Planteamiento del problema - .NET Framework

1

1.1 DEFINICION DEL PROBLEMA

Hoy en día muchas empresas carecen de un plan de contingencia que le

asegure la continuidad de su negocio a la hora de enfrentarse a una

catástrofe o cualquier eventualidad inesperada, por tal motivo se ha decidido

analizar y evaluar cada una de las actividades que se realizan en la empresa

para implementar un plan de continuidad de negocio que le permita subsistir

ante cualquier acontecimiento que afecte de manera drástica sus

operaciones.

La falta de información en los momentos críticos, las interrupciones continuas

de la energía eléctrica y la amenaza de fenómenos naturales son las

principales causas potenciales que pueden llegar a interrumpir el negocio de

esta empresa de representaciones. Esta empresa se dedica a la

representación de casas extranjera (Estados Unidos, Europa, Centro América

y el Caribe), la cual no posee un plan de continuidad de negocio y carece de

un personal debidamente capacitado en el área de la seguridad de los

sistemas de información y a la vez posee un conocimiento limitado en cuanto

a la real importancia que se le debe dar a las informaciones que posee la

empresa.

La realidad es que la empresa puede sufrir un incidente que afecte su

continuidad y dependiendo de la forma en que se gestiones dicho incidente,

las consecuencias pueden ser graves.

2

La íntima dependencia que existe entre el negocio y los sistemas de

información exige que éstos estén preparados para afrontar las múltiples

amenazas que ponen en riesgo su operatividad y, en consecuencia, la

continuidad del negocio. A este respecto, el mercado siempre cuenta con un

promedio de fallos en copias de seguridad y en restauración de archivos.

Muchos departamentos de TI en diversas empresas reconocen que no están

seguros de ser capaces de recuperar todos los datos críticos del negocio, ni

de poder realizarlo en un periodo de tiempo aceptable, sin tener que afectar

los compromisos previamente pautados con el cliente. Por otro lado, las

compañías que enfrentan fallos en la seguridad de su sistema, pueden llegar

a perder la confianza que los clientes tienen en su empresa. Entre los

ejemplos que pudiéramos citar, ante la falta de un plan de continuidad de

negocio están los ataques de denegación de servicios, robos de identidad y

de números de tarjeta de crédito, que pueden perjudicar seriamente la

imagen de su negocio.

La reputación de la marca puede verse comprometida y empañada por un

fallo de seguridad. La pérdida de información financiera confidencial de un

cliente es un claro ejemplo de ello. La falta de prevención y protección de los

activos (información, equipamiento, conocimiento y sistemas) pueden llegar a

ocasionar incluso hasta la desintegración de la empresa.

3

“Un Plan de Continuidad de Negocios es el resultado de la aplicación de una

metodología interdisciplinaria, llamada Cultura BCM, usada para crear y

validar planes logísticos para la práctica de cómo una organización debe

recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas

dentro de un tiempo predeterminado después de una interrupción. ” 1

“La continuidad del negocio es la principal preocupación de los consejeros

delegados de las compañías. Esto implica la realización de estudios de

mercado para analizar la forma de incrementar sus ventas, llegando a

cambios estructurales en la compañía para adaptarse a los cambios del

entorno y a la regulación y normativa nacional e internacional. Para ese fin

destinan parte de sus presupuestos y recursos.”2

Finalmente es de suma importancia que las empresas le den prioridad a sus

planes de continuidad, ya que por lo general nunca estamos preparados para

esos factores externos, que en un momento dado le pueda cambiar el rumbo

a una organización hasta tal punto de hacerla desaparecer del mercado, pero

un buen plan de recuperación le puede evitar tal situación.

1 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de Santos, S.A. , Año 2006. 2 http://www.borrmart.es/articulo_redseguridad.php?id=564&numero=18

http://www.borrmart.es/articulo_redseguridad.php?id=564&numero=18

4

Para analizar el impacto de un Plan de Continuidad de Negocios en una

Empresa de Representación, daremos respuestas a la siguiente incógnita

general:

✓ ¿Cuál es el impacto que produce un Plan de Continuidad de Negocios en

una empresa de representación, frente a incidentes o situaciones

inesperadas que afecten la seguridad de la empresa y su sistema de

información?

Por otro lado, puntualizaremos los detalles más específicos de este plan

desglosando las siguientes incógnitas específicas:

✓ ¿Cuáles son las causas potenciales que amenazan la organización?

✓ ¿Cuáles son los riesgos, responsabilidades, políticas y procedimientos

que estén de acuerdo con las entidades internas y externas de la

empresa?

✓ ¿Cuáles operaciones del negocio son críticas para poder continuar el

funcionamiento de la empresa después de un incidente no planificado?

✓ ¿Qué tiempo crítico de recuperación enfrenta la empresa frente a un

desastre natural, sin comprometer la funcionalidad del negocio?

5

1.2 OBJETIVOS DE LA INVESTIGACIÓN

Este análisis está basado en los siguientes objetivos generales y específicos:

Objetivo General:

• Analizar el impacto de un Plan de Continuidad de Negocios en una

empresa de representación, frente a incidentes o situaciones

inesperadas que afecten la seguridad de la empresa y su sistema de

información.

