CASTRO_LAURA_DISEÑO_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_NORMA_ISO_IEC_22301

8/12/2019 CASTRO_LAURA_DISEO_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_NORMA_ISO_IEC_22301

1/103

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

DISEO DE UN SISTEMA DE GESTIN DE CONTINUIDAD DENEGOCIOS (SGCN) PARA LA RENIEC BAJO LA PTICA DE LA

NORMA ISO/IEC 22301

Tesis para optar por el Ttulo de Ingeniero Informtico, que presenta el bachiller:

Laura Daiana Castro Marquina

ASESOR: Moiss Antonio Villena Aguilar

Lima, setiembredel 2013


2/103

TABLA DE CONTENIDO

INTRODUCCIN.1

CAPTULO 1. GENERALIDADES.2 1.1 Definicin del Problema 21.2 Objetivo General 51.3 Objetivos Especficos 61.4 Resultados Esperados 61.5 Mtodos, metodologas y procedimientos 6

1.5.1 Relacionados a la gestin del proyecto 61.5.2 Relacionados a los resultados esperados 8

1.6 Alcance y Limitaciones 101.6.1 Alcance 101.6.2 Limitaciones 10

1.7 Viabilidad y Justificativa del Proyecto 11

CAPTULO 2. MARCO TERICO Y ESTADO DEL ARTE12 2.1 Marco Terico 12

2.1.1 Conceptos relacionados al problema 122.1.2 Conceptos relacionados al control de continuidad de negocio 172.1.3 Marco regulatorio / legal 36

2.2 Estado del Arte 382.2.1 Formas exactas de resolver el problema 392.2.2 Productos comerciales para continuidad de negocios 392.2.3 Conclusiones sobre el estado del arte 43

CAPTULO 3. ANLISIS..44

3.1 Inicio de la Gestin de Continuidad de Negocios 443.1.1 Sntesis 443.1.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 453.1.3 Aplicacin en RENIEC 463.1.4 Entregable: Diagrama de Procesos bajo la notacin BPMN 2.0 47

3.2 Identificacin, Gestin y Control de Riesgos. 503.2.1 Sntesis 503.2.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 503.2.3 Aplicacin en RENIEC 513.2.4 Entregable: Matriz de Riesgos de RENIEC 52

3.3 Anlisis de Impacto del Negocio (BIA) 583.3.1 Sntesis 583.3.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 583.3.3 Aplicacin en RENIEC 593.3.4 Entregable: Anlisis de Impacto de Negocio (BIA) 60

CAPTULO 4. DISEO..62 4.1 Establecer Estrategias de Recuperacin de Continuidad de Negocios 62

4.1.1 Sntesis 624.1.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 634.1.3 Aplicacin en RENIEC 634.1.4 Entregable: Estrategias de Reanudacin de CN 64

4.2 Comunicaciones internas y externas para coordinar acciones anteinterrupciones 73

4.2.1 Sntesis 734.2.2 Aplicacin en RENIEC 73

I


3/103

4.2.3 Entregables: Plan de Comunicacin de Crisis 734.3 Reanudacin y Gestin de Crisis y operaciones de Emergencia 75

4.3.1 Sntesis 754.3.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 754.3.3 Aplicacin en RENIEC 754.3.4 Entregables: Plan de Gestin de Crisis y Plan de Respuesta deEmergencia. 77

4.4 Desarrollo de Planes de Continuidad de Negocios (BCPs) ante desastresespecficos 81

4.4.1 Sntesis 814.4.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 814.4.3 Aplicacin en RENIEC 814.4.4 Entregable: Plan de Recuperacin de Desastres 84

4.5 Programa de Entrenamiento, Concientizacin y Capacitacin 864.5.1 Sntesis 864.5.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 864.5.3 Aplicacin en RENIEC 86

4.6 Pruebas de Planes de Continuidad de Negocio 874.6.1 Sntesis 874.6.2 ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI 874.6.3 Aplicacin en RENIEC 884.6.4 Entregable: Plan de Pruebas 89

CAPTULO 5. CONCLUSIONES, OBSERVACIONES Y RECOMENDACIONES.92 5.1 Conclusiones 925.2 Observaciones 935.3 Recomendaciones 94

Referencias Bibliogrficas 96

II


4/103III

ndice de Figuras

Figura 2.1Tipos de amenazas 12

Figura 2.2Tipo de Riesgos 13Figura 2.3Matriz de riesgos basado en un anlisis cualitativo de impacto yprobabilidad 15Figura 2.4 Tipos de Controles 15Figura 2.5Matriz de Relacin entre la ISO 27001 y la ISO 22301 19Figura 2.6Principios de COBIT 5 21Figura 2.7Habilitadores de COBIT 23Figura 2.8Ciclo de Vida del BCM Prcticas Profesionales 26

Figura 2.9Fases del modelo PDCA 31Figura 2.10LDRPS Software 41Figura 2.11Pantallas de Catalyst Software 42


5/103

Introduccin

En la actualidad, el incremento de competitividad dentro de las organizacionesempresariales y a su vez de la demanda ms exigente de los clientes, logra que lasmismas se exijan brindar servicios y/o productos con una mayor rapidez yconfiabilidad. Por otro lado, la tecnologa viene incrementndose a pasosagigantados y por ello, las organizaciones dependen cada vez ms de lasTecnologa de InformacinEs por ello que, habitualmente las empresas se venobligadas a mantener operativas las actividades diarias de forma ininterrumpida,con la preparacin adecuada y la capacidad de restablecer las operaciones de TI

en caso ocurra algn incidente y/o desastre que afecte negativamente los procesosclaves del negocio o interrumpa la consecucin de los objetivos estratgicosmarcados, para as lograr mantener o mejorar la posicin competitiva.

En el sector pblico peruano, las entidades del Estado juegan un papel fundamentalde acuerdo a los servicios que se brindan a los ciudadanos. Un claro ejemplo es elRegistro Nacional de Identificacin y Estado Civil (RENIEC), que es una institucinque registra la identificacin de las personas y garantiza la seguridad tcnica y

jurdica de todos los actos civiles. Para este tipo de instituciones la continuidad denegocios no es un tema ajeno, pues existe normativa legal que recomiendan seimplemente y desarrolle de forma adecuada en las mismas.

El SGCN diseado en el presente proyecto para el RENIEC, tiene como finalidadfacilitar la identificacin de impactos ante posibles amenazas o desastres quepueden poner en peligro la continuidad de los niveles y estndares de los procesosmanejados por RENIEC y adems, contar con una respuesta efectiva que asegure

mantener operando dichos procesos crticos y lograr as, estar preparada paraafrontar situaciones de urgencia especficas.

A continuacin se especificar a detalle cada uno de las actividades realizadas consus entregables especficos en cada uno de los captulos relacionados para unmayor entendimiento de la misma.

1


6/103


7/103

De acuerdo a la administracin de empresas modernas, las organizacionesdependen fuertemente de las tareas que da a da son ejecutadas con el fin demantener los beneficios y la estabilidad. La mayora posee bienes tangibles,empleados, sistemas y tecnologas de informacin. Si alguno de estos

componentes es daado o deja de ser accesible por cualquier razn, laorganizacin puede paralizarse. Cuanto mayor sea el tiempo de inactividad, mayorser el impacto econmico[BCI, 2012].Es por ello que, habitualmente las empresasse ven obligadas a mantener operativas las actividades diarias de formaininterrumpida que pueden provocar desde una prdida importante de informacinhasta la destruccin de la infraestructura tecnolgica de la organizacin existiendoalgunas que no se encuentran preparadas para dichos acontecimientos e incluso,existen muchas organizaciones que no han sido capaces de recuperarse despusde ser vctimas de algn incidente o desastres [DisasterRecoveryJournal, 2012].

Segn el Lead Auditor Dejan Kosutic en un artculo:Continuidad de Negocios Esnecesaria o no? [2011], indica que cuando se habla de continuidad de negocio yde posibles amenazas que pueden poner en peligro la supervivencia y estabilidadde una organizacin, muchas de las respuestas coinciden en lo que l nombracomo un sndrome "A nosotros no nos pasar", ya que muchas organizacionesconsideran que por el hecho de no haber sufrido ningn incidente en el pasado, el

futuro ser igual o mejor y evidentemente, es un gran error. La realidad es quecualquier organizacin pequea o grande puede ser vctima de un incidente odesastre que afecte a su continuidad y, dependiendo de la forma en que segestione dicho incidente, las consecuencias pueden ser ms o menos graves.

Segn Stephen Flynn experto en seguridad y comercio [RandomHouse, 2007]:Los desastres no siempre se pueden evitar, pero pueden anticiparse y tomar

medidas prcticas para prevenir las consecuencias en cascada que probablemente

se derivan de ellas.

En un informe de investigacinefectuado por MarshRiskConsulting a lo largo dediez aos a todo Latinoamrica [2011], se indic que el 33% de las causas para lainterrupcin de negocios es atribuible a fallas operacionales y que el software; esdecir, la tecnologa de la informacin y la comunicacin, es el 13% del mismo. Por lo imprescindible que es mantener operando todos los procesos de unaorganizacin para ofrecer a sus clientes productos de calidad o brindar servicios

con eficiencia y eficacia son cada vez ms los inversionistas y clientes quebuscan el resguardo de organizaciones que estn preparadas para afrontar

3


8/103

cualquier situacin de urgencia, con respuestas eficientes e inmediatas, quemanejen Planes de Continuidad que garanticen la continuidad de la actividad delNegocio.

En Junio del 2012 se public un informe elaborado por el EconomistIntelligenceUnity producido por IBM [IBM,2012], donde se muestran resultados de encuestas enlnea y entrevistas a ms de 427 altos ejecutivos de 23 industrias diferentes entodo el mundo, el estudio detallado investiga cmo organizaciones de todo elmundo estn gestionando su reputacin y cmo se manejan las operaciones de TI ydel negocio ante eventos que puedan interrumpir la habilidad de lograr sus objetivosestratgicos.

Dentro de los resultados ms resaltantes del estudio, se indica que respecto al aopasado menos empresas tienen un plan de gestin de riesgos formal y que un64% de ejecutivos optaran por una planificacin y ejecucin de un plan decontinuidad del negocio como una prioridad para sus empresas y organizaciones.

