FORMATO Cdigo: F.TI.

01
Revisin: 02
Fecha:
TRABAJOS DE 15/07/2016
INVESTIGACIN FORMATIVA
Yandry Surez

Firma:
Autor: Cargo:

Firma:
Revisado por: Cargo:
PROCEDIMIENTO
Firma:
Aprobado por: Cargo:

Page 1 of 1
Fecha: Versin: 1

PROCEDIMIENTO DE SEGURIDAD PARA GESTIN DE LA CONTINUIDAD DEL NEGOCIO

REFERENCIAS: La gestin de continuidad del negocio es el control 14, que estipula la norma
ISO 27001 y en la gua prctica la ISO 27002. El objetivo de este control es Contrarrestar las
interrupciones en las actividades del negocio y proteger sus procesos crticos contra los
efectos de fallas importantes en los sistemas de informacin o contra desastres, y asegurar su
recuperacin oportuna.(Lus, 2009).

La mayora de las empresas no tienen implementado un plan de continuidad de negocio que

les permita afrontar un incidente de seguridad, sin que se vean afectados sus clientes con la
interrupcin del servicio o que por el contrario se normalice rpidamente.

En el 2012 la ISO public la normativa ISO 22301:2012, norma especfica para la gestin de
continuidad del negocio. El nombre de la norma es: Seguridad de la sociedad- Sistemas de
gestin de la continuidad del negocio requisitos.
La gestin de la continuidad de negocio consta de varias tareas encaminadas a la obtencin
de un plan de continuidad eficaz y viable que permita a la organizacin recuperarse tras un
incidente grave en un plazo de tiempo que no comprometa su continuidad. (Poveda, 2012).

Una gestin de la continuidad del negocio coherente se realiza tambin con un enfoque
basado en el ciclo
PDCA.
1
I.- ANTECEDENTES.-
La norma ISO22301 se utiliza para realizar la implantacin de un Sistema de Gestin de
Continuidad de Negocio en una organizacin, es una herramienta indispensable para mejorar
la continuidad de negocio.

La ISO-22301 surge debido al desarrollo de buenas prcticas, lineamientos y normas de

continuidad de negocio como:NFPA 1600 de 1995, es el lineamiento ms antiguo. En l se
establecieron unos criterios para gestionar los desastres, emergencias y programas de
continuidad de las organizaciones. Disaster Recovery Institute International (DRII), fue
publicado en el ao 1997, se establecieron las Prcticas Profesionales para la Gestin del
Negocio.Las Buenas Prcticas para la Continuidad del Negocio, publicado por el Business
Continuity Institute en 2002.El lineamiento PAS 56 se public en 2003, define el proceso,
principios y terminologa del sistema de continuidad del negocio. Adems establece unos
consejos que permiten anticiparse a cualquier tipo de incidente. En el ao 2006 se public el
lineamiento BS 25999-1, ste establece el ciclo de vida de la continuidad del negocio. En 2007
se publica el BS 25999-2:2007, se trataba del primer estndar internacional que poda se
auditado y certificado. Su objetivo era especificar los requerimientos necesarios para el
enfoque de sistemas de gestin. Tambin durante el ao 2007 se public el ISO/PAS 22399,
consiguiendo lineamientos genricos para aquellas organizaciones que estaban dispuestas a
establecer un sistema de gestin con fundamentos para el desarrollo de la continuidad
operacional e incidentes potenciales. En 2008 surgieron ISO/IEC 24762 y BS 25777. La
primera dispuso guas para el abastecimiento de informacin y comunicacin tiles para la
recuperacin de desastres, y la segunda contempla un cdigo de buenas prcticas para la
gestin de la continuidad del negocio .ASIS/BSI Business Continuity Management Standard se
public en 2010, es un lineamiento basado en BS 25999, y concreta los requerimientos
necesarios para un SGCN.PAS 200 Gestin de Crisis Lineamiento y Buena Prctica surge
en el ao 2011. Se elabor para apoyar a las organizaciones en la toma de pasos prcticos
con el fin de mejorar sus habilidades ante la posibilidad de manejar una crisis. Durante el ao
2011 tambin surge IEC 27031, define los conceptos y principios de tecnologa de informacin
y comunicacin requeridos para que una organizacin se prepare para la continuidad de
negocio. Finalmente, en 2012 se publica ISO 22301 Sistema de Continuidad del Negocio, la
planificacin, implementacin, establecimiento, operacin, revisin, monitoreo, mantenimiento
y la mejora continua de su efectividad est basado en el ciclo PVHA.