Objetivos Específicos:

• Analizar las causas potenciales que amenazan la organización.

• Documentar los riesgos, responsabilidades, políticas y procedimientos

que estén de acuerdo con las entidades internas y externas de la

empresa.

• Identificar las operaciones de negocio críticas para poder continuar el

funcionamiento de la empresa después de un incidente no planificado.

• Determinar el tiempo crítico de recuperación de la empresa frente a un

desastre natural, sin comprometer la funcionalidad del negocio.

6

1.3 JUSTIFICACIÓN

Actualmente las empresas en nuestro país se ven amenazadas por distintos

fenómenos o situaciones adversas, que atentan contra la seguridad de la

empresa. Durante los últimos años, se ha sembrado un estado de

preocupación en las compañías y en los directivos de las mismas, al

enfrentarse a tormentas, ciclones, robos, cortos circuitos, entre otros

inconvenientes.

Por esta razón, es una necesidad imperante implicar a la dirección general y

a todas las direcciones del negocio para asegurar la efectividad de un plan de

continuidad de negocios que tenga la capacidad para restablecer la

infraestructura tecnológica de la organización en caso de un conflicto severo.

Frecuentemente los administradores o responsables de los sistemas de

cómputo empiezan a tomar en cuenta la seguridad de su sistema después de

haber sido objeto de un ataque, dando como resultado la pérdida de

información, horas de trabajo e incluso de dinero.

La seguridad en el trabajo es uno de los factores más importantes y por ende,

contar con un Plan de Continuidad de Negocios les garantiza crecimiento de

su productividad.

7

De esta manera, el presente análisis pretende crear conciencia en nuestra

empresa objeto de estudio sobre la necesidad de contar con este plan, como

una alternativa de seguridad necesaria que disminuya cualquier tipo de

interrupción en el funcionamiento diario de la misma. Cada empresa debe

contar con trabajadores preparados para actuar oportunamente en

eventualidades que se presenten en sus centros de trabajo, tales como

inundaciones, sismos, sabotaje computacional, etc.

Además, deben contar con un programa de capacitación sobre seguridad y

protección, para que cualquier trabajador sepa que hacer en caso de

emergencia. Constantemente se experimentan situaciones de emergencia,

directa o indirectamente, las cuales se manifiestan en respuestas equívocas

ocasionadas por el temor, miedo o un extremoso pánico aterrador.

El establecimiento de procedimientos y medidas de seguridad están

destinados a salvaguardar la unidad administrativa, la estructura física del

centro de cómputo, al personal, sus procedimientos operacionales, la

información y documentación generada contra cualquier evento natural o

humano que de forma intencional o por accidente puedan afectarlos.

8

“Un buen Plan de Continuidad de Negocios minimizará la pérdida financiera

de la compañía, permitirá continuar con el servicio a los clientes y mitigará los

efectos que pueden producirse en los planes estratégicos, la reputación, las

operaciones y el mercado donde está situada la compañía”.3

“La participación de toda la compañía es crucial para el éxito del desarrollo y

ejecución del plan. La dirección general es el primer responsable del

desarrollo del mismo y debe garantizar los activos de la compañía y la

viabilidad de la organización”.4

II. MARCO TEORICO

2.1 INCIDENTES Y RIESGOS QUE ENFRENTAN LAS EMPRESAS

A la velocidad con la que operan los negocios actuales un incidente de unas

pocas horas de duración puede tener un impacto catastrófico en los

resultados y en la imagen de la organización que lo sufra. La íntima

dependencia que existe entre el negocio y los sistemas de información exige

que éstos estén preparados para afrontar las múltiples amenazas que ponen

en riesgo su operatividad y, en consecuencia, la continuidad del negocio.

3 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año

2006, Pág. 11 4 Ibid, Pág 12

9

“Eventos como la irrupción de un virus o la instalación de un parche de

seguridad pueden conducir a la in operabilidad temporal de los sistemas, la

pérdida de información crítica o, en última instancia, la inutilización de las

infraestructuras.

No sólo las catástrofes ambientales, tales como incendios o

inundaciones, pueden causar daños adversos a una organización.”5 Otros

tipos de incidentes, como los que se detallan a continuación, pueden tener

impactos adversos para una compañía:

Incidentes serios de seguridad en los sistemas, como delitos

cibernéticos, pérdida de información, robo de información sensible o su

distribución accidental, fallos en los sistemas TI, errores de

operación en los sistemas, etc.

Daños en las infraestructuras o en los servicios, fallos en el

suministro eléctrico, fallos en el suministro de agua, fallos en las

comunicaciones, huelgas en los servicios de limpieza.

Fallos en los equipos o en los sistemas, incluyendo fallos en las

fuentes de alimentación, en los equipos de refrigeración.


2006, Pág. 20

10

Daños deliberados como actos de terrorismo o de sabotaje, guerras,

robos, huelgas, etc.