Por otro lado, AT&T, realiz este ao un estudio sobre continuidad de negocios enEstados Unidos que indic que el 86% de las empresas ya cuentan con un plan decontinuidad de negocio en caso de un desastre o incidente- hasta un 8% de

aumento en los ltimos cinco aos [AT&T, 2012]. Los resultados del informe de IBMse muestran en el ANEXO A.

A partir de los estudios mencionados, se puede llegar a la conclusin que lacontinuidad de negocios complementa la Gestin de Riesgos, mostrando la realmagnitud del impacto de algunos desastres, ya que analiza el efecto originado porel riesgo.

Por otro lado, el Per es una de las regiones de ms alta actividad ssmica por

encontrarse dentro del Cinturn de Fuego del Pacfico, lo que conlleva aencontrarse expuesto permanentemente a sismos y/o terremotos, que almaterializarse tienen como resultado altos ndices de prdidas humanas ymateriales [INDECI, 2012]. Asimismo, los incendios no son ajenos a organizacionesen el Per, en el 2011 se reportaron 1387 incendios en el pas, de los cuales 473son de organizaciones administrativas e industriales [INEI, 2012].

Es por ello que en el Per, la continuidad de negocios no es un tema ajeno, en

especial en el sector financiero, la circular G -139-2009-SBS [SBS, 2009] emitidapor la Superintendencia de Banca, Seguros y AFP indica que se debe manejar

4


9/103

una colaboracin integrada de administracin de riesgos y continuidad de negociospara dicho sector. Es por ello que cuentan con sistema de contingencia yplanificacin en caso de cualquier incidente o desastre. Por otro lado, la NormaTcnica Peruana 27001 [INDECOPI, 2008], incluye un dominio de continuidad de

negocios, direccionado a empresas pblicas para reducir las interrupciones a causade factores internos o externos.

En el sector pblico, las entidades del Estado juegan un papel fundamental deacuerdo a los servicios que se brindan a los ciudadanos. El Registro Nacional deIdentificacin y Estado Civil (RENIEC), es una institucin que registra laidentificacin de las personas y garantiza la seguridad tcnica y jurdica de todoslos actos civiles. Dentro de los servicios ms relevantes que brinda a los

ciudadanos se encuentran:Generacin y emisin del Documento Nacional deIdentidad (DNI), Registros Civiles (RRCC), Padrn Electoral y Certificados Digitales.

A partir de lo mencionado, aparece la necesidad de que dicha organizacin pblicaperuana cuente con un Sistema de Gestin de Continuidad de Negocios (SGCN), elcual le permita preservar y proteger la informacin de todos los peruanos y de losservicios que esta brinda. Adems que facilite la identificacin de los principalesimpactos ante posibles amenazas a su organizacin y tener la habilidad de contar

con una respuesta efectiva que permita mantener su prestigio y afianzar lasatisfaccin de los ciudadanos.

En el presente proyecto de tesis, se disear un SGCN para RENIEC paraescenarios de Sismos e Incendio, que permita cumplir con los requisitos mnimosrecomendados por la Norma Tcnica Peruana 27001 y que utilice como base elestndar internacional ISO/IEC 22301.

1.2 Objetivo General

Disear un modelo de Sistema de Gestin de Continuidad de Negocios (SGCN)para el Registro Nacional de Identificacin y Estado Civil (RENIEC)bajo la ptica dela norma ISO/ IEC 22301.

5


10/103

1.3 Objetivos Especficos

OE1. Modelar los procesos del negocio establecidos como alcance de la gestinde continuidad de negocios.

OE2. Elaborar el Anlisis de Riesgos de la Organizacin.OE3. Elaborar un Anlisis de Impacto al Negocio (BIA).OE4. Elaborar un Plan de Manejo de Crisis.OE5. Realizar un Plan de Emergencia bajo escenarios de desastres especficos.OE6. Elaborar un Plan de Recuperacin de Desastres (DRP).OE7. Elaborar un Plan de Continuidad de Negocios (BCP).OE8. Desarrollar un Plan de Pruebas que sea consistente con el alcance del Plan

de Continuidad de Negocios y permita manejarlo de forma precisa.

1.4 ResultadosEsperados

Resultado 1 para el OE1: Documento con modelamiento de procesos denegocio usando la notacin BPMN.

Resultado 2 para el OE2: Mapa de Riesgos de la Organizacin. Resultado 3 para el OE3: Anlisis de Impacto de Negocio (BIA). Resultado 4 para el OE4: Plan de Comunicacin y Gestin de Crisis.

Resultado 5 para el OE5: Plan de Respuesta a Emergencias Resultado 6 para el OE6: Plan de Recuperacin de Desastres (DRP). Resultado 7 para el OE7: Planes de Continuidad de Negocios (BCP) de

acuerdo a los desastres especficos.

Resultado 8 para el OE8: Planes de Pruebas para cada BCP realizado.

1.5 Mtodos, metodologas y procedimientos

1.5.1 Relacionadosa la gestin del proyecto

Para el desarrollo del proyecto se emplear algunos principios metodolgicos delProject Management Body of Knowledge (PMBOK), ya que es un marco estndarque permite manejar el ciclo de un proyecto a travs de sus procesos(Iniciacin,Planificacin, Ejecucin, Control, Cierre) integrados con sus 9 reas del

conocimiento (Gestin de la Integracin del Proyecto, Gestin del Alcance delProyecto, Gestin del Tiempo del Proyecto, Gestin de los Costes del Proyecto,

6


11/103

Gestin de la Calidad del Proyecto, Gestin de los Recursos Humanos delProyecto, Gestin de las Comunicaciones del Proyecto, Gestin de los Riesgos delProyecto, Gestin de las Adquisiciones del Proyecto)[PMI,2008].

El presente Proyecto de Tesis se enfocar slo en ciertos puntos a considerar:

Gestin de la Integracin del Proyecto:Permite la integracin efectiva delos procesos a realizar en el proyecto, as como supervisar y controlar lastareas a realizar, minimizar riesgos y cerrar el proyecto.

Gestin del Alcance del Proyecto: Permite establecer los procesosnecesarios para asegurar que se incluya todas las actividades necesarias paralograr un adecuado monitoreo y control del cumplimiento de los objetivos yalcances del presente proyecto.

Gestin del Tiempo del Proyecto:Permite especificar las actividades arealizar, secuenciarlas, estimar una duracin por cada una de ellas, desarrollarun cronograma que las compacte con restricciones de dependencia y tiempo, ycontrolar cualquier cambio realizado.

Gestin de Calidad del Proyecto:El SGCN est enfocado bajo la ptica de

una norma ISO, para lo cual es necesario asegurar que el proyecto utilice todoslos procesos para cumplir con los requisitos y as asegurar su calidad.

Gestin de las Comunicaciones del Proyecto: Permite asegurar lageneracin, recopilacin, almacenamiento y control de la informacin delproyecto as como la gestin adecuada de la comunicacin con los interesados(Empresa, Asesor) de forma que se verifica el adecuado avance del proyecto.

Gestin de los Riesgos del Proyecto: Permite no solo identificar ygestionar los riesgos del proyecto, sino priorizarlos y realizar una planificacinde respuesta y un plan de contingencia para reducir cualquier amenaza.

No se consideran la gestin de costos, pues al tratarse de un proyecto de tesis nose realizar la implementacin a la empresa, por lo que no se planifica ni estimacostos; gestin de recursos humanos, pues es realizado por una sola persona, porlo que no hay asignacin de roles y responsabilidades; y gestin de adquisicionesdel proyecto, pues no se incurre en adquisiciones de productos o servicios ni semaneja contratos ni vendedores.

7


12/103

1.5.2 Relacionados a los resultados esperados

Metodologa 1 para el RE1:

BPMN (Business Process Modeling Notation) 2.0

BPMN es una notacin grfica estandarizada diseada por el Object ManagementGroup (OMG) para normalizar y facilitar el modelado de flujo de procesos. Elobjetivo principal es ser un estndar que facilite la elaboracin e interpretacin dediagramas de procesos de negocio, ya que antes de BPMN, no exista una tcnicade modelamiento estndar desarrollada, mientras que ahora los usuarios sebeneficiarn de esta notacin al igual que el mundo de la ingeniera de software lo

hace con UML (UnifiedModelingLanguage); es decir, este modelo se basa en elUML y tiene la ventaja de ser compatible con XML. [OMG, 2011].

Cabe recalcar que una de las directrices para el desarrollo de BPMN es crear unmecanismo simple para diagramar flujos de proceso y que a su vez maneje lacomplejidad inherente a los procesos del negocio, con el fin de organizar losaspectos grficos de la notacin en categoras especficas. Esto proporciona unsistema de categoras que ayuda al lector de un diagrama de BPMN a reconocerfcilmente los tipos bsicos de elementos y entender el diagrama.

Las cuatro categoras bsicas de estos elementos son [OMG, 2011]:

Elementos de Flujo (FlowObjects): Son los principales elementosgrficos que definen el comportamiento de los procesos. Pueden ser eventos oactividades.

Conectores (ConnectingObjects): Representan el esqueleto de la estructuradel proceso de negocio, asociaciones, secuencias, relaciones, etc.

Canales (Swimlanes): Son mecanismos de organizacin de las actividades encategoras visuales separadas para representan un sector del flujo.

Artefactos (Artifacts): Son grupos o anotaciones en el diagrama, usados paraproveer informacin adicional sobre el proceso. Otorgan flexibilidad a lanotacin para expresar diferentes contextos en forma apropiada.

Data: Representan a los datos de los procesos (entrada y salida).

La razn para emplearlo en el presente proyecto es debido a la familiaridad de sus

elementos y el fcil entendimiento de su notacin.

8


13/103

Metodologa 2 para el RE2:

ISO 31000:2009

La Norma ISO 31000:2009, es un estndar que proporciona principios y directricessobre la gestin de riesgos. Una norma aplicable a todas las organizacionesindependientemente del sector, de su actividad o del tamao de la empresa.Proporciona las orientaciones para la implantacin de un sistema de gestin delriesgo que sea compatible con los estndares en su sector. [ISACA, 2012].

El enfoque est estructurado en tres elementos claves para una efectiva gestinde riesgos [ISO: 2009]:Los principios de gestin de Riesgo, el Marco Terico

(Framework) para la gestin de Riesgo y, el proceso de gestin de Riesgo.

