Documente Academic
Documente Profesional
Documente Cultură
Continuidad de Negocio
Guía de Desarrollo de Plan de Continuidad de Negocio
Índice
Índice
Índice
BIBLIOGRAFÍA..................................................................................................................................... 68
Guía de Desarrollo de Plan de Continuidad de Negocio
Introducción
1. INTRODUCCIÓN
Esta guía pretende desglosar las actividades necesarias para desarrollar un Plan
de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al
lector a entender cada una de las fases y tareas que componen el Plan.
1
Guía de Desarrollo de Plan de Continuidad de Negocio
Objeto de la Guía
2. OBJETO DE LA GUIA
2
Guía de Desarrollo de Plan de Continuidad de Negocio
Antecedentes
3. ANTECEDENTES
Tipos de incidentes
3
Guía de Desarrollo de Plan de Continuidad de Negocio
Antecedentes
Otros efectos derivados que pueden causar un gran impacto en la compañía son
la pérdida de reputación de cara a los clientes, o la pérdida de ventaja
competitiva con otras compañías.
4
Guía de Desarrollo de Plan de Continuidad de Negocio
BENEFICIOS
6
Guía de Desarrollo de Plan de Continuidad de Negocio
7
Guía de Desarrollo de Plan de Continuidad de Negocio
8
Guía de Desarrollo de Plan de Continuidad de Negocio
9
Guía de Desarrollo de Plan de Continuidad de Negocio
En los casos en que la organización tenga varias sedes, será necesario establecer
un alcance geográfico.
10
Guía de Desarrollo de Plan de Continuidad de Negocio
Para obtener la información sobre los procesos y las aplicaciones que los
gestionan, es esencial la participación de las personas responsables de los
mismos dentro de la compañía, y de aquellos trabajadores que conocen en
profundidad los mismos. Para ello pueden utilizarse entrevistas personales y
cuestionarios que nos acercarán a los procesos críticos del negocio.
11
Guía de Desarrollo de Plan de Continuidad de Negocio
• Gastos financieros.
Una vez que obtenemos la visión del negocio, de los procesos que lo componen y
de la criticidad de cada uno de ellos, debemos establecer los tiempos de
recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al
negocio tras un incidente o contingencia grave con las menores pérdidas
económicas posibles para la compañía, deben estimarse para cada uno de los
12
Guía de Desarrollo de Plan de Continuidad de Negocio
procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas
económicas afectarían de forma grave a la compañía (Tiempo máximo de
interrupción). Esta estimación es importante de cara a seleccionar la estrategia
de respaldo adecuada a las necesidades de recuperación.
13
Guía de Desarrollo de Plan de Continuidad de Negocio
14
Guía de Desarrollo de Plan de Continuidad de Negocio
• MARION
• OCTAVE
• MAGERIT
• Información
• Equipamiento
• Conocimiento
• Sistemas
15
Guía de Desarrollo de Plan de Continuidad de Negocio
A la hora de analizar los riesgos hay que evaluar las distintas amenazas que
pueden provenir de las más diversas fuentes. Entre éstas se incluyen los
agresores malintencionados, las amenazas no intencionadas y los desastres
naturales.
16
Guía de Desarrollo de Plan de Continuidad de Negocio
La motivación es una característica humana que es difícil de valorar, pero que sin
embargo es un factor a considerar: empleados descontentos, ex-empleados, etc.
Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a
la organización de forma grave y valorar la probabilidad de que se conviertan en
un incidente real.
Las vulnerabilidades son debilidades que pueden ser explotadas para convertir
una amenaza en un riesgo real que puede causar daños graves en una
compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es
una condición o un conjunto de condiciones que pueden permitir a una amenaza
afectar a un activo.
Para identificar las vulnerabilidades que pueden afectar a una compañía debemos
responder a la pregunta: ¿Cómo puede ocurrir una amenaza?
17
Guía de Desarrollo de Plan de Continuidad de Negocio
18
Guía de Desarrollo de Plan de Continuidad de Negocio
MEDIO
IMPACTO
Figura 7. Matriz de Riesgos
19
Guía de Desarrollo de Plan de Continuidad de Negocio
Una vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos.