“Los accidentes afectan de forma diferente a cada organización, dependiendo

de su tamaño y de su área de actividad, no siendo el tamaño una

característica fundamental; las pequeñas y medianas organizaciones también

pueden verse seriamente afectadas. Las consecuencias de estos accidentes

sobre las organizaciones que no tienen un plan de continuidad de negocio

pueden llegar a ocasionar incluso el cierre de las mismas.”6

A pesar de que los efectos inmediatos de un desastre aparentemente son la

pérdida de beneficios por la parada de actividad puntual y la incapacidad para

proveer servicios críticos, no son éstos los efectos más perniciosos que un

incidente de este tipo provoca.

Otros efectos derivados que pueden causar un gran impacto en la compañía

son la pérdida de reputación de cara a los clientes, o la pérdida de

ventaja competitiva con otras compañías.


2006, Pág. 22

11

2.2 RIESGOS DE LOS SISTEMAS DE INFORMACIÓN

Los sistemas de información enfrentan riesgos, tales como: desastres

naturales, vandalismos, robo de información, alteración y destrucción de

datos, virus de computadora y otro tipo de accidentes. Una empresa llamada

Safeware, The Insurance Agency, Inc. estima que, de acuerdo con los casos

reportados, las pérdidas relacionadas con computadoras de escritorio y

portátiles aumentaron de 1,300 millones de dólares en 1992 a 2,000 millones

de dólares en 1993. Más de la mitad de ellas se atribuyen a daños y

sobrecargas de energía.7

El robo sigue siendo la principal causa de perjuicio financiero, pero también

los desastres naturales son el origen de pérdidas cuantiosas.

2.2.1 Riesgos para el Hardware

Entre los riesgos que corre el hardware se incluyen daño físico a

computadoras, equipo periférico y medios de comunicación. Las principales

causas de dicho daño son los desastres naturales, los apagones e

interrupciones en la corriente eléctrica y el vandalismo.

7 Oz, Effy; “Administración de Sistemas de Información”, Segunda Edición

12

a) Desastres Naturales. Los desastres naturales que representan un riesgo

para los SI son los incendios, inundaciones, terremotos, tornados y rayos,

que pueden destruir hardware, software o ambos, causando la parálisis total

o parcial de sistemas o líneas de comunicación.

El agua de las inundaciones provoca cortocircuitos. Obviamente, todos los

datos y programas almacenados en los chips de memoria de una

computadora se pierden cuando esto sucede. El agua de las inundaciones y

el calor creado cuando los circuitos se sobrecargan también pueden

estropear la superficie de los medios de almacenamiento, como discos y

cintas magnéticas, destruyendo así los datos.

Por su parte, la fauna y algunos errores humanos pueden destruir líneas de

comunicación; hay animales que roen los cables, y en ocasiones, los

granjeros cortan los cables por accidente mientras cuidan sus cultivos8.

La manera más fácil de protegerse contra la pérdida de datos por desastres

naturales (aunque no sólo por éstos) es duplicar automáticamente todos los

datos de manera periódica y guardar esa copia en un lugar lejos de la oficina,

como se explicará más adelante.


13

En lo que se refiere al daño natural, los medios de comunicación se

encuentran entre las partes más vulnerables de un sistema, porque se

encuentran fuera del ámbito de operación de una organización.

Aunque aumentan bastante el costo del hardware de comunicaciones, puede

utilizar gruesos recubrimientos de plástico para proteger los cables y

alambres de dicho equipo.

b) Apagones y Bajos Voltajes. Las computadoras funcionan con

electricidad. Si el flujo de energía eléctrica se interrumpe, la computadora y

sus dispositivos periféricos no pueden funcionar, y esta variación en el

suministro puede tener efectos muy dañinos en la computadora y al

almacenamiento de información.

Durante los apagones, como se sabe, se interrumpe por completo el flujo de

energía eléctrica. En las bajas de voltaje, disminuye o hay cortes muy breves

en el flujo de energía. Una falla en el suministro no sólo puede trastornar las

operaciones, sino también causar daños irreparables al hardware. Las

sobrecargas de voltaje son igualmente lesivas, porque su impacto sobre el

equipo es similar al de los rayos.

14

c) Vandalismo. A veces las personas destruyen de manera deliberada los

sistemas de computadora. Los clientes molestos pueden dañar cajeros

automáticos, o los empleados resentidos pueden destruir equipo de cómputo

por temor a perder sus trabajos, o sólo para vengarse de sus superiores. Es

difícil proteger a las computadoras contra el vandalismo. A menudo los

cajeros automáticos y otro equipo accesible al público están protegidos en

gabinetes de metal, pero alguien persistente puede causar daños graves. En

el lugar de trabajo, la mejor medida contra el vandalismo es permitir el acceso

sólo a quienes realmente necesitan utilizar el sistema. El equipo delicado,

como los servidores, debe colocarse en un cuarto especial9.

2.2.2 Riesgos que corren las Aplicaciones y los Datos

Todos los sistemas de cómputo son susceptibles de sufrir alteraciones y

daños. Aunque la causa de la destrucción de hardware a menudo, es algún

desastre natural o problemas en el suministro de energía, en el caso de

software la culpa casi siempre recae en un ser humano. Los principales

riesgos que corren las aplicaciones y los datos de software son el robo de

información, la alteración y destrucción de datos, los virus de computadoras,

los programas que permiten acceso no autorizado y contratiempos no

intencionales.