Beneficios de la ISO 31000 Ayuda a concienciar de la importancia de identificar y tratar los

riesgos de toda la organizacin. Establece una base de confianza que mejora la toma de decisiones

y la planificacin. Facilita el reconocimiento y utilizacin de los recursos para la

gestin de riesgos. Ayuda a detectar las oportunidades y amenazas a la vez que se

reducen al mnimo las prdidas de la organizacin. Mejora la continuidad y la capacidad de recuperacin de la

organizacin. Mejora la eficacia y la eficiencia operativa.

La razn para basar el mapa de riesgos a realizar en esta metodologa, se debe a

que es un estndar internacional que actualmente, tiene ms puntos en comn conla ISO/IEC 22301, ya que ambas hablan de que los riesgos y la continuidad denegocio pueden y deben afectar a toda la organizacin, a todas sus reas yniveles y a todas sus actividades y productos [AUDISEC, 2012].

Metodologa 3 para RE3-RE8:

Para la elaboracin de entregables como: BIA, Plan de Crisis, Plan de Emergencia,Plan de Recuperacin de Desastres , Plan(es) de Continuidad de Negocios y

Plan(es) de Prueba correspondientes, se emplear el modelo PDCA (Plan-Do-

9


14/103

Check-Act) mencionado y definido previamente; la eleccin de este mtodo sedebe a que la norma en la que est basada el proyecto (ISO/IEC 22301) mencionala utilizacin de este modelo para la adecuada realizacin de un SGCN, ademsimplica la autoevaluacin, monitoreo y control de cada uno de los resultados

esperados mencionados.

Cabe mencionar que tambin se tomar en cuenta para la elaboracin de dichosentregables las prcticas profesionales manejadas y aprobadas por entidadesinternacionales como son el BCI de Inglaterra y el DRI de Estados Unidos.

1.6 Alcance y Limitaciones

1.6.1 AlcanceEl presente trabajo de tesis de diseo de un SGCN se enfocar en los siguientesprocesos crticos de negocio:

Proceso de Registro de Identificacin: Este proceso se encarga del serviciode digitalizacin de Formulario para el DNI y la emisin del mismo, tiene comoobjetivo conducir los procesos de evaluacin, depuracin y actualizacin delRegistro nico de Identificacin de las Personas Naturales (RUIPN), para ello

cuenta con un archivo registral fsico y una base de datos que permite brindarseguridad de informacin de identidad de los peruanos.

Proceso de Registros Civiles: Este proceso se encarga de consolidar yprocesar las actas registrales de hechos vitales, tiene como objetivo emitir lasactas de Hechos Vitales de forma inmediata y descentralizada, para asegurarla informacin, cuenta con base de datos de Registro civiles y la informacin seencuentra almacenada en archivo fsico y lgico.

Cabe mencionar, que debido a la complejidad y tiempo de diseo de un SGCN,para cada incidente o desastre propenso al perfil de la organizacin mencionada, setomarn como escenarios preliminares: Incendios y Sismos.

1.6.2 Limitaciones

La elaboracin de las pruebas para el BCP desarrollado no implica llevarla acabo, puesto que ello significa inversin en personal, tiempo y presupuesto, lo

cual no aplica al presente proyecto de tesis.

10


15/103

El trabajo de campo que se debe realizar para relevar la informacin, eslimitado, pues de realizarlo, se requiere del personal clave de la empresa, yste puede no contar con disponibilidad para atencin.

Los procesos tomados en cuenta pueden ser cambiados a lo largo deldesarrollo de la tesis, lo cual implica un alto riesgo y limitacin del proyecto.

Al tratarse de un Proyecto Acadmico, el tiempo de realizacin del presenteproyecto est limitado y propenso a reduccin de alcance de ser necesario.

No disponibilidad del personal durante la ejecucin de pruebas de escritorio.

1.7 Viabilidad y Justificativa del Proyecto

El SGCN a disear en el presente proyecto para el RENIEC, tiene como finalidadfacilitar la identificacin de impactos ante posibles amenazas o desastres quepueden poner en peligro la continuidad y adems, contar con una respuestaefectiva que asegure mantener operando dichos procesos crticos y lograr as, estarpreparada para afrontar situaciones de urgencia especficas.

A partir de lo mencionado, con el diseo de un SGCN a desarrollar en el presenteproyecto de Tesis se lograrn otros beneficios relevantes en el rubro de empresasen la que est enfocada, tales como:

Al estar enfocado bajo la ptica de la norma ISO/IEC 22301, se asegura atravs de un estndar internacional lograr una adecuada y efectiva respuestaante situaciones de emergencia especficas; es decir que en caso ocurra unincidente o desastre ocasione los daos mnimos, asegurando as lacontinuidad de la organizacin.

La continuidad de negocio no ser un tema ajeno para la organizacin, puesse lograr que sus integrantes se encuentren preparados ante cualquier

incidente o desastre, logrando as una adecuada cultura organizacional. Cabe mencionar que, si en el futuro se evala la posibilidad de realizar la

implementacin y la certificacin del SGCN a disear en la presente tesis, laorganizacin en cuestin ganar una ventaja respecto a otras entidadespblicas, pues al asegurar la continuidad de sus operaciones y actividades,incrementa su reputacin, prestigio e imagen frente a los ciudadanos.

Nota: Como parte de la viabilidad es relevante y necesario tomar en cuenta la

gestin de cambios en caso el presente proyecto de Tesis se llegue a implementar.

11


16/103

Captulo 2. Marco Tericoy Estado del Arte

Para todo proyecto, es esencial tener como base ciertos conceptos con el fin depoder entender el contexto sobre el cual se est trabajando; motivo por el cual en elpresente capitulo, se busca definir los conceptos necesarios para abarcarse en esteproyecto. Asimismo, tambin se da una descripcin de los productos ymetodologas actuales que satisfacen la solucin al problema planteado; buscandoas, obtener las ventajas y desventajas que sern consideradas para el desarrollodel producto final.

2.1 Marco Terico2.1.1 Conceptos relacionados al problema

Amenaza

Una causa potencial de un incidente 1 no-deseado, el cual puede resultar en dao aun sistema u organizacin [ISO 27005].

1

Es la interrupcin no planeada de un servicio o la reduccin en la calidad de un servicio. Tambin, es un incidentela falla de un elemento de configuracin que an no impacta el servicio.[Hiles, 2007].

12


17/103

NIST de los Estados Unidos de Amrica [2008] lo define como : Cualquiercircunstancia o hecho que pueda afectar negativamente a las operaciones de la

organizacin, sus activos de informacin 2 o individuos a travs del acceso no

autorizado, destruccin, acceso, modificacin de la informacin, y/o negacin de

servicio. Adems, la posibilidad de una amenaza de fuente de explotar con xito

una vulnerabilidad de la informacin del sistema en particular. En otra acepcin,son todas las actividades, eventos o circunstancias que pueden afectar el buen usode un activo de informacin daando el soporte a un proceso, perjudicando el logro

de los objetivos de negocio [Tupia, 2010].

Figura 2.1. Tipos de amenazas [Del Pino, 2007]

Vulnerabilidad

La debilidad de un activo o grupo de activos que puede ser explotada y perjudicadapor una o ms amenazas. [ISO 27002, 2005]. Son debilidades que pueden serexplotadas para convertir una amenaza en un riesgo real que puede causar daosgraves en una organizacin. Las vulnerabilidades son una o ms condiciones quepueden permitir a una amenaza afectar a un activo.Segn el BCI [2010]: Lasvulnerabilidades en el negocio y en el modelo de operacin de una organizacin

pueden considerarse en siete reas: reputacin, cadena de suministro, informacin

y comunicaciones, sedes e instalaciones, personas, finanzas y clientes .

2Elemento impreso o digital que contenga informacin, as como todo sistema --conformado por software, hardwarey su documentacin pertinente-- que cree, maneje, procese informacin y tiene valor para una organizacin;

tambin se puede incluir a la infraestructura tecnolgica donde se desenvuelven dichos sistemas. Se consideraactivo est o no registrado contablemente [Tupia 2010].

13
http://en.wikipedia.org/wiki/Denial_of_requesthttp://en.wikipedia.org/wiki/Denial_of_request


18/103

Se puede imputar a la ausencia de controles o a su deficiente establecimiento comolas principales causas de vulnerabilidad sobre los activos de una organizacin[Tupia, 2010].

Riesgo

Potencial de que una amenaza externa o interna explote una vulnerabilidad deuno o varios activos ocasionando dao a la organizacin. Su naturaleza puededepender de aspectos operativos, financieros, regulatorios y administrativos [ISO27005, 2008].Segn COSO en su Marco de Gestin Integral de Riesgo [2008]: Los riesgosson futuros eventos inciertos, los cuales pueden influir el cumplimiento de los

objetivos estratgicos, operacionales, financieros y de cumplimiento.

Causas de los Riesgos:o Personal: Fallas cometidas por el personal. Ejemplo: Por falta de conocimiento.o Procesos: Fallas causadas por debilidades en el diseo y/o ejecucin de

procesos de la organizacin como por ejemplo controles inadecuados.o Sistemas: Fallas causadas por vulnerabilidades en los sistemas, como fallas

de red o cadas de sistemas.

o Eventos externos: Fallas que resultan por cambios adversos en el entorno dela organizacin, por situaciones causadas por terceros o por desastresnaturales.

Figura 2.2. Tipo de Riesgos [ISACA, 2011]

14


19/103

Identificar riesgos implica analizar causas de aparicin, consecuencias, magnitud eimpacto; as como definir criterios de aceptacin y la implementacin de controles.

Impacto

El Business ContinuityInstitute [2010] lo define como un Evento que tiene lacapacidad de provocar la prdida de o la interrupcin 3 de las operaciones, servicios

o funciones de la organizacin, el cual, si no se administra, puede escalar y

convertirse en una emergencia, crisis o desastre. Su identificacin y cuantificacines relevante en el proceso de la Gestin de Riesgos, que es el conjunto deactividades que permite analizar, tratar y evaluar los riesgos en las organizaciones.Cabe mencionar que la valoracin del impacto puede ser expresado de forma

cuantitativa, es decir estimando las prdidas econmicas, o de forma cualitativa,asignando un valor dentro de una escala (p. e. alto, bajo, medio), tambin serecurre al anlisis de grado de prdida o dao que causara una interrupcin en unactivo de informacin mediante el manejo de probabilidades4 de ocurrencia, ya quese utiliza para determinar si se invertir en medidas para evitar dicha interrupcin.