Se pueden tomar diferentes caminos:
• Controles preventivos
o Identifican potenciales problemas antes de que ocurran
o Previenen errores, omisiones o actos maliciosos.
Ejemplos:
• Realizar copias de seguridad de los archivos.
• Contratar seguros para los activos.
• Establecer procedimientos / políticas de seguridad.
• Establecer control de acceso a la información.
• Establecer control de acceso físico.
• Controles detectivos
20
Guía de Desarrollo de Plan de Continuidad de Negocio
Ejemplos:
• Monitorización de eventos.
• Auditorías internas.
• Revisiones periódicas de procesos.
• Sensores de humo.
• Detección de virus (Antivirus).
• Controles Correctivos
Ejemplos:
• Parches de seguridad.
• Corrección de daños por virus.
• Recuperación de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporción
entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan
(evaluación del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible
que se produzcan incidentes que hagan necesaria su ejecución. Por ello, es
importante que la compañía conozca sus riesgos y ponga las medidas adecuadas
para corregir el mayor número de vulnerabilidades que puedan provocar un
incidente grave.
21
Guía de Desarrollo de Plan de Continuidad de Negocio
22
Guía de Desarrollo de Plan de Continuidad de Negocio
TIEMPO OBJETIVO DE
INTERNAS CONTRATADO
RECUPERACIÓN
23
Guía de Desarrollo de Plan de Continuidad de Negocio
De todas las alternativas existentes hay que elegir la más adecuada en cada
caso. Dependerá de las necesidades de cada compañía, en cuanto a tiempos de
recuperación, costes económicos, recursos, etc.
o Espacio suficiente
o Hardware
o Software
o Comunicaciones
o Datos de respaldo
o Tiempos de activación
o Coste
Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayor
será el coste de la solución. Por ello es conveniente realizar un análisis con
tiempos de recuperación adecuados y adaptados a la realidad de la compañía.
Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como
respaldo en caso de interrupción del negocio, pasaremos a desarrollar todos los
procedimientos, funciones y actividades que permitirán restablecer los procesos
de negocio en unos plazos razonables.
24
Guía de Desarrollo de Plan de Continuidad de Negocio
25
Guía de Desarrollo de Plan de Continuidad de Negocio
El personal asignado a cada uno de los equipos puede variar dependiendo del
tamaño de la organización y de la estrategia de recuperación seleccionada. Una
persona puede pertenecer a más de un equipo, siempre y cuando no existan
incompatibilidades en las tareas a realizar.
• Análisis de la situación.
26
Guía de Desarrollo de Plan de Continuidad de Negocio
• Suministros de oficina.
• Comida.
Este equipo debe trabajar conjuntamente con los demás, para asegurar que
todas las necesidades logísticas sean cubiertas.
Uno de los valores más importantes de una compañía son sus clientes, por lo que
es importante mantener informados a los mismos, estableciendo canales de
comunicación.
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas y comenzar a
funcionar.
Cada equipo deberá configurar las diferentes pruebas que deberán realizar para
los sistemas.
27
Guía de Desarrollo de Plan de Continuidad de Negocio
Una vez que hemos definido los equipos y se han establecido las funciones que
debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que
van a seguir, y su actuación en cada una de las fases de activación del Plan de
Continuidad.
- FASE DE ALERTA
• Procedimiento de notificación del desastre.
- FASE DE TRANSICIÓN
- FASE DE RECUPERACIÓN
• Procedimientos de restauración.
28
Guía de Desarrollo de Plan de Continuidad de Negocio
Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al
alcance de los daños.
Notificación
Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos los
casos que resultan de suponer que cualquier persona pueda dar aviso de un
incidente, vamos a suponer que la persona que descubre la contingencia será un
empleado o cualquier otra persona próxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa de
concienciación, en el que se informe debidamente al personal de cómo actuar
ante estos casos y a quién comunicar lo ocurrido.