15

a) Robo de Información. Antes de las computadoras electrónicas, la mayor

parte de las empresas mantenían en secreto la información en un lugar

seguro. Ahora hasta la información más confidencial suele guardarse en

forma electrónica en alguna parte de un sistema de información de la

empresa.

El equivalente electrónico de la llave es el código, una combinación de

caracteres necesarios para acceder a datos protegidos. En estos días, miles

de páginas de información pueden almacenarse en un pequeño disco

magnético, por lo que es más fácil robar la información y también más fácil de

ocultar.

b) Alteración y Destrucción de Datos. La alteración o destrucción de datos

suele ser producto de un acto de perversidad. Ambos son las peores

pesadillas de los jefes de información y administradores de base de datos.

Reintegrar registros perdidos o alterados no es lo único que causa daño

financiero. Aunque el daño real no es grande, el personal SI debe pasar

mucho tiempo examinando los almacenes de datos para asegurar la

integridad de todos los recursos, y también determinar cómo el responsable

violó los controles de seguridad10.


16

c) Virus de Computadora. Los virus de computadora suelen ser unas

cuantas líneas de código de programación que se insertan en un programa

legítimo, y que más tarde un usuario poco prudente copia y activa. Los virus

de computadora deben su nombre a que actúan sobre programas y datos de

manera similar a como los virus actúan sobre el tejido vivo: los virus de

computadora se propagan con facilidad de una computadora a otra.

2.3. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIOS?

Un Plan de Continuidad de Negocios, tiene la capacidad para responder a

una interrupción de los servicios mediante la implementación de un plan para

restablecer las funciones críticas de la organización.

“Un Plan de Continuidad de Negocio se compone de varias fases que

comienzan con un análisis de los procesos que componen la organización.

Este análisis servirá para priorizar qué procesos son críticos para el negocio

y establecer una política de recuperación ante un desastre. Por cada

proceso se identifican los impactos potenciales que amenazan la

organización, estableciendo un plan que permita continuar con la actividad

empresarial en caso de una interrupción.”11

11 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año 2006, Pág. 11

17

FIGURA 1. CICLO DE VIDA DEL PLAN DE CONTINUIDAD DE NEGOCIOS

Imagen de un artículo publicado el 6 de Abril del 2009 en el Blog Open – SE-

Seguridad y Contra Seguridad Informática.

Fuente: ehopen-sec.blog/spot.com/2009/04/plan-de-continuidad-del-negocio.html

“Un Plan de Continuidad de Negocio, a diferencia de una Plan de

Contingencia, está orientado al mantenimiento del negocio de la

organización, con lo que priorizará las operaciones de negocio críticas

necesarias para continuar en funcionamiento después de un incidente no

planificado.”12

12 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de

Santos, S.A. , Año 2006.

18

En el desarrollo de un Plan de Continuidad de Negocio existen dos

preguntas clave:

¿Cuáles son los recursos de información relacionados con los

procesos críticos del negocio de la compañía?

¿Cuál es el período de tiempo de recuperación crítico para los

recursos de información en el cual se debe establecer el

procesamiento del negocio antes de que se experimenten pérdidas

significativas o aceptables?

Un Plan de Continuidad reducirá el número y la magnitud de las

decisiones que se toman durante un período en que los errores pueden

resultar mayores. El Plan establecerá, organizará y documentará los

riesgos, responsabilidades, políticas y procedimientos, acuerdos con

entidades internas y externas. La activación de un Plan de Continuidad

debería producirse solamente en situaciones de emergencia y cuando las

medidas de seguridad hayan fallado.”13



19

2.4 Plan de Continuidad de Negocio y otros enfoques

Es importante mencionar algunos de los enfoques más relevantes al tema de

un plan de continuidad de negocio usados internacionalmente, y que

guardan cierta estrecha relación y a su vez diferencias. El plan de

continuidad es una disciplina que prepara a la organización a poder continuar

operando durante un desastre, a través de la implantación de dicho plan.

También es un documento que contiene procedimientos y lineamientos para

ayudar a la recuperación y restablecimiento de procesos interrumpidos y

recursos al estado de operación normal, en un tiempo prudencial.

Disaster Recovery Planning (DRP): Se enfoca en la recuperación del

servicio de TI y los recursos, dado un evento que ocasionara una

interrupción mayor en su funcionamiento.

Business Resumption Planning (BRP): Se enfoca en la utilización de

procedimientos relacionados con el área de trabajo.

Continuity of Operations Planning (COOP): Busca la recuperación de

las funciones estratégicas de una organización que se desempeña en

sus instalaciones corporativas.

Contingency Planning (CP): Se enfoca en la recuperación de los

servicios y recursos de TI, después de un desastre de dimensiones

mayores o de una interrupción menor.

20

Emergency Response Planning: Su objetivo es salvaguardar a los

empleados, el público, el ambiente y los activos de la empresa.

Cada una de estas ópticas de planeación se centra en la protección de

aspectos específicos de la organización, ignorando otras áreas críticas. Para

atender esta limitación, se requieren de un enfoque de planeación integrado,

que le permita proteger todas las áreas críticas de la organización. Las

inundaciones, los huracanes, los maremotos o tsunamis, los sismos o

terremotos, incendios y atentados son ejemplos de sucesos o eventos

calamitosos.