La interrupcin se puede evitar teniendo un procedimiento que, o bien proporcionaalguna forma alternativa de la continuidad del negocio o corrige el problema dentro

de un tiempo aceptable. El impacto no siempre se produce inmediatamentedespus de una interrupcin y la mayora de las empresas pueden sobrevivirdurante algn tiempo antes de que las prdidas comiencen. Este perodo es vitalpara el negocio y vara entre empresas y lneas de negocio.Si se realiza un anlisisde riesgos basado de tipo cuantitativo de impacto y las probabilidades, las escalascualitativas del impacto son: catastrfico o extremo, grave, medio, moderado o bajoe insignificante probable. En la Figura 2.3 se muestra la matriz 5x5 conocida parala cuantificacin de riesgos.

Cabe mencionar que la matriz mostrada se ajustar segn las polticas que empleala entidad referenciada en la presente tesis. Es decir, va a depender del tipo deorganizacin y de los activos de informacin que se tengan para clasificar losriesgos y calcular los impactos.

3Evento que interrumpe las operaciones o procesos normales del negocio bien sea de manera anticipada(huracanes, inestabilidad poltica) o imprevista (bloqueos, ataques terroristas, fallas tecnolgicas, o terremotos).[BCI 2012]

4Posibilidad de que suceda algo, siendo definida, medida o estimada de manera objetiva o subjetiva, o en trminos

descriptores generales (ejemplo: raro, poco, poco probable, probable casi seguro), frecuencias o probabilidadesmatemticas.

15


20/103

Figura 2.3. Matriz de riesgos basado en un anlisis c ualitativo de impacto y probabilidad

[Snchez, 2005]

Controles

Son las polticas, medidas de seguridad, procedimientos y prcticas para reducirriesgos y que proveen cierto grado de certeza de que se lograrn los objetivos delnegocio [Tupia, 2011]. Estos permiten que se realicen las correcciones necesariasen caso se detecten eventos que escapan de su alcance.

Los objetivos relevantes de los controles son:o Garantizar que mediante los mecanismos de control establecidos se logren

las metas de la organizacin.o Salvaguardar los activos de la organizacin para mantener la integridad de la

informacin.

Figura 2.4. Tipos de Controles [Tupia, 2011]

16


21/103

2.1.2 Conceptos relacionados al control de continuidad denegocio

Normas Tcnicas

BS25999

Es la norma predecesora remplazada por la actual ISO 22301 y es la primeranorma britnica para la gestin de continuidad y fue concebida con el fin de ayudara minimizar el riesgo a las interrupciones, como un siniestro o una catstrofe.

Consta de dos partes:Parte 1: Cdigo de Prctica

Establece el proceso por el cual una organizacin puede desarrollar e implementarla continuidad de negocio, incluyendo una completa lista de controles basada en lasmejores prcticas de BCM (Business Continuity Management) [BSI, 2006].Parte 2: EspecificacinEspecifica los requisitos para establecer, implementar, operar, supervisar, revisar,probar, mantenery mejorar un sistema de gestin de continuidad de negocio en elcontexto de la gestin global de riesgos de una organizacin [BSI, 2007].

ISO/IEC 22301:2012

La norma ISO/IEC 22301:2012 Seguridad de la sociedad Sistemas de gestin dela continuidad del negocio Requisitos, es el nuevo estndar internacional para lagestin de continuidad del negocio. Se ha creado en respuesta al gran intersinternacional en el original norma britnica BS 25999-2 y otras normas regionales.Proporciona el mejor marco de referencia y es el nuevo estndar global paragestionar la continuidad del negocio en una organizacin.

Este estndar especifica requisitos para la creacin y gestin de un negocio enefectivo de un SGCN. Es slo para uso interno por y las partes externas, incluyendoorganismos de certificacin, para evaluar la capacidad de organizacin para cumplirlos requisitos reglamentarios y del cliente as como los propios de laorganizacin. La ISO/IEC 22301 contiene slo aquellos requisitos que pueden serauditados objetivamente, por lo tanto puede ser utilizado por una organizacin paraasegurar que las partes interesadas usen un SGCN apropiadas en su lugar; y ha

sido diseada para lograr una mayor seguridad social (proporcionar proteccin de la

17


22/103

sociedad, y responder a, incidentes, emergencias y desastres provocados por actoshumanos intencionales, riesgos naturales y fallas tcnicas). [ISO, 2011].

La ISO/IEC 22301 ha remplazado a la norma britnica BS 25999-2. Estas dos

normas son bastante similares, pero la ISO/IEC 22301 puede ser considerada comouna actualizacin de la BS 25999-2 y a diferencia de la norma britnica ha sidoaceptada por institutos de normas nacionales en 163 pases.

Segn John Sharp [2012, pg. 14] Las adiciones en la ISO/IEC 22301 han aadidoms profundidad y claridad, mientras que las omisiones no son detrimento de las

prcticas de BCM, en general son buenas principios. Lo cierto es, que esta nuevanorma pone mucho ms nfasis en la comprensin de requisitos, el establecimiento

de los objetivos y en la medicin del desempeo y se mantienen los aspectos msimportantes de la continuidad de negocio como son el anlisis del impacto, laestrategia y la planificacin.

Al igual que la norma predecesora, ISO/IEC 22301 es una norma adecuada paratodo tipo de organizacin, grande o pequea y perteneciente a cualquier sector. Esespecialmente empleada para organizaciones que operan en sectores crticos deriesgo, como finanzas, transporte, telecomunicaciones y sector pblico, donde lanecesidad de continuar la actividad comercial es primordial para el beneficio de laorganizacin, los clientes y los interesados.

Cabe mencionar que la BCI est en revisin de una nueva norma internacional:ISO DIS 22313: Seguridad social - Sistemas de Gestin de la Continuidad, estanueva norma est orientada a apoyar a las organizaciones con la implantacin deun Sistema de Gestin de Continuidad de negocio eficaz (BCMS). [BCI, 2012].

Esta ltima norma complementar a la actual ISO/IEC 22301, ya que esta se logra

destacar el qu se debe hacer y con la ISO 22313, el cmo implementar, operary mejorar continuamente un sistema de gestin de continuidad de negocio.

ISO/IEC 27031:2011

La norma ISO/IEC 27031:2011 Tecnologa de Informacion - Tcnicas de Seguridad- Directrices para la preparacin de la informacin y tecnologa de comunicacinpara la continuidad del negocio, es un estndar que ayuda a las organizaciones a

prepararse para los incidentes, responder a riesgos de seguridad y ser menossusceptible a interrupciones [ISO 27031,2011].

18


23/103

Describe los conceptos y principios de la preparacin de las tecnologas de lainformacin y las comunicaciones (TIC) para la continuidad del negocio, yproporciona un marco de mtodos y procesos para identificar y especificar todos los

aspectos (tales como los criterios de desempeo, diseo e implantacin) para lamejora de la preparacin de las TIC de una organizacin para garantizar lacontinuidad del negocio.

Se aplica a cualquier organizacin (privadas, gubernamentales y nogubernamentales, independientemente de su tamao) desarrollando su programade adecuacin de las TIC para la continuidad del negocio (ATCN, por sus siglas eningls), y exigiendo que sus servicios e infraestructura TIC estn listos para apoyar

las operaciones de negocios en el caso de nuevos eventos e incidentes, y lasinterrupciones relacionadas que puedan afectar la continuidad (incluida la seguridadde la informacin) de las funciones crticas del negocio. Tambin permite a unaorganizacin medir los parmetros de desempeo correlacionados con suContinuidad de Negocio de una manera consistente y reconocida.

El mbito de aplicacin de esta norma abarca todos los eventos e incidentes(incluidos los relacionados con la seguridad de la informacin) que podran tener unimpacto en la infraestructura de las TIC y en los sistemas. Incluye y extiende lasprcticas de manejo y gestin de incidentes de seguridad de la informacin y laplanificacin de la preparacin de las TIC y sus servicios).

La norma incorpora el enfoque cclico PDCA de la norma ISO 9000, extendiendo lacontinuidad convencional de procesos de negocio que plantean tener ms encuenta las TIC. Incorpora fracaso mtodos de evaluacin correspondientes a losescenarios como FMEA (Anlisis de Modo de Falla y Efectos), con nfasis en laidentificacin de sucesos desencadenantes que podran precipitar incidentesgraves.

ISO/IEC 27001 / 27002

Es la norma internacionalmente reconocida para la Gestin de Seguridad de laInformacin (ISO 27001) y su Cdigo de Prctica (ISO 27002), ambas contemplanla continuidad de negocio como un elemento clave dentro de la gestin de laseguridad de la informacin.

19


24/103

Tiene como fin, contrarrestar interrupciones en las actividades empresariales y enlos procesos crticos de negocio derivados de fallos importantes en los sistemasde informacin y garantizar su reanudacin.

Esta norma indica que crear un SGSI es vital para preservar la Continuidad delNegocio. En la siguiente tabla se muestra la relacin entre La gestin de Riesgosde la ISO27001 y la Gestin de Continuidad de Negocio de la ISO/IEC 22301.

ELEMENTO ISO 27001: Gestin de Riesgos ISO 22301: Gestin de

Continuidad de Negocio

Herramientao

Mtodo Anlisis de Riesgos (AR)

Anlisis de Impacto del Negocio

(BIA)

Claves Impacto y Probabilidad Impacto y Tiempo Tipos de

Incidente Todo tipo de eventualidades

(segmentadas)

Fallos crticos para el negocio (no

segmentadas)

Magnitud Toda, generalmente segmentada Incidentes estratgicos crticos para

el negocio.

Enfoque PREVENTIVO: Gestin de Riesgos

para los objetivos del negocio. CORRECTIVO: Gestin de Incidentes

Escenarios e

Intensidad Todos (segmentados )/Toda

El peor escenario(s)/Incidentes

sbitos Figur a 2.5: Matriz de Relacin ent re la ISO 27001 y la ISO 22301[BSI, 2012]

Adems en el captulo 14 de la ISO/IEC27002 se tratan los siguientes aspectos dela seguridad de informacin y de la gestin de la continuidad del negocio:

o Incluir la seguridad de la informacin y evaluacin de riesgos en elproceso de gestin de continuidad del negocio.

o Desarrollar e implementar los planes de continuidad incluyendo la seguridadde la Informacin.

o Marco referencial de la planeacin de la continuidad del negocio.o Prueba, mantenimiento y re-evaluacin de los planes de continuidad del

negocio.