29
Guía de Desarrollo de Plan de Continuidad de Negocio
EVENTO ACCIÓN
1 Situación de contingencia/incidente Aviso inmediato con el máximo detalle
detectado por algún empleado de la posible al Responsable de Personal de turno
compañía. (Fuego, inundación, virus, etc.). o a Seguridad.
Evaluación
Una vez que un miembro del Comité de Crisis es contactado e informado del
incidente, procederá a evaluar la situación con la recopilación de la mayor
información posible. El Comité informará a los responsables de los distintos
equipos de lo ocurrido y de la situación en ese momento para que permanezcan
en situación de espera, hasta que se tome la decisión de disparar el Plan o iniciar
otro tipo de estrategia.
EVENTO ACCIÓN
3 Conocimiento por algún miembro del El equipo del Comité se reunirá en un lugar
Comité de incidente ocurrido. acordado previamente y evaluará la
situación. Este Comité deberá tomar la
decisión de activar o no el Plan de
Continuidad.
Será necesario informar de la situación a los
siguientes responsables:
• Responsable de Seguridad.
• Comité de Dirección de la Empresa.
• Relaciones Públicas.
• Equipo de Recuperación.
• Responsable de los Equipos.
30
Guía de Desarrollo de Plan de Continuidad de Negocio
EVENTO ACCIÓN
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión. En el caso de que la emergencia se declare en horas de
trabajo, se tomará como punto de encuentro los lugares designados en el Plan de
Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de
reunión será el designado como centro de respaldo, o cualquier otro designado
por el Comité de Dirección de Crisis.
31
Guía de Desarrollo de Plan de Continuidad de Negocio
Una vez que hemos establecido las bases para comenzar la recuperación, se
procederá a la carga de datos y a la restauración de los servicios críticos. Este
proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para
cumplir con los plazos fijados.
• Procedimientos de Restauración
Procedimientos de Restauración
Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar
un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el
negocio con las máximas garantías de éxito. Los integrantes del equipo de
unidades de negocio serán los encargados de comprobar y verificar el correcto
funcionamiento de los procesos.
32
Guía de Desarrollo de Plan de Continuidad de Negocio
33
Guía de Desarrollo de Plan de Continuidad de Negocio
9.1 PRUEBAS
• Probar la efectividad y los tiempos de respuesta del Plan para comprobar que
están alineados con la definición realizada en el diseño.
34
Guía de Desarrollo de Plan de Continuidad de Negocio
suponga una parada de los sistemas de información, debe realizarse una ventana
de tiempo que impacte lo menos posible para el negocio.
En algunos casos puede resultar complicado realizar una prueba completa del
Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa
de pruebas planificado para garantizar que todos los aspectos de los planes y
personal se han ensayado durante un período de tiempo.
- Procedimientos de emergencia.
- Métodos alternativos.
- Líneas de telecomunicaciones de backup.
- Procedimientos de notificación Vendedores / Clientes.
- Capacidad y rendimiento del hardware.
- Portabilidad del software.
- Accesibilidad al centro de respaldo.
- Movilización de los equipos de trabajo.
- Recuperación de ficheros y documentación almacenados en lugar externo.
- Recuperación de datos.
Los ejercicios de test son ejercicios planificados que implican la restauración real
de la capacidad de proceso en un centro alternativo. Generalmente, los procesos
en producción no son interrumpidos, pero puede planificarse su restauración y
validación en el centro alternativo. Normalmente, este tipo de prueba requiere la
participación de toda la organización de continuidad del negocio, incluyendo
usuarios, personal técnico y de operaciones.
35
Guía de Desarrollo de Plan de Continuidad de Negocio
36
Guía de Desarrollo de Plan de Continuidad de Negocio
ANEXOS
ANEXOS
37
Guía de Desarrollo de Plan de Continuidad de Negocio
o CUADRO DE PROCESOS
Frecuencia
Breve Persona
Proceso Subproceso (Diario/Semanal
descripción responsable
Mensual)
Tipo de
Nº de
Nombre Sistema
Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
aplicación
Mainframe)
38
Guía de Desarrollo de Plan de Continuidad de Negocio
Detalles del
Tipo de hardware Distribuidor Criticidad Localización
Modelo/Configuración
o OTROS ACTIVOS
39
Guía de Desarrollo de Plan de Continuidad de Negocio
Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente.
Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes.
40
Guía de Desarrollo de Plan de Continuidad de Negocio
AMENAZAS
DESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAÑOS ACCIDENTALES
Fuego fortuito
Inundaciones
Fallo del aire acondicionado
Exceso de humedad
Humo, gases tóxicos
Subida de tensión
Fallo de suministro eléctrico
Fallo de la UPS
Accidentes del personal
Capacidad inadecuada de las comunicaciones
Fallo/degradación del hardware
Fallo/degradación de las comunicaciones
Errores de operación
Fallos en las copias de seguridad
Fallos de los sistemas de autenticación/autorización
Pérdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Explosivos
Fuego intencionado
Accesos no autorizados al edificio
Actos de vandalismo
Radiaciones electromagnéticas
Robos intencionados
Manipulación de datos/software
Manipulación de hardware
Uso de software por personal no autorizado
Acceso no autorizados a datos de la compañía
Software malicioso
Robo de equipos
Robo de documentos
41
Guía de Desarrollo de Plan de Continuidad de Negocio
Robo de software
Descarga de software no controlada
Interceptación de las líneas de comunicación
Manipulación de las líneas de comunicación
Abuso de privilegios de acceso
Introducción de virus en los sistemas
Troyanos
Ataques por ingeniería social
Bombas lógicas
Ataques de denegación de servicio
Errores intencionados
Copias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupción de datos
Incumplimientos legales intencionados
42
Guía de Desarrollo de Plan de Continuidad de Negocio
VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro eléctrico inapropiado
Mantenimiento inapropiado del servicio técnico
Ausencia de mantenimiento
Educación inadecuada del personal en virus y malware
Políticas de firewall inadecuadas
Política de seguridad de la información inadecuada
Ausencia de política de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extinción automática de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuración eficiente y efectiva
Ausencia de mecanismos de identificación y autenticación
Ausencia de política de restricción de personal para uso licencias de software
Ubicación física en un área susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisión de datos
confidenciales
Protección física de equipos inadecuada
Personal sin formación adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definición de privilegios de acceso inadecuada
Ausencia de un Plan de recuperación de incidentes
43
Guía de Desarrollo de Plan de Continuidad de Negocio
Comité de Crisis
Comité de
Dirección
Equipo de Unidades
de Negocio
44
Guía de Desarrollo de Plan de Continuidad de Negocio
http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de
Servicios de Continuidad de Negocio
http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -
Proveedor de Servicios de Continuidad de Negocio
45
Guía de Desarrollo de Plan de Continuidad de Negocio
CASO DE ESTUDIO
46
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
CASO DE ESTUDIO
ANTECEDENTES
Zapasol S.A. es una compañía que fabrica zapatos con materiales reciclados.
Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de
fabricación, una en Valencia y otra en Albacete distante 200 kilómetros. El éxito
de venta de este tipo de zapatos les ha llevado a mercados internacionales,
importando a más de 20 países.
47
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
ANÁLISIS DE IMPACTO
Frecuencia
Proceso Subproceso Breve descripción (Diario/Semanal Responsable
Mensual)
Diario
Pedidos -- Se encarga de recibir todos Inés Burgos
los pedidos de los distintos
clientes y de gestionar su
envío en los plazos y
condiciones establecidas
Nota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas)
PROCESO PEDIDOS
48
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Tipo de Nº de
Nombre
Sistema Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
Mainframe) aplicación
--- ----
Correo 2 Servidor de 4
Electrónico Correo
49
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
PROCESO DE NÓMINAS
Tipo de Nº de
Nombre
Sistema Equipos Responsa- Contacto
del Descripción Criticidad
(PC/Servidor/ con la ble Técnicos
Sistema
Mainframe) aplicación
3 Laura -----
Aplicación Programa Servidor / 3
Cuesta
Nóminas que se PC’s
encarga de
realizar el
cálculo de las
nóminas
2 Angel Perez Soporte
Windows Sistema PC’s 20
Windows
Operativo
50
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
51
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Necesidades de
Proceso Criticidad
Recuperación
Necesidades de
Proceso Criticidad
Recuperación
52
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
ANÁLISIS DE RIESGOS
Una parte importante dentro del desarrollo del Plan de Continuidad es el Análisis
de Riesgos. Este análisis permitirá a la compañía conocer sus riesgos y
gestionarlos de forma adecuada.