II.- DEFINICIONES.-
- Sistema de gestin de la continuidad del negocio (SGCN): parte del sistema general de
2
 gestin que se encarga de planificar, mantener y mejorar continuamente la continuidad
del negocio.
- Interrupcin mxima aceptable (MAO): cantidad mxima de tiempo que puede estar
interrumpida una actividad sin incurrir en un dao inaceptable (tambin Perodo
mximo tolerable de interrupcin [MTPD]).
- Objetivo de tiempo de recuperacin: tiempo predeterminado que indica cundo se
debe reanudar una actividad o se deben recuperar recursos.
- Objetivo de punto de recuperacin (RPO): prdida mxima de datos; es decir, la
cantidad mnima de datos que necesita ser restablecida.
- Objetivo mnimo para la continuidad del negocio (MBCO): nivel mnimo de servicios o
productos que necesita suministrar o producir una organizacin una vez que restablece
sus operaciones comerciales.

III.- FINALIDAD.-
La gestin de la continuidad del negocio disminuir la posibilidad de ocurrencia de un
incidente disruptivo y, en caso de producirse, la organizacin estar preparada para responder
en forma adecuada y, de esa forma, reducir drsticamente el dao potencial de ese incidente.

IV- OBJETIVOS.-
- Reforzar el cumplimiento de las exigencias de un SGCB segn el estndar ISO 22301.
- Determinar un plan de gestin de continuidad de negocio.
- Realizar un orden con los procedimientos prcticos con el objetivo de proceder a la
adopcin y definicin de los distintos entregables de un plan de continuidad del
negocio.
- Mejora en las relaciones mantenidas con terceros
- Mejora de la imagen de la empresa.
- Mejora en la revisin y control de los trabajadores.
- Mejora en el registro de debilidades e incidentes.
- Mejora en la gestin de la empresa en general.

Objetivo general.
- Objetivo: Contrarrestar las interrupciones en las actividades del negocio y proteger sus
procesos crticos contra los efectos de fallas importantes en los sistemas de
informacin o contra desastres y asegurar su recuperacin oportuna.

Objetivos especficos.
- Implementar un proceso de gestin de la continuidad del negocio para minimizar el
impacto y la recuperacin por perdida de activos de informacin en la organizacin.
3
 - identificar los procesos crticos para el negocio e integrar los requisitos de la gestin de
la seguridad de la informacin de la continuidad del negocio con otros requisitos de
continuidad relacionados con aspectos tales como operaciones, personal, materiales,
transporte e instalaciones.