COBIT

Objetivo de Control para la Informacin y la Tecnologa relacionada conocidocomo COBIT es una herramienta para la administracin de las tecnologas de

informacin. Desarrollada por ISACA como un estndar para la seguridad de la

20


25/103

tecnologa de informacin y buenas prcticas de control. Constituye un marcounificador internacionalmente aceptado como una buena prctica para la gestin, elcontrol de la informacin, de la tecnologa de informacin y de los riesgos queestas sufren . Esta ltima versin incorpora la ltima evolucin de pensar en la

gobernabilidad empresarial y tcnicas de gestin, y establece los principiosglobalmente aceptados, prcticas, herramientas y modelos analticos para ayudar aaumentar la confianza en, y el valor de los sistemas de informacin. Ademsincorpora la integracin de otros marcos importantes, normas y recursos,incluyendo Val IT 5 , Risk IT 6 , BMIS( Business ModelforInformation Security)7, ITAF (IT Assurance Framework)8 [ISACA9, 2012].

COBIT tambin est relacionado a la continuidad de negocios, en el proceso para

administracin de empresas de TI: DSS (Deliver, Service and Support), seconcentran los aspectos de administracin de la tecnologa de lainformacin. Cubre reas tales como la ejecucin de las aplicaciones dentro delsistema de TI y sus resultados, as como, los procesos de apoyo que permitan laejecucin eficaz y eficiente de estos sistemas de TI. Un proceso efectivo decontinuidad de servicios, minimiza la probabilidad y el impacto de interrupcionesmayores en los servicios de TI, sobre funciones y procesos claves del negocio[COBIT 5- DSS4, 2012].

Probar el plan de continuidad de TI de forma regular para asegurar que los

sistemas de TI pueden ser efectivamente recuperados, las deficiencias se aborden

y el plan sigue siendo pertinente. Esto requiere una preparacin cuidadosa,

documentacin, reporte de resultados de la prueba y, de acuerdo a los resultados,

la implementacin de un plan de accin. Considere el alcance de las pruebas de

recuperacin de aplicaciones individuales a escenarios de pruebas integrados a las

pruebas de extremo a extremo y pruebas vendedor integrada , [COBIT5- DSS4.5,2012].

5Es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos desoporte relativos a la evaluacin y seleccin de inversiones de negocios de TI [ISACA, 2012].

6Es un marco de referencia normativo basado en un conjunto de principios rectores para una gestin efectiva deriesgos de TI.[ISACA,2012].

7Es una aproximacin holstica y orientada al negocio para la administracin de la seguridad informtica.[ISACA,2012]

8Es un marco para el diseo, la ejecucin y reporte de auditoras de TI y de tareas de evaluacin de cumplimiento.[ISACA,2012]

9Organizacin lder en Auditoria de Sistemas y Seguridad de los Activos de Informacin.

21


26/103

Las organizaciones pueden beneficiarse en la utilizacin de este marco para elmanejo de continuidad de negocio, el cual les permitir tener enfoques coherentes ymensurables ante interrupciones no planificada de servicios de TI.

Principios de COBIT1. Satisfacer

lasnecesidadesde las partesinteresadas

2. Cubrir laOrganizacin

de formaintegral

5. Separar elGobierno de la

Administrac in Principios

Figura 2.6. Principios de COBIT 5 [ISACA, 2012]

1. Satisfacer las necesidades de las partes interesadas: Las organizacionesdeben considerar a todas las partes interesadas al tomar decisiones conrespecto a la evaluacin de riesgos, los beneficios y el manejo de recursos. Los objetivos en cascada de COBIT 5 traducen las necesidades de las partesinteresadas en metas especficas, accionables y personalizadas dentro delcontexto de la organizacin, de las metas relacionadas con TI y las metashabilitadoras.

Beneficios de los objetivos en Cascada:

o Permiten definir las prioridades para asegurar y mejorar el gobierno de TI,en base a los objetivos estratgicos de la organizacin y los riesgosrelacionados.

o Definen los objetivos y metas tangibles en diferentes niveles deresponsabilidad.

o Identifican y comunican qu importancia tienen los habilitadores para lograrsus metas.

3.Aplicarun solomarco

integrado

4. Habili tar

en eunfoqu

holistico

22


27/103

2. Cubrir la Organizacin de forma general: COBIT no slo se concentra en laFuncin de TI, sino que cubre las funciones y procesos de la organizacin.

3. Aplicar un solo marco integrado: Permite a la organizacin poder usarCOBIT como un nico integrador en el marco de gobierno y administracin.

4. Habilitar un enfoque holstico:Los habilitadores de COBIT son factores que individual o colectivamenteinfluyen sobre la TI corporativa.

Existen 7 categoras de los habilitadores en COBIT 5:

4. Cultura, ticay Comportamiento

3. Estructuras Organizacionales 2.

Procesos

1. Princi ios Polticas Marcos

6. Servicios,Infraestructura

A licaciones

7. Personas, Habilidades Com etencias

5. Informacin

RECURSOS

Figura 2.7. Habilitadores de COBIT 5 [ISACA, 2012]

5. Separar el Gobierno de la Gestin: El marco COBIT plasma una distincinentre Gobierno y Gestin. El Gobierno asegura que se evalen lasnecesidades de las partes interesadas para determinar los objetivoscorporativos acordados a lograr; fijando directivas al definir prioridades y tomardecisiones; as como monitorear el desempeo, cumplimiento y progresocomparndolos contra directivas y objetivos fijados (EDM).La Administracinplanifica, construye, ejecuta y monitorea las actividades conforme a lasdirectivas por el ente de Gobierno para lograr los objetivos de la Compaa.

NFPA 1600:2010

El NFPA10 1600 establece una base de normalizacin para el planeamiento yoperaciones de manejo de desastres/ emergencias al brindar elementos comunesdel programa, tcnicas, y procedimientos enfocados en su totalidad en el programa.

10

Organizacin encargada de crear y mantener las normas y requisitos mnimos para la prevencin contraincendio, capacitacin, instalacin y uso de medios de proteccin contra incendio.

23
http://es.wikipedia.org/wiki/Norma_Jur%C3%ADdicahttp://es.wikipedia.org/wiki/Norma_Jur%C3%ADdica


28/103

Esta norma establece los componentes importantes de un plan que permita a lasorganizaciones desarrollar un programa para satisfacer sus necesidadesparticulares.

Algunos de los elementos ms importantes mencionados son:

o Identificacin de peligros, evaluacin de riesgos y su mitigacin: Laevaluacin de riesgos debe cuantificar la probabilidad de incidentes y lagravedad de sus consecuencias. Se debe cuantificar el impacto que tendra undesastre en sus activos, as como las consecuencias financieras directas oindirectas. El anlisis del impacto debe cuantificar las emergencias potencialesde un riesgo, que permita evaluar el costo-beneficio por los esfuerzos de

investigacin y determinar cunto invertir en planes de mitigacin, respuesta yrecuperacin.

o Administ racin de recursos:Los recursos necesarios deben ser catalogadospara su recuperacin, y el acceso a stos debe disponerse con anterioridad.Cualquier limitacin debe ser identificada para que fallas puedan sercorregidas.

o Planificacin: Todas las organizaciones deben tener un plan que cumpla conel reglamento, este debe contar con estrategias de mitigacin a corto y largo

plazo, una lista de funciones crticas, en orden de prioridades, un anlisis deimpacto, un programa de respuesta y recuperacin total y un plan deevacuacin.

o Direccin, control y coordinacin: Toda organizacin debe contar con unsistema de administracin de incidentes (IMS) y procedimientos para el controlconstante de incidentes.

El NFPA 1600 es una norma que establece un conjunto comn de criterios para

mitigar, preparase, responder y recuperarse ante desastres y emergencias, ha sidoaprobada por el Instituto Americano Nacional de Normas y respaldado por laAsociacin de Manejo de Emergencias y la Asociacin internacional de Gerentes.

Conceptos directamente relacionados

BCM (Business Continuity Management)

La Gestin de la Continuidad del Negocio es un proceso holstico que identificaamenazas potenciales a la organizacin e impactos a las operaciones del negocio

24


29/103

que tales amenazas puedan causar en caso de materializarse; y proporciona laestructura para construir resilencia 11 con capacidad para dar respuesta efectivaprotegiendo los intereses de las partes interesadas, la reputacin, el valor de lamarca, la reputacin y las actividades12 creadoras de valor [ISO 22301:2012]

o Asignacin de responsabilidades : Un programa de BCM exitoso depende dela identificacin de roles y responsabilidades y autoridad claramente definidospara manejo del BCM y su proceso a travs de la organizacin.

El propsito de la asignacin de roles y responsabilidades es garantizar que elpersonal comprenda sus funciones y responsabilidades y asegurar que lastareas requeridas para y mantener el BCM estn asignadas a individuos

competentes cuyo desempeo pueda monitorizarse.o Mantenimiento de BCM en la organizacin: El mantenimiento del BCM

involucra la gestin de un nmero de proyectos relacionados y la coordinacinde las actividades que lo equilibra:

Sensibilizacin: Eventos que mantienen el entusiasmo para llevar acabo el BCM.

Planificacin: Desarrollo de planes para responder a los incidentesque pudieran no ocurrir.

Medidas de Mitigacin: Implementacin de medidas para mitigar elimpacto de un incidente que pueda ocurrir mientras el programa est siendodesarrollado.

Ejercicio: Ejercicios para practicar los planes de contingencia.

El propsito de este paso es asegurar que se mantiene un BCM sostenible enla organizacin. Al decir sostenible, es que se ha ganado el compromiso de laorganizacin y cuenta con estructura y procedimientos en sitio para asegurar

que est mantenido y mejorado y est disponible para el futuro previsible.

o Gestin del Proyecto: Cuando se compromete al mantenimiento del BCM enuna organizacin se deben adoptar las disciplinas de Gestin de Proyectos.Los mtodos seleccionados de Gestin de Proyectos deben ser adecuados altamao y complejidad de la organizacin.

11Habilidad de una organizacin para resistir al ser afectada por un incidente. 12

Proceso o conjunto de procesos realizados por una organizacin (o en su nombre) que produce o apoya uno oms productos o servicios [BCI 2012].