Las empresas no solo son vulnerables al impacto de calamidades, sino de

pequeños eventos que pueden interrumpir las actividades de la firma.

Diversos factores, como: a) incremento en la dependencia tecnológica y b)

las presiones de velocidad del Mercado, han hecho a las empresas

sumamente sensibles a catástrofes o eventos menores que generan

perturbación en sus operaciones.

2.5 BENEFICIOS DE UN PLAN DE CONTINUIDAD DE NEGOCIOS

Identifica los diversos eventos que podrían impactar sobre la

continuidad de las operaciones y su impacto financiero, humano y de

reputación sobre la organización.

21

Obliga a conocer los tiempos críticos de recuperación para volver a

la situación anterior al desastre sin comprometer al negocio.

Previene o minimiza las pérdidas para el negocio en caso de desastre.

Clasifica los activos para priorizar su protección en caso de desastre.

Aporta una ventaja competitiva frente a la competencia.

Fomenta e implica a los recursos humanos de la compañía en las

actividades de continuidad.

2.6 FASES DE UN PLAN DE CONTINUIDAD DE NEGOCIOS

“Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar

por obtener un conocimiento de la compañía: sus productos/servicios, sus

objetivos empresariales, procesos internos, etc. No es lo mismo un Plan

de Continuidad para una empresa de servicios de Internet que para una

empresa fabricante de juguetes. “14

Aunque en ambos casos el objetivo será el de seguir dando servicio a sus

clientes, las actividades y procesos sobre las que se soporta la empresa

tendrán diferentes prioridades de recuperación ante una contingencia grave.

14 http://www.disaster-recovery-guide.com/

22

“El propósito general de un Plan de recuperación es obtener un mapa de

acciones que reduzcan “la toma de decisiones” durante las operaciones de

recuperación, restaure los servicios críticos rápidamente y permita un normal

funcionamiento de los sistemas y procesos lo antes posible, minimizando

costos y aumentando la efectividad.”15 En este gráfico se ilustra el proceso

con sus distintas fases y para facilitar el método de gestión del proceso, se

pormenorizan sus respectivos entregables en cada una de sus etapas.

FIGURA 2. EL PROCESO PCN Y LOS ENTREGABLES

Fuente: Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones

Alfaomega, Año 2005 Pág. 70

15 http://www.disaster-recovery-guide.com/

23

2.6.1 FASE I: ANÁLISIS BUSINESS IMPACT ANALYSIS (BIA)

Se trata de obtener un conocimiento de los objetivos de negocio y de

los procesos que se consideran críticos para el funcionamiento de la

compañía.

Una vez identificados los procesos críticos, se analizarán cuáles son

los riesgos asociados a dichos procesos para identificar cuáles son las

causas potenciales que pueden llegar a interrumpir un negocio.

El Análisis de Impacto (BIA– Business Impact Analysis), nos permitirá

identificar la urgencia de recuperación de cada función de negocio,

determinando el impacto en caso de interrupción. Esta información nos

permitirá seleccionar cuál es la estrategia más adecuada.”16

Esta fase consiste en identificar aquellos procesos relacionados con apoyar

la misión de la empresa, y analizar con muchos detalles los impactos en la

gestión comercial del negocio, si esos procesos fuesen interrumpidos como

resultado de un desastre.

16 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005

24

2.6.1.1 Proceso Metodológico del BIA

El proceso BIA consiste en una secuencia de pasos interactivos con el

propósito de identificar los impactos de una interrupción, y determinar los

requerimientos para restablecer aquellos procesos críticos del negocio que

se hayan afectado por un desastre. A continuación una breve descripción de

cada uno de los distintos pasos metodológicos17:

FIGURA 3 METODOLOGIA DEL BUSINESS IMPACT ANALYSIS




Identificación de

Funciones y Procesos

de Negocios

Evaluación de los

Impactos Financieros y

Operacionales Negocios

Identificación de

Procesos Críticos

Establecimiento de los

Tiempos de

Recuperación

Identificación de

Requerimientos de

Recursos

Determinación del

RTO

Determinación del

RPO

Identificación de

Procedimientos

Alternos

Generación del

Informe BIA

25

PASO I - Identificación de Funciones y Procesos de Negocios: El

propósito de este es identificar las funciones de negocios y procesos

que son utilizadas para apoyar la misión, metas y objetivos donde se

encuentra el alcance del Sistema de Gestión de Seguridad de

información.

Paso II – Evaluación de los impactos Financieros y Operacionales: En

este paso deben evaluarse los impactos de una interrupción en la

organización, tanto desde una perspectiva financiera como

operacional. Luego de haber identificado el Impacto financiero, se

debe medir el impacto en una base de severidad, basada en el valor

de la perdida monetaria. La medición de los impactos operacionales

evalúa el impacto negativo de una interrupción, en varios aspectos de

las operaciones del negocio.

Paso III – Identificación de Procesos Críticos: La clasificación

financiera y operacional de los impactos provee una base para

identificar procesos críticos del negocio.