V.- RESPONSABLES
Se tiene que asignar un Responsable de Seguridad en el papel de gestor del proceso y se
encarga de coordinar las diferentes actividades relacionadas con la Gestin de la Comunidad
del Negocio.
Los responsables son el departamento de informtica o sistemas de informacin y el
encargado de Seguridad de la informacin.
VI.PROCEDIMIENTO
Un plan de continuidad contempla las siguientes fases:
- Fase de Notificacin Deteccin: Debe instruirse al personal para que informen en
caso de que detecten cualquier incidencia grave mediante un canal de comunicacin
claro y preciso.
- Fase de activacin: El Responsable asignado para la tarea deber valorar si la
incidencia que ha sido reportada es motivo suficiente para activar el Plan de
Continuidad.
- Fase de recuperacin: En esta fase se trata de volver a poner en funcionamiento los
sistemas y servicios, en una ubicacin alternativa si fuera necesario, y de reparar el
dao que hayan sufrido en la ubicacin original.
- Fase de restablecimiento: En esta fase se recogen las actividades necesarias para
restaurar los sistemas y servicios en su ubicacin original o en una nueva si no fuera
posible volver a la anterior.
El procedimiento de seguridad para gestin de la continuidad del negocio:
1. Identifica y ordena las amenazas
Crea una lista de los incidentes de interrupcin de la actividad que constituyan las amenazas
ms probables para la empresa. No uses la lista de otro, porque las amenazas varan segn la
ubicacin. Por ejemplo, aqu en San Diego, donde vivo, hay un grado relativamente alto de
sensibilizacin con respecto a los terremotos y a los incendios forestales, por lo que muchas
organizaciones llevaron a cabo un nivel bsico de planificacin para prepararse ante
desastres teniendo esos eventos en cuenta.
Pero qu ocurre donde se encuentra tu empresa? Y qu pasa con la fuga de datos o la
interrupcin de la infraestructura de TI, que pueden ocurrir en cualquier parte? Qu pasa si
un producto qumico txico provoca que se cierren las instalaciones por varios das? Ests
ubicado cerca de una va ferroviaria? De una autopista importante? Cunto depende tu
empresa de proveedores extranjeros?
4
En esta etapa, una buena tcnica es reunir personas de todos los departamentos en una
sesin de intercambio de ideas. El objetivo de la reunin es crear una lista de escenarios
ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realiza un anlisis del impacto en la empresa
Necesitas determinar qu partes de tu empresa son las ms crticas para que sobreviva. Una
manera es comenzar detallando las funciones, los procesos, los empleados, los lugares y los
sistemas que son crticos para el funcionamiento de la organizacin. De esto se puede ocupar
el lder del proyecto de BCM; para ello, deber entrevistar a los empleados de cada
departamento y luego elaborar una tabla de resultados que liste las funciones y las personas
principales y las secundarias.
A continuacin determinars la cantidad de das de supervivencia de la empresa para cada
funcin. Cunto puede resistir la empresa sin que una funcin en particular provoque un
impacto grave?
Luego, ordenars el impacto de cada funcin en caso de que no est disponible. Por ejemplo,
Michael Miora, experto en recuperacin ante desastres, sugiere utilizar una escala de 1 a 4,
donde 1 = impacto crtico en las actividades operativas o prdida fiscal, y 4 = sin impacto a
corto plazo. Si luego se multiplica el Impacto por los das de supervivencia, se puede ver
cules son las funciones ms crticas. Al principio de la tabla quedarn las funciones con un
impacto mayor y con slo un da de supervivencia.
3. Crea un plan de respuesta y recuperacin
En esta etapa debers catalogar datos clave sobre los bienes involucrados en la realizacin
de las funciones crticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y
clientes. Debers incluir nmeros de serie de los equipos, acuerdos de licencia, alquileres,
garantas, detalles de contactos, etc.
Necesitars determinar a quin llamar en cada categora de incidente y crear un rbol de
nmeros telefnicos para que se hagan las llamadas correctas en el orden correcto. Tambin
necesitas una lista de quin puede decir qu cosa para controlar la interaccin con los
medios durante un incidente (considera quedarte con una estrategia de slo el CEO si se
trata de un incidente delicado).
Debern quedar documentados todos los acuerdos vigentes para mudar las operaciones a
ubicaciones e instalaciones de TI temporales, de ser necesario. No te olvides de documentar
el proceso de notificacin para los miembros de la empresa en su totalidad y el procedimiento
de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberan ordenarse en una secuencia
donde queden explcitas las interdependencias funcionales. Cuando el plan est listo,
asegrate de capacitar a los gerentes sobre los detalles relevantes para cada departamento,
as como la importancia del plan general para sobrevivir a un incidente.
4. Prueba el plan y refina el anlisis
5
La mayora de los expertos en BCM recomiendan probar el plan al menos una vez al ao, con
ejercicios, anlisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho
a lo que invertiste en la creacin del plan, y no slo te permite encontrar fallas y dar cuenta de
los cambios corporativos con el transcurso del tiempo, sino que tambin causa una buena
impresin en la gerencia.
No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que
las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador
para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una
sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podr aplicar en
mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no
suceden, porque s lo hacen. Slo tienes que estar preparado. Y no pretendas que cuando
ocurra algo no ser tan malo, porque podra serlo.

Bibliografa
- ECDSA 2016. ISO 22301. Recuperado el 14de julio de 2016, de
https://www.isotools.org/2014/01/29/iso-22301-antecedentes-y-origen/
- Lus, V. (2009). Ingeniera del Software. Recuperado el 14 de julio de 2016, de
https://es.scribd.com/doc/25467886/Mantenimiento-Sistemas-de-Informacion#download
- Poveda J. (2012). ISO 27001. Recuperado el 15 de julio de 2016, de
https://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-11.pdf
- ISO/IEC 27001:2005 (antes BS 7799-2:2002): Sistema de gestin de la seguridad de la
informacin.
- ISO/IEC 27002:2005 (renumerado ISO17999:2005): Cdigo de prctica. Gestin de
seguridad de la informacin.
- ISO/IEC 27031:2011: Tecnologa de informacin - Tcnicas de seguridad - Guas para
preparacin de tecnologas de informacin y comunicaciones para continuidad de
negocios.
- ISO/PAS 22399:2007: Gua para la preparacin frente a incidentes y la gestin de
continuidad operacional.
- ISO/IEC 24762:2008: Directrices para los servicios de recuperacin de desastres de las
tecnologas de informacin y comunicaciones.
- IWA 5:2006: Preparacin para emergencias.
- Martnez, Juan Gaspar. (2006). Plan de Continuidd de Negocio. Gua Prctica para su
Elaboracin. Madrid: Ediciones Das de Santos S. A.

6
ANEXO A

7
8