25


30/103

o Gestin continua de la Continuidad del Negocio: El BCM necesitagestionarse en un ciclo continuo de mejora para su eficacia. Esto involucra laparticipacin de varias reas gerenciales, operativas, administrativas y tcnicasque necesitan estar coordinadas.

o Documentacin del BCM: Una parte importante del BCM es la gestin de sudocumentacin, la cual necesita llevarse a cabo de una manera que seaconsistente y fcil de entender. El nivel y tipo de documentacin debe serapropiado al tipo y tamao de la organizacin.

Elementos del Ciclo de Vida del BCM

Lo conforman un conjunto de actividades de la Continuidad del Negocio que

colectivamente cubren todos los aspectos y fases del BCM, que se repite comoobjetivo general de mejorar la resilencia organizacional. Se divide en seis prcticasprofesionales:

Figura 2.8. Ciclo de Vida del BCM (Business Conti nuityInstit ute [BCI, 2013]

Prcticas de Gestin

1. Poltica y Gestin de ProgramasEs el inicio del ciclo de vida del BCM y se trata de la prctica profesional quedefine la poltica de la organizacin y la forma en que la poltica se llevar acabo, controladas y validadas a travs de un programa de BCM.

La poltica BC incluye: La definicin de BC para la organizacin y del mbito deaplicacin del BCM, asignar roles y responsabilidades de BC; un framework

para la gestin del BCM; un conjunto de principios, directrices y estndares

26


31/103

mnimos; una definicin clara de presupuesto, auditora y responsabilidades degobernanza.

2. Incorporacin de Continuidad de Negocio

Es la prctica profesional que continuamente busca integrar BC en lasactividades empresariales del da a da y la cultura organizacional. Estaactividad no es exclusiva de BC; otras disciplinas tambin deben incorporarseen la organizacin de una manera similar. Disciplinas como la Calidad, Salud ySeguridad, Servicios Ambientales, Seguridad y Gestin de Riesgos tiene retossimilares. As que la oportunidad de compartir experiencias y oportunidades deaprendizaje a travs de diversas disciplinas relacionadas es importante.

Prcticas Tcnicas

3. AnlisisEs la prctica profesional dentro del ciclo de vida de BCM que revisa y evalauna organizacin en trminos de cules son sus objetivos, su funcionamiento ylas limitaciones del entorno en el que opera.

La informacin recogida permite determinar la mejor manera de preparar unaorganizacin para ser capaz de manejar las interrupciones que de otro modopodran seriamente o fatalmente daarlo.La principal tcnica utilizada para el anlisis de una organizacin para lacontinuidad del negocio (BC) fines es el anlisis del impacto del negocio (BIA).A nivel estratgico, puede hacer preguntas a la Alta Direccin que se refieren ala misin de la organizacin, sus objetivos, los objetivos y las prioridades.Tambin se pueden utilizar los niveles tctico y operacional para profundizar eidentificar informacin ms detallada.

Esta prctica profesional cubrir la estimacin de los recursos, instalaciones yservicios externos que requerir cada actividad, tanto en la reanudacin yvolver a las operaciones normales. Dentro del programa de BCM, esta etapadebe centrarse en las amenazas inherentes a las actividades de negociosidentificados como ms urgentes en el BIA, en lugar de todas las amenazas ala organizacin.

4. Diseo

Es la prctica profesional dentro del ciclo de vida de BCM que identifica yselecciona las estrategias y tcticas para determinar la continuidad y

27


32/103

recuperacin de las prdidas que se lograrn.La informacin obtenida de laetapa de anlisis y decisiones tomadas en la etapa de Polticas y Gestin deProgramas se utilizan para disear soluciones en las siguientes tres reas:

Continuidad y estrategias de recuperacin y tcticasEl propsito de disear estrategias de recuperacin y tcticas es fijar plazospara la recuperacin e identificar los medios para que estos objetivos seanalcanzados. Esto puede llevarse a cabo en tres niveles de organizacin:

Estratgico - productos y servicios; Tctica - Infraestructura de proceso y; Operacional - actividades que ofrecen los productos y servicios.

A nivel tctico, el proceso consiste en la infraestructura de los servicios einstalaciones necesarias para ofrecer un producto o servicio. Es donde:

Las soluciones que harn planes viables en la prctica se han diseado y Las decisiones probablemente incurrirn en la mayora de los gastos.

El diseo de soluciones operativas puede requerir conocimientos tcnicos msall de las de un profesional. Asesoramiento tcnico que tenga que sersolicitada a expertos en otros campos.

Medidas de mitigacin de amenazasEl propsito de disearlases identificar y seleccionar las medidas preventivasque se pueden implementar para reducir la probabilidad y/o el impacto de lainterrupcin de las actividades de la organizacin, la mayora de tiempo crticoy urgente.

Estructura de respuesta a incidentesEl propsito de disear una estructura de respuesta a incidentes es asegurarque existe un mecanismo documentado y entendido por completo para

responder a un incidente que tiene el potencial de causar la interrupcin de laorganizacin, independientemente de su causa.

5. ImplementacinEs la prctica profesional dentro del ciclo de vida del BCM que ejecuta lasestrategias acordadas y tcticas a travs del proceso de elaboracin del Plande Continuidad de Negocios (BCP).

El objetivo es identificar y documentar las prioridades, procedimientos,responsabilidades y recursos para ayudar a la organizacin en la gestin de un

28


33/103

incidente perturbador, mientras que la aplicacin de estrategias de continuidady recuperacin a un nivel predeterminado de servicio.Los requisitos fundamentales para una respuesta eficaz por parte de laorganizacin son los siguientes:

La capacidad de reconocer y evaluar las amenazas existentes ypotenciales cuando se producen y para determinar una respuesta adecuada;

Un procedimiento claro y entendido por la activacin, la escalada y laestructura de respuesta a incidentes;

Contar con el personal responsable y la capacidad para poner en prcticalas estrategias de continuidad acordados (u objetivos) tal como se definen enlos planes de la organizacin

Seguir y recuperar las actividades interrumpidas;

La capacidad de comunicarse de manera efectiva con las partesinteresadas internas y externas.

Los resultados se pueden lograr por varios mtodos y tcnicas, y es importanteque sea adecuado para las necesidades de la organizacin.Las acciones descritas en los planes no estn destinadas a cubrir todas laseventualidades que, por su naturaleza, todos los incidentes son diferentes. Losprocedimientos pueden ser necesarios adaptar el evento especfico que se haproducido y las oportunidades que pueda haber creado.

6. ValidacinEs la prctica profesional dentro del ciclo de vida de BCM que confirma que elPrograma de BCM responde a los objetivos establecidos en la Poltica de BC yque el BCP de la organizacin es apto para el propsito.El objetivo de la validacin es garantizar que la capacidad BC refleja lanaturaleza, escala y complejidad de la organizacin que apoya y que es actual,

precisa y completa, y que se adopten medidas para mejorar continuamente laresilencia organizacional.La validacin se logra a travs de las siguientes tres actividades:

Hacer ejercicio:Un programa de ejercicio planificado es necesario para asegurar que todos losaspectos de la respuesta a un incidente que se han ejercido. En particular: todala informacin en los planes se verifica; todos los planes se ensayan, y todo el

personal pertinente (incluyendo diputados) se ejercen.

29


34/103

La capacidad de una organizacin no puede ser considerada fiable hastaque se haya ejercido. No importa lo bien diseado una estrategia BC o Plan deContinuidad de Negocios (BCP), parece ser, los ejercicios fuertes y realistasque identificar problemas y supuestos que requieren atencin.

Para tener xito un programa de ejercicio debe empezar sencillamente yescalar gradualmente en trminos de complejidad y desafo.

Mantenimiento:Mantiene acuerdos de la organizacin hasta la fecha, permite asegurar que laorganizacin est preparada para responder a gestionar eficazmente losincidentes, a pesar del cambio constante.

Una parte importante del ciclo de vida de BCM es la gestin de ladocumentacin, y el mantenimiento del programa de BCM se asegura de queesta documentacin se mantiene actualizada y que la documentacin actual yrelevante es distribuido a las partes interesadas pertinentes.

Revisar:El objetivo de revisar es evaluar el programa de BCM e identificar las mejorasque tanto la ejecucin de la organizacin del ciclo de vida del BCM y el nivel deresilencia organizacional.Hay cinco tipos bsicos de opinin:o Auditora (interna y externa) - un proceso formal de revisin que mide

programa BCM frente a un estndar acordado previamente;o Auto-evaluacin - una evaluacin del programa de BCM a s misma;o Garanta de calidad (QA) - un procedimiento que garantice que las

diferentes salidas del programa de BCM cumplen con los requisitos;o Evaluacin del Desempeo - una revisin de la actuacin de las personas

encargadas de las funciones y responsabilidades; yo Rendimiento Proveedor - un proveedor clave o una revisin del

desempeo de un proveedor de servicios de recuperacin.

Beneficios de un programa BCM eficiente:

Ser capaz de entender a la empresa, de los procesos y ayudar a mejorarlos Identificar los diversos eventos que podran impactar a la continuidad de las

operaciones y su impacto financiero, humano y de reputacin. Prevenir o minimizar las prdidas para el negocio en caso de desastre.

30


35/103

Clasificar los activos para priorizar su proteccin en caso de desastre. Evitar que los incidentes se conviertan en una verdadera crisis, ya que se

asegura una mnima interrupcin del flujo de trabajo. Implicar a los recursos humanos de la compaa en las actividades de

continuidad. Mejorar una reputacin corporativa y ventajas competitivas debido a la

demostrada capacidad de mantener la entrega de servicios.

Plan- Do- Check- Act (PDCA)

Es un modelo para la planificacin, establecimiento, implementacin, operacin,supervisin, revisin y mantenimiento de la mejora continua de la eficacia de un

BCMS de la organizacin.

Las fases del modelo Planificacin- Implementacin- Verificacin- Mantenimientoson:

Figura 2.9. Fases del modelo PDCA [BSI, 2012]

Plan (Establecer): Establecer la poltica, objetivos, controles, procesos yprocedimientos de continuidad de negocio con el fin de obtener resultados que sealinean con las polticas generales y los objetivos de la organizacin.Do (Implementar y Operar):Implementar y operar la poltica de la continuidad denegocios, controles proceso y procedimientos.