Paso IV – Establecimiento de los Tiempos de Recuperación: Los

requerimientos de los tiempos de recuperación consisten en una serie

de componentes que tienen que ver con el tiempo disponible para

recuperarse de una alteración.

Paso V – Identificación de Requerimientos de Recursos: Un sistema

de tecnología de información o una aplicación se considera vital si

apoya un proceso crítico del negocio.

26

Paso VI – Determinación del Recovery Time Objetive: El RTO esta

asociado con la recuperación de recursos trastornados tanto de TI

como ajenos; es el tiempo entre el desastre y la recuperación de los

recursos. Indica el tiempo disponible para recuperar recursos

transformados. El WRT es el tiempo requerido para completar el

trabajo interrumpido a fin de volverlo a la normalidad.

Paso VII – Determinación del Recovery Point Objetive: El BIA debe

determinar el RPO por cada aplicación. Una manera práctica de

hacerlo es preguntar: ¿Cuál es la tolerancia máxima del tiempo que los

datos pueden estar perdidos, sin afectar el desempeño del sistema?

Paso VIII – Identificación de Procedimientos Alternos: La identificación

de procedimientos alternos permite que los procesos de negocios

puedan continuar si se presentara una interrupción. La idea es buscar

métodos alternos, usualmente operaciones manuales temporales.

Paso IX – Generar Resumen de informe BIA: Los resultados de los

pasos que han precedido se resumen en esta fase para convertirlos en

una guía para el BIA. El resumen se suele presentar en el siguiente

informe:

• Lista de procesos críticos

• Lista de tiempos MTD y su jerarquización

• Lista jerarquizada de sistemas y aplicaciones

27

• Lista jerarquizada de recursos ajenos a tecnología de

información

• Lista de tiempos RTO

o Lista de procedimientos alternos

2.6.2 FASE II: GESTIÓN DEL RIESGO

El Objetivo de un análisis de riesgos es identificar y analizar los

diferentes factores de riesgo que potencialmente podrán afectar a las

actividades que queremos proteger. Se ha de tener en cuenta la probabilidad

de que sucedan cada uno de los problemas posibles.”18

Las actividades de la gestión del riesgo evalúan las amenazas de un

desastre, pormenorizan las vulnerabilidades existentes, los potenciales

impactos de un desastre, identifican e implementan los controles necesarios

para prevenir o reducir los riesgos de un desastre y terminan identificando

escenarios de amenazas para aquellos procesos considerados esenciales en

el BIA. El entregable de esta etapa es un informe de riesgos y controles.

Este documento identifica las posibles amenazas potenciales de

interrupciones del negocio y los respectivos riesgos.



28

FIGURA 4. ESQUEMA DEL ANÁLISIS DE RIESGOS

Fuente: Guía de las Buenas Prácticas Año 2008 del Instituto de la Continuidad de

Negocios (www.thebci.org)

2.6.2.1 Metodología del Cálculo del Riesgo

En este gráfico se ilustran los pasos metodológicos recomendados para

hacer el cálculo de la exposición del riesgo, y posteriormente poder

determinar los escenarios de amenazas que afectan la empresa o el área a la

cual se le realice el estudio19.


Identificación

de Amenazas

Identificación

de Activos

Evaluar

Vulnerabilidades

Analizar

Riesgos

Determinar

Impacto

Evaluar Medidas

http://www.thebci.org/

29

FIGURA 4 METODOLOGÍA DEL CÁLCULO DEL RIESGO



Los pasos metodológicos se describen así:

1. Identificación de Amenazas: Son aquellas que afectan los activos de las

funciones organizacionales. El método recomendado para identificar las

amenazas tiene dos etapas: a) Análisis general de amenazas y b) Análisis

de procesos esenciales.

2. Identificación de Vulnerabilidades: Es fundamental recalcar que una

vulnerabilidad no causa daño; simplemente es una condición o conjunto

de condiciones que pueden hacer que una amenaza afecte un activo.

Identificación de

Amenazas

Identificación de

Vulnerabilidades

Revisión de Controles

Actuales y Mitigar el

Riesgo

Cálculos del Nivel de

Exposición al Riesgo

Determinar los Escenarios de

Amenazas

30

3. Revisión de controles actuales: El resultado de esta etapa es una lista de

todos aquellos controles, su estado de funcionamiento y el detalle de todo

lo que se deba instaurar para reforzar las vulnerabilidades y minimizar las

consecuencias en la empresa, si el desastre se presentara.

4. Cálculo del Nivel de Exposición al riesgo: Una vez detectadas las

amenazas, la dependencia de recursos de cada función organizacional y

sus vulnerabilidades, se debe proceder a precisar el grado de severidad

de cada potencial amenaza identificada y cobertura, la cual es el grado de

protección que tiene la empresa frente a una amenaza en particular.

5. Determinar escenarios de amenazas: Una vez identificadas las amenazas

y las respectivas vulnerabilidades organizacionales, es fundamental

establecer los respectivos controles para fortalecer las vulnerabilidades y

minimizar la posibilidad de que el desastre penetre en la empresa y le

cause daño.

2.6.3 FASE III: DESARROLLO DE ESTRATEGIAS DE UN PLAN DE

CONTINUIDAD DE NEGOCIO

“En esta fase se seleccionarán los métodos operativos alternativos que se

van a utilizar en caso de que ocurra un incidente que provoque una

interrupción en la organización.

