equipo de Relaciones Públicas Equipo de Unidades de Negocio 63 .

Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio FASE DE TRANSICIÓN PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS Una vez avisados los equipos y puesto en marcha el Plan. Además del traslado de personas al Centro de Albacete hay que trasladar todo el material necesario para poner en marcha el centro de recuperación (cintas de backup. .). documentación. pueden comenzar a instalar las aplicaciones en los equipos que se encuentran en esta oficina.. PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN Una vez que el equipo de recuperación llegue al Centro de Albacete y que los materiales empiecen a llegar. El equipo de recuperación solicitará al equipo de logística cualquier tipo de material extra que fuera necesario para la recuperación. Esta labor queda en manos del equipo logístico.. material de oficina. deberán acudir al centro de reunión indicado. 64 .

Comité de Crisis Equipo de Recuperación Equipo de Unidades de Negocio 65 . Correo. Nóminas. Facturación. Los demás sistemas pueden esperar a recuperarse después de Pedidos y Facturación. integridad. se avisará a los equipos de los departamentos que gestionan los sistemas (listado del equipo de Unidades de Negocio) para que realicen las comprobaciones necesarias que certifiquen que funcionen de manera correcta y pueda continuarse dando el servicio. el procedimiento concreto de PROCEDIMIENTO DE SOPORTE Y GESTIÓN Una vez recuperados los sistemas. Los dos primeros sistemas deben recuperarse lo antes posible. en las 48 horas siguientes.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio FASE DE RECUPERACIÓN PROCEDIMIENTO DE RESTAURACIÓN El orden de recuperación de las funciones se realizará según la criticidad los sistemas: Pedidos. Nota: En este apartado deberá indicarse recuperación de cada uno de los sistemas. disponibilidad) antes de dar por terminada la fase de recuperación. Además el Equipo de Seguridad deberá comprobar que existen las garantías de seguridad necesarias (confidencialidad.

el equipo de recuperación junto con el equipo de seguridad. así como de todo el material que se puede volver a utilizar. El Comité de Crisis contactará con el seguro de la compañía para conocer qué parte cubre el seguro (dependiendo del tipo de póliza contratada por Zapasol S. Contactar con los proveedores para que en el menor tiempo posible repongan todos los elementos dañados. se determinará la necesidad de nuevo material. la vuelta a la normalidad de operación puede variar entre unos días (si no hay elementos clave afectados) e incluso meses (si hay elementos clave afectados). hay que plantearse las diferentes estrategias y acciones para recuperar la normalidad total de funcionamiento.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio FASE DE VUELTA A LA NORMALIDAD Una vez con los procesos críticos en marcha y solventada la contingencia. Lo importante es que durante el transcurso de este tiempo de vuelta a la normalidad. realizarán un listado de los elementos que han sido dañados gravemente y son irrecuperables. Para ello.) y qué inversión tendrá que hacer la compañía en el material que no se pueda recuperar. ANÁLISIS DEL IMPACTO Es el momento de realizar una valoración detallada de los equipos e instalaciones dañadas para definir la estrategia de vuelta a la normalidad. FIN DE LA CONTINGENCIA Dependiendo de la gravedad del incidente. Esta evaluación deberá ser comunicada lo antes posible al equipo director para que determinen las acciones necesarias que lleven a la operación habitual lo antes posible.A. 66 . se siga dando servicio a los clientes y trabajadores por parte de la compañía y que la incidencia afecte lo menos posible al negocio. ADQUISICIÓN DE NUEVO MATERIAL Una vez realizada la evaluación del impacto.

A. puede suponer que la compañía pueda desaparecer en caso de un incidente grave que perjudique sus principales procesos. ha considerado como prioritario desarrollar un Plan de Continuidad para estar preparados ante cualquier incidente. como parte de la gestión de seguridad. Zapasol S. Por ello. 67 .A. entre tener y no tener un Plan de Continuidad.Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio CONCLUSIONES La diferencia para Zapasol S.

gartner.org/octave/ Metodología de Análisis de Riesgos MAGERITwww.nist.org Revista de Seguridad SIC Norma Internacional ISO/IEC 17799:2002 NIST .com/ http://www.ccep.ca/ http://www.nfpa.com/ http://www.businesscontingency.org/ -SP 800-30 “Risk Management Guide for IT Systems” • • Metodología de Análisis de Riesgos OCTAVE .co.cert.businesscontinuityjournal.pdf • Business Continuity Plan (BCP) Format Guide .drii.www.org/ http://www.Centers for Disease Control and Prevention • • • • • http://www.csi.com/ http://www.com/ http://www.map.contingency-planning-disaster-recovery-guide.es/csi/pdf/magerit.com/ BS 25999 .'Specification for Business Continuity Management' • • • • 68 .org/ • • • • • • http://www.contingencyplanning.uk/ http://www.com http://www.thebci.http://www.globalcontinuity.Guía de Desarrollo de Plan de Continuidad de Negocio Bibliografía BIBLIOGRAFÍA “Good Practice Guidelines” – The Business Continuity Institute http://www.disaster-recovery-guide.

Sign up to vote on this title
UsefulNot useful