Check (Monitorear y Revisar):Monitorear y evaluar el desempeo de la polticade continuidad de negocio y los objetivos, informando de los resultados a la

31


36/103

gerencia para su revisin, y determinar y autorizar las acciones de remediacin ymejoramiento. Act (Mantener y Mejorar):Mantener y mejorar los BCMS mediante la adopcin demedidas correctivas, con base en los resultados de la revisin de la gestin y la

revalorizacin del alcance de las BCMS y la poltica y objetivo de continuidad denegocio.

BIA (Business ImpactAnalysis)

BIA es el proceso que consiste en analizar las funciones del negocio y el efecto queuna interrupcin del negocio pudiera causar sobre ellas. De acuerdo al BCIes elanlisis a nivel de gestin por el cual una organizacin evala los impactos

cuantitativos y cualitativos, los efectos y la prdida que podra resultar si se tuvieraque sufrir una emergencia, incidente o crisis. Los hallazgos de un BIA se utiliza para

tomar decisiones sobre la estrategia de Continuidad del Negocio y soluciones.

Un BIA ayuda a identificar lo que se perder si el negocio se interrumpe, lo quepodra costar la prdida de beneficios e ingresos, el deterioro de las relaciones conlos clientes, prdida de reputacin. Tambin es un proceso clave para entendercunto de una interrupcin cada proceso o tarea puede tolerar antes de que el dao

sea irremediable y de cuales recursos (personas, mquinas, documentos u otrosprocesos) depende la empresa.

Los propsitos de un BIA para cada actividad, producto o servicio son:

Documentar los impactos en tiempo que se derivarn de su prdida ointerrupcin.

Identificar el Mximo Periodo Tolerable de Interrupcin (MTPD).

Identificar las dependencias tanto internas como externas que son necesarias

para que la actividad funcione de forma eficaz.

BIA es la base para la toma de decisiones y la planificacin estratgica derecuperacin en la cual la estructura de gestin de la continuidad reside y es sinduda uno de los resultados ms importantes y fundamentales del ciclo de vida de lacontinuidad del negocio. Es a travs del BIA que las necesidades de la organizacinen respuesta a un desastre pueden ser adecuadamente evaluadas y priorizadas.

Business Continuity Plan (BCP)

32


37/103

El plan de continuidad de negocios es un conjunto de procedimientosdocumentados e informacin que ha sido desarrollada, recopilada y mantenida adisposicin para su uso durante un incidente, para permitir a la organizacin

continua con la entrega de sus actividades ms importantes y urgentes a un nivelaceptable predefinido. El plan de continuidad de negocios se actualiza y mantienea travs del proceso de BCM que se defini anteriormente. Este reducir el nmeroy la magnitud de las decisiones que se toman durante un perodo en que los errorespueden resultar mayores. El Plan establecer, organizar y documentar losriesgos, responsabilidades, polticas y procedimientos, acuerdos con entidadesinternas y externas.

Un claro ejemplo de la ausencia de un plan de continuidad de negocios es cuandose malogra el disco duro de una computadora, en realidad no cuesta nadarepararlo, pero el dao y el impacto que puede causar es inmensurable si es que nohay ningn plan de mitigacin ante su prdida (mitigacin podra ser alguna formade copia de seguridad, por ejemplo).

Como menciona Hotchkiss [2010, p. 26.]. Eventos 13de pequeo impacto tambinpueden causar dao en trminos de tiempo de reparacin , como en el ejemploantes mencionado, una pequea deficiencia puede causar un impacto bastantelimitado en negocio, pero puede llegar a costar un montn de dinero para reparardebido a la falta de planificacin. Esto significa que se debe tener en cuenta elimpacto y el dao, as como el costo de recuperacin llegar a una idea razonabledel costo de no tener un plan de continuidad.

Los elementos claves de un BCP son:

Respuesta a la emergencia: Respuesta inmediata a una emergencia. Por

ejemplo un Plan de Evacuacin. Gestin del Incidente: La gestin de Respuesta al incidente como por

ejemplo un Plan de Continuidad en Crisis. Continuidad: La repuesta inicial del negocio para asegurar que las actividades

esenciales pueden continuar operando a un nivel mnimo aceptable. Recuperacin: Un plan para recuperar actividades a un nivel sostenible. Reanudacin: Un plan para reanudar las operaciones de la organizacin.

13Algo que ocurre - por ejemplo, un incendio en un edificio. Es de inters principalmente por sus consecuencias.

33


38/103

Un Plan de Continuidad de Negocio (BCP) est formado por los siguientes planes:Plan de Emergencia , Plan de Comunicacin de Crisis, Plan de Gestin de Crisis yPlan de Recuperacin de Desastres

DisasterRecovery Plan (DRP)

Es un proceso documentado o conjunto de procedimientos o acciones pararecuperar y proteger la infraestructura de TI de una organizacin en caso de undesastre . Refirindose con desastre a todo evento sbito, imprevisto catastrficoque interrumpe los procesos de negocio lo suficiente como para poner en peligro laviabilidad de la organizacin .Un desastre podra ser el resultado de un daoimportante a una parte de las operaciones, la prdida total de una instalacin, o laincapacidad de los empleados para acceder a esa instalacin.EL DRP es "unadeclaracin exhaustiva de acciones coherentes que deben tomarse antes, durante ydespus de un desastre". [Geoffrey, 2012]

El Plan de Recuperacin de Desastres tiene como objetivo proporcionar un marcopara la reconstruccin de las operaciones vitales de la organizacin, para garantizarla seguridad de los empleados y la reanudacin de las operaciones sensibles atiempo y los servicios en caso de una emergencia.

El DRP incluye la planeacin de pasos para evitar riesgos y mitigarlos, DRP esaplicable en todos los aspectos de un negocio, sin embargo se utiliza normalmenteen el contexto de operaciones para el procesamiento de datos.

Beneficios de un Plan de Recuperacin ante un desastre: Permite a la organizacin evitar riesgos de retrasos o mitigar el impacto de

estos al: minimizar potenciales perdidas econmicas y; decrementar la

exposicin a escenarios de desastre; Reducir la probabilidad de que ocurran al mejorar la capacidad de recuperar

las operaciones normales del negocio. Reducir las interrupciones de la operacin. Provee un procedimiento pre- planificado minimizando el tiempo de toma de

decisiones en caso de desastre. Elimina la confusin y reduce la probabilidad de error humano debido al

estrs que produce una crisis.

Protege los activos de la organizacin incluyendo al recurso humano.

34
http://en.wikipedia.org/wiki/Disasterhttp://en.wikipedia.org/wiki/Disaster


39/103

Instituciones

BCI (Business ContinuityInstitute)

El BCI fue establecido en 1994 para permitir a los miembros obtener orientacin yapoyo de los compaeros practicantes de continuidad del negocio.

El rol ms amplio de la BCI es promover los ms altos estndares de competenciaprofesional y tica comercial en la provisin y mantenimiento de la planificacin dela continuidad del negocio y Servicios.

Los objetivos principales del BCI consiste en: Establecer, mantener y promover altos estndares para la prctica tica de

BCM, incluyendo entrega de bienes y servicios Establecer y fomentar una educacin de calidad y el desarrollo personal de

los practicantes de todos los niveles Para iniciar, desarrollar, evaluar y comunicar el pensamiento BCM,

estndares y buenas prcticas Para influir en los responsables polticos, lderes de opinin y otros grupos

de inters en todo el mundo en el tema de BCM.

DRI International (Disaster Recovery Institute)

DRI International es una organizacin sin fines de lucro fundada en 1988 como elInstituto de Recuperacin de Desastres para lograr que profesionales de diversasindustrias y sectores empresariales entiendan los principios de continuidad denegocio y mantengan su nivel de conocimiento a travs de una educacin continua.

DRI Internacional tiene como objetivo promover base de conocimiento para la

continuidad del negocio y la recuperacin de desastres. Esto lo logran a travs de laeducacin, la asistencia y la publicacin de labase de recursos estndar. Por otrolado, administra los principales programas de certificacin para las personascomprometidas en la prctica y gestin de continuidad de negocios.

Sus objetivos son:o Promover una base comn de gestin de la continuidad de la profesin.o Promover la credibilidad y la profesionalidad de las personas certificadas.o Lograr que los certificados tengan claro el tema de recuperacin de desastres.

35


40/103

NIST (National Institute of Standards and Technology)

El Instituto Nacional de Estndares y Tecnologa (NIST) es un organismo federalno regulador que forma parte de la Administracin de Tecnologa del Departamento

de Comercio de los EE.UU. cuyos objetivos son elaborar y promover patrones demedicin, normas y tecnologa. Tiene una relacin con la continuidad de negociosya que, en su publicacin 800-34 (ContingencyPlanning Guidefor InformationTechnology Systems) de su serie 800 [NIST, 2010], desarrolla unagua de planes de contingencia de los sistemas de informacin de cualquierempresa.

BSI (British StandardsInstitution)

Es una institucin independiente y global, la cual se basa en la creacin de normaspara lograr la estandarizacin de procesos, mejorar las prcticas de gestin ypromover la innovacin, proporciona soluciones basadas en estndares en ms de150 pases. Es un organismo colaborador de ISO y proveedor de dichas normas.

BSI ayuda a las empresas, gobiernos y organizaciones de todo el mundo aaumentar la calidad y el rendimiento de una forma sostenible y socialmente

responsable. BSI Group es reconocido a nivel mundial por la publicacin de BS25999 y la certificacin como lder y proveedor de formacin en este campo.En la actualidad, BSI apoya el despliegue de las nuevas Normas Internacionalesde Continuidad de Negocio - ISO 22301 e ISO 22313.

Entre sus actividades principales se incluyen: Certificar sistemas de gestin y productos. Desarrollar normas nacionales e internacionales.

Proporcionar formacin e informacin sobre normas y comercio internacional. Realizar auditoras a las organizaciones.

2.1.3 Marco regulatorio / legal

NTP 27001:2008

Norma Tcnica Peruana de Seguridad de Informacin es una norma elaborada porel Comit Tcnico de Normalizacin de codificacin e Intercambio Electrnico deDatos (EDI) en el ao 2008, utilizando como antecedente las ISO/IEC 27001:2005.

36


41/103

La NTP 27001:2008 [INDECOPI, 2009], tiene como objetivos proporcionar unmodelo para establecer, implementar, operar, monitorear, mantener y mejorar unefectivo Sistema de Gestin de Seguridad de Informacin como una buena prctica

de la gestin de la seguridad.