31

El método seleccionado deberá garantizar la restauración de los procesos

afectados en los tiempos determinados por el Análisis de Impacto.”20 Esta

fase tiene dos objetivos:

Por un lado, valorar las diferentes alternativas y estrategias de

respaldo en función de los resultados obtenidos en la fase anterior,

para seleccionar la más adecuada a las necesidades de la compañía.

Por otro lado, corregir las vulnerabilidades detectadas en los

procesos críticos de negocio identificadas en el Análisis de Riesgos.

Aquí se evalúan los requerimientos y se identifican las opciones para la

recuperación de procesos críticos y sus recursos, en el escenario en que

fuesen interrumpidos por un desastre. El entregable es un informe en donde

se pormenoriza la identificación de opciones viable para la recuperación de

recursos y servicios, dada la posibilidad de que fuesen impactados por una

interrupción del negocio.21

Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo,

mayor será el costo de la solución. Por ello es conveniente realizar un

análisis con tiempos de recuperación adecuados y adaptados a la realidad de

la compañía.


2006, Pág. 36 21 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones

Alfaomega, Año 2005

32

“Una vez tomada la decisión sobre el tipo de estrategia que se utilizará,

pasaremos a desarrollar todos los procedimientos que permitirán restablecer

los procesos de negocio.”22 El diseño de una estrategia de continuidad, se

presenta a continuación en el siguiente gráfico:

FIGURA 5 DESARROLLO DE UNA ESTRATEGIA DE CONTINUIDAD

Fuente: Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005 Pág. 89

22 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año 2006, Pág. 38

Identificar Requerimientos de Recuperación

Identificar áreas de

Trabajo Requeridas

Centro de Comando

Identificar Sistemas

de TI Requeridos

Identificar requerimientos

de Producción, Equipos,

Alternativas de Producción

Requerimientos

de Datos Vitales,

Documentos y

Registros

Identificar Opciones de Recuperación

Áreas de Trabajo Sistemas de TI Producción Documentos

Evaluar Disponibilidad de Opciones

Evaluar Opciones

de Recuperación

Evaluar Opciones

de Recuperación

Documentar

Estrategias de

Continuidad

33

La fase A determina los requerimientos de recuperación para ser

atendidos por la estrategia del plan de continuidad.

La fase B busca identificar posibles opciones como soluciones a los

requerimientos de recuperación.

La fase C elimina aquellas opciones que no cumplen aquellos tiempos

de recuperación identificados en el BIA.

La fase D con las opciones que quedan, evalúa los costos y las

potencialidades para seleccionar las opciones más viables y eficaces.

2.6.4 FASE IV: DESARROLLO DEL PLAN DE REANUDACIÓN DE

OPERACIONES

“Una vez que se ha seleccionado la estrategia de respaldo hay que

desarrollarla e implantarla dentro de la compañía. En esta fase desarrollan

los procedimientos y planes de actuación para las distintas áreas y equipos,

y se organizan los equipos que intervienen en cada fase del Plan. A partir de

aquí se desarrollan los siguientes elementos :”23

Los equipos necesarios para el desarrollo del Plan.

Las responsabilidades y funciones de cada uno de los equipos.

Las dependencias orgánicas entre los diferentes equipos.



34

5. Re- constitució

n

4. Reanudación de

Operaciones

3. Aprovisionamiento de Recursos

2. Medidas de Contingencia Provisionales

1. REspuesta Inicial y Evaluación

El desarrollo de los procedimientos de alerta y actuación ante eventos

que activen el plan.

La estrategia de vuelta a la normalidad.

Esta fase desarrolla un plan para mantener la continuidad del desempeño del

negocio, basado en las fases previas, específicamente en la “gestión del

riesgo” y en el Business Impact Analysis, así como en los aspectos plantados

en el desarrollo de la estrategia de un Plan de Continuidad de Negocio24.

FIGURA 6. FASES DEL PLAN DE REANUDACION DE OPERACIONES




35

El entregable es un informe que contiene procedimientos y lineamientos

concretos para la recuperación y el restablecimiento de los recursos dañados,

y los procesos cuyo desempeño se ha interrumpido.

2.6.5 FASE V: ENSAYO DEL PLAN DE CONTINUIDAD DE NEGOCIO

Esta efectúa el ensayo del plan, con miras a poder determinar su grado de

precisión y actualización. El entregable son simplemente los registros que

deben llenarse para demostrar a terceros que se realizan los ensayos, así

como las acciones correctivas que la empresa debe emprender para hacer el

ajuste al plan de Reanudación de operaciones.

2.6.6 FASE VI: MANTENIMIENTO DEL PLAN DE CONTINUIDAD DE

NEGOCIO

“Una parte importante del Plan de Continuidad, es conocer que

realmente funciona y es efectivo. Para ello se define la estrategia de

pruebas y se realiza la prueba del Plan, para afinarlo según los

resultados.”25 Además, en esta última fase se definirán los procedimientos

de mantenimiento del Plan.