INVENTARIO DE ACTIVOS
LISTADO DE AMENAZAS
53
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
AMENAZAS POSIBLE
DESASTRES NATURALES
Inundaciones x
Incendios x
DAÑOS ACCIDENTALES
Fuego fortuito x
Inundaciones x
Pérdida de confidencialidad x
Incumplimientos legales x
ATAQUES INTENCIONADOS
Actos de vandalismo x
Robo de equipos x
VULNERABILIDADES
54
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
EVALUACIÓN DE RIESGOS
Pérdida del servicio por fallos en la alimentación eléctrica ALTA MEDIO ALTO
RECOMENDACIONES - CONTRAMEDIDAS
55
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
ESTRATEGIA DE RECUPERACIÓN
56
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
COMITÉ DE CRISIS
Una vez que se comunica un incidente, el Comité de Crisis debe reunirse y tomar
decisiones para afrontar la situación. Deben estar continuamente informados de
57
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
EQUIPO DE RECUPERACIÓN
58
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Listado de Proveedores
59
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
60
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas.
61
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
FASE DE ALERTA
62
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Comité de Crisis
Equipo de
Unidades de
Negocio
63
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
FASE DE TRANSICIÓN
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión indicado. Además del traslado de personas al Centro de
Albacete hay que trasladar todo el material necesario para poner en marcha el
centro de recuperación (cintas de backup, material de oficina, documentación,
...). Esta labor queda en manos del equipo logístico.
Una vez que el equipo de recuperación llegue al Centro de Albacete y que los
materiales empiecen a llegar, pueden comenzar a instalar las aplicaciones en los
equipos que se encuentran en esta oficina.
64
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
FASE DE RECUPERACIÓN
PROCEDIMIENTO DE RESTAURACIÓN
Los dos primeros sistemas deben recuperarse lo antes posible, en las 48 horas
siguientes. Los demás sistemas pueden esperar a recuperarse después de
Pedidos y Facturación.
Una vez recuperados los sistemas, se avisará a los equipos de los departamentos
que gestionan los sistemas (listado del equipo de Unidades de Negocio) para que
realicen las comprobaciones necesarias que certifiquen que funcionen de manera
correcta y pueda continuarse dando el servicio.
Comité de Crisis
Equipo de
Recuperación
Equipo de
Unidades de
Negocio
65
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
Una vez con los procesos críticos en marcha y solventada la contingencia, hay
que plantearse las diferentes estrategias y acciones para recuperar la normalidad
total de funcionamiento.
Contactar con los proveedores para que en el menor tiempo posible repongan
todos los elementos dañados.
FIN DE LA CONTINGENCIA
66
Guía de Desarrollo de Plan de Continuidad de Negocio
Caso de Estudio
CONCLUSIONES
67
Guía de Desarrollo de Plan de Continuidad de Negocio
Bibliografía
BIBLIOGRAFÍA
• http://www.contingencyplanning.com/
• http://www.globalcontinuity.com/
• http://www.nfpa.org
• Business Continuity Plan (BCP) Format Guide - Centers for Disease Control
and Prevention
• http://www.disaster-recovery-guide.com/
• http://www.businesscontinuityjournal.com
• http://www.ccep.ca/
• http://www.businesscontingency.com/
• http://www.contingency-planning-disaster-recovery-guide.co.uk/
• http://www.drii.org/
• http://www.gartner.com/
68