Cabe mencionar que se har mayor nfasis en lo relacionado de esta norma a lacontinuidad de negocios.Comprende de 11 tems de control de seguridad queenvuelven un total de 39 categoras principales, los cuales se muestran acontinuacin, enfatizando en el tem de continuidad:

1. Poltica de seguridad

2. Seguridad Organizacional3. Gestin de Activos4. Seguridad en Recursos Humanos5. Seguridad fsica y del entorno6. Gestin de comunicaciones y operaciones7. Control de accesos8. Adquisicin, desarrollo y mantenimiento de sistemas de informacin9. Gestin de incidentes en la Seguridad de Informacin

10. Gestin de continuidad del negocioAspectos de la gestin de continuidad del negocio: Reaccionar ante lasinterrupciones a las actividades del negocio y proteger los procesos crticos delnegocio de los efectos de fallas mayores o desastres en los activos y asegurarla reanudacin oportuna.

Este tem en particular menciona que las formas de lograr una buena continuidadde negocio son:

Incluyendo la seguridad de informacin en la gestin de la continuidad delnegocio, para ello se deben establecer procedimientos y responsabilidades degestin con el fin de asegurar una respuesta efectiva ante cualquier tipo deincidente.

Relacionando la continuidad de negocios con la evaluacin de riesgos, paraello deben ser identificadas las amenazas que pueden causar interrupciones,as como las probabilidades e impacto de dichas interrupciones.

Desarrollando e implementando planes de continuidad que incluyan la

seguridad de informacin

37


42/103

Contando con un marco de planificacin de la continuidad del negocio, con elfin de asegurar consistencia e identificar prioridades de prueba ymantenimiento.

Probando, manteniendo y reevaluando los planes de continuidad del negocio,

con el fin de asegurar que estn actualizados y sean efectivos.

11. Cumplimiento

Basilea II Comit de Supervisin Bancaria de Basilea

Se proponen medidas para proteger a las entidades financieras frente a losriesgos financieros y operacionales. Entre las medidas para alcanzar estos

niveles de proteccin se encuentran el desarrollo de planes de continuidad yrecuperacin.La actual regulacin de la SBS para la gestin de riesgo operacional, se ajusta alos lineamientos de Basilea II, e incluye exigencias de continuidad de negocios.

Sarbanes OxleyAct (SOX)

Creada en el 2002 de la voluntad de controlar las empresas que cotizan en la bolsa

de Nueva York y sus filiales, para evitar que los procesos con transaccioneseconmicas pudieran ser alterados de forma fraudulenta. Establece requerimientosde seguridad relacionados con la continuidad del negocio (los artculos 302, 404y 409 afectan a la continuidad de negocio). Hace varios aos que la SOX traspaslas fronteras y actualmente existen versiones de la misma en Japn (llamada J-SOX) o en la Unin Europea (llamada EuroSOX).

2.2 Estado del Arte

En la actualidad, son pocas las empresas alrededor del mundo que se hancertificado con la ISO 22301 y existen en el mercado algunas herramientas quecontribuyen con la realizacin de algunos de los tems que son parte de un SGCN,como el Anlisis de Impacto de Negocio (BIA), el Plan de Continuidad de Negocios(BCP) y el Plan de Recuperacin de Desastres (DRP). A continuacin, sepresentarn algunos de los ejemplos ms relevantes, que de acuerdo al criterio delautor, aportan parte de la solucin del problema planteado.

38


43/103

2.2.1 Formas exactas de resolver el problema

BANKINTER

Es una entidad financiera espaola reconocida por su alto desarrollo tecnolgico.Bankinter ha sido pionero en Espaa en la puesta en marcha de sistemas de bancaa distancia complementarios a la tradicional red de oficinas, como el telfono,Internet o, ahora, el mvil, lo que le ha llevado a ofrecer una diversidad deposibilidades de relacin y comercializacin de productos desde una estrategiamulticanal perfectamente integrada. Actualmente reconocida por su concientizacinsobre la importancia de un SGCN para identificar las amenazas potenciales sobrela organizacin y el impacto que supondran tales amenazas en las operaciones de

negocio en caso de materializarse.

BankInter ha sido la primera entidad del sector financiero a nivel mundial enobtener la nueva certificacin de la norma ISO/IEC 22301 emitida por el BSIGroup.Han enfatizado en ampliar el anlisis de impacto al negocio, la gestin delos riesgos y el cumplimiento con los requisitos legales, regulatorios y de partesinteresadas. La gestin de la crisis y las comunicaciones necesarias, han maduradoy los requisitos de la nueva norma lo que hace que las situaciones que supongan

una amenaza para la seguridad fsica de las personas o para la disponibilidad delos procesos crticos sean gestionadas de una forma muy eficaz .

BankInter es un ejemplo de un buen manejo de un SGCN y est preparada paracualquier incidente o desastre.Un ltimo estudio desarrollado en Febrero del 2012por la IDC a organizaciones espaolas revel que el 71,3% de los encuestados usaun SGCN y el 29,2% asegura estar certificados bajo la norma BS- 25999, mientras,en realidad, tan slo el 0,99% de dichas empresas est certificado[IDC, 2012].

2.2.2 Productos comerciales para continuidad de negocios

LDRPS (Living Disaster Recovery Planning System)

En un software de planificacin para la continuidad, creado por la compaaSistemas StrohlGroup, el cual fue adquirido por el actual proveedorSunGardAvailabilityServices14, este software proporciona una flexibilidad esencial

14

Segmento de negocio de SunGard Data Systems Inc. que proporciona recuperacin de desastres , servicios enla nube , servicios gestionados , consultora ITy de continuidad del negocio de gestin de servicios.

39
http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Continuidad-de-Negocio-BS25999/http://en.wikipedia.org/wiki/SunGard_Data_Systemshttp://en.wikipedia.org/wiki/Disaster_recoveryhttp://en.wikipedia.org/wiki/Cloud_serviceshttp://en.wikipedia.org/wiki/Cloud_serviceshttp://en.wikipedia.org/wiki/Managed_serviceshttp://en.wikipedia.org/wiki/IT_consultinghttp://en.wikipedia.org/wiki/Business_continuity_managementhttp://en.wikipedia.org/wiki/Business_continuity_managementhttp://en.wikipedia.org/wiki/IT_consultinghttp://en.wikipedia.org/wiki/Managed_serviceshttp://en.wikipedia.org/wiki/Cloud_serviceshttp://en.wikipedia.org/wiki/Cloud_serviceshttp://en.wikipedia.org/wiki/Disaster_recoveryhttp://en.wikipedia.org/wiki/SunGard_Data_Systemshttp://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/estandares-esquemas/Continuidad-de-Negocio-BS25999/


44/103


45/103

o Mapa de Dependencias: Proporciona una interfaz grfica que permiteidentificar fcilmente las dependencias dentro del plan, y de toda laorganizacin.

Este software puede integrarse con BIA Professional, un software que ayuda arecopilar la informacin que se necesita para identificar las unidades y procesoscrticos del negocio, el impacto de las interrupciones en el tiempo, y el equiponecesario para recuperarse. Este software permite ahorrar tiempo y asegurarconsistencia de datos a travs de todo el programa.Algunas caractersticas de BIAProfessional son:

Preguntas correctas: Con ms de 55 preguntas diseadas por expertos,

plantillas estandarizadas que se pueden utilizar como estn o personalizarlas. Control inteligente de la encuesta: Cuenta con guas de estudio para

responder slo preguntas que son relevantes, proporciona informacionnecesaria para garantizar la integridad de los resultados.

Anlisis y presentacin de datos simplificada: La funcionalidad de informesde BIA Profesional simplifica el anlisis y la presentacin de los resultados dela encuesta. Los usuarios tienen ms de 150 informes estndares paraanalizar los datos desde mltiples ngulos, o pueden crear informes

personalizados para profundizar en las respuestas especficas.

A continuacin se muestra algunas funcionalidades del software LDRPS:

Figura 2.10. LDRPS Software [SunGard Availabil ity Services, 2012]

41


46/103

BC- 3 Intelligent Business Continuity

Es un software web creado por la compaa australiana RISKLOGIC15, que apoya alas organizaciones a gestionar de forma efectiva sus actividades de continuidad de

negocio. Es ideal para organizaciones financieras o de amplio alcance. Permiteconstruir algunos documentos que forman parte de un SGCN como son: el BIA,evaluaciones de amenazas, estrategias y planes de cumplimiento, informes deauditora y el programa de ejercicios.Algunas caractersticas del software son:

Accesibil idad: Asegura que la informacin crtica est disponible en Internet. Capacidad de utilizacin: Intuitivo, interfaz fcil de usar para los usuarios,

los aprobadores y administradores.

Flexibilidad: Adaptable y diseado para satisfacer necesidades especficas. Integracin: Se integra con las tecnologas existentes y los sistemas

internos, incluidas las herramientas de notificacin de crisis.

Control: visibilidad y gestin del programa a travs de su organizacin. End-to-end: Escalable, es decir un mismo diseo para todas las ventanas de

los requisitos de su programa de continuidad de negocio. Automatizacin:De programas de auditora, mantenimiento y conformidad.

Business Catalyst Software

Es un software web empresarial creado por AvalutionConsulting16 para el manejode continuidad de negocio.Las caractersticas que incluye el software son:

o Poltica y Procedimiento: Permite documentar polticas de continuidad delnegocio de forma rpida mediante las plantillas proporcionadas.

o Business ImpactAnalysis: Permite identificar principales dependencias de las

reas de la organizacin, incluidas las instalaciones, aplicaciones, proveedores.Adems permite la cartografa visual de cada rea.

o Hacer ejercicio, y Gestin de Programas General: Proporciona un panelpara revisar el progreso del programa (comentarios o mejora del plan BIA).

15Es una de las principales empresas de consultora australiana enfocada en la creacin de resilenciaorganizacional para el negocio, gobierno, adems provee software para facilitar el proceso de gestin decontinuidad de negocios. [RISKLOGIC, 2012].

16Es un negocio que se especial

CASTRO_LAURA_DISEÑO_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_NORMA_ISO_IEC_22301

Documents

Transcript of CASTRO_LAURA_DISEÑO_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_NORMA_ISO_IEC_22301