36

En esta fase el Plan de Continuidad de Negocio, se mantiene en un estado

de preparación constante para que en caso de un desastre se pueda ejecutar

minimizando las posibilidades de errores. El entregable de esta fase son los

registros y los procedimientos que aseguran que el Plan de Continuidad de

Negocio está listo para ejecutarse, si se presentara una eventualidad26.

El Plan de Pruebas diseñado tiene como objetivos:

Evaluar la capacidad de respuesta ante una situación de desastre que

afecte a los recursos de la compañía.

Probar la efectividad y los tiempos de respuesta del Plan para

comprobar que están alineados con la definición realizada en el

diseño.

Identificar las áreas de mejora en el diseño y ejecución

del Plan.

Comprobar si los procedimientos desarrollados son adecuados para

soportar la recuperación de las operaciones de negocio.

Evaluar si los participantes del ejercicio están suficientemente

familiarizados con la operativa en situación de contingencia.

Concienciación y formación para los empleados a través de la

realización de pruebas.


37

III. METODOLOGIA DE LA INVESTIGACIÓN

La metodología constituye una herramienta básica que permite profundizar

y generar nuevos conocimientos en el campo objeto de estudio. La

metodología que se utilizo en el desarrollo de esta monografía fue a través

del diseño transversal apoyado en las investigaciones documental / De

Campo. A través del diseño transversal se pudieron identificar los

elementos y las características básicas que componen este análisis.

En la Investigación Documental pudimos obtener una recopilación

adecuada de datos que nos permitió agrupar una gama de datos

publicados en libros, artículos de revistas, documentos de archivo y citas

de internet, así como también pudimos sugerir problemas, orientar hacia

otras fuentes de investigación y formas para elaborar instrumentos de

investigación.

En la investigación de Campo se manejaron datos con más seguridad, ya

que los mismos se recolectaron de forma directa a través de entrevista y

preguntas a las personas responsables del proyecto en cuestión,

obteniendo de esta forma datos primarios, y a la vez nos pudimos cerciorar

de las verdaderas condiciones en que se encontraba la empresa para

poder enfrentar cualquier eventualidad inesperada.

38

IV. RESULTADOS Y DISCUSIONES

4.1 Perfil de la Empresa

La empresa objeto de estudio es una entidad privada, especializada en

ofrecer servicios de representación de casas extranjera de todas partes del

mundo a clientes nacionales e internacionales. Dispone de un potencial

necesario para proporcionar una gama de productos diversificados como la

materia prima del vidrio, papel, hierro, farmacéuticos, madera, entre otros.

En 1994 inician sus operaciones en República Dominicana para quienes

deseaban tener un embajador de negocios en el extranjero. Se vislumbró la

necesidad de globalizar sus servicios nacionales e internacionales para

obtener buenos mercados de materia prima, a fin de satisfacer los

requerimientos y facilitarles un alto grado de calidad y satisfacción mediante

una atención directa y personalizada para dar soluciones a un amplio

espectro del sector y una mejora de su eficacia y niveles de competitividad.27

La empresa objeto de estudio ha permanecido en el mercado por 15 años y

se ha convertido hoy por hoy en una de las empresas punteras ofreciendo

sus servicios a un gran números de clientes en el ámbito nacional ubicados

en Santo Domingo y el interior del país.

27 Manual de la empresa caso de estudio

39

En la actualidad, el manejo de información en la empresa es muy alto, y sus

operaciones se pueden ver mermadas por alguna situación inesperada. La

empresa necesita idear anticipadamente un plan que le permita estar

preparada para intervenir de manera rápida y efectiva ante cualquier crisis

que afecte sus actividades operacionales. Esta planeación dentro de la

compañía es importante para:

Prevenir la ocurrencia de un evento de crisis.

Asuntos prominentes con respecto a sus clientes, suplidores,

empleados y seguridad de la comunidad.

Mantener la alerta y responder oportunamente a signos de alarmas de

posibles eventos de crisis en el país.

Reportes internos rápidos y exactos de la ocurrencia de eventos de

crisis y comunicación completa, exacta y oportuna de la información

relacionada con tales eventos dentro la empresa y para el público en

general.

Protección de la reputación de los negocios y activos de la empresa.

Continuidad de las operaciones de la empresa las cuales no son

afectadas por un evento de crisis.

Buena voluntad para aprender de eventos de crisis pasados y un

compromiso para continuar mejorando en la futura planeación de

continuidad de negocios.

40

4.2 Amenazas y Vulnerabilidades que pueden afectar la Empresa

La empresa objeto de estudio puede verse afectada por un gran número de

situaciones que actualmente no podría controlar, por la carencia de planes

emergentes. La misma puede minimizar sus operaciones por algunas de las

siguientes amenazas:

DESASTRES NATURALES

Huracanes

Inundaciones

Incendios

DAÑOS ACCIDENTALES

Fuego fortuito

Fallo de suministro eléctrico

Fallo de la UPS

Capacidad inadecuada de las comunicaciones

Fallo/degradación del hardware

Fallo/degradación de las comunicaciones

Errores de operación

41

Fallos en las copias de seguridad

Fallos de los sistemas de autenticación/autorización

Pérdida de confidencialidad

Incumplimientos legales

ATAQUES INTENCIONADOS

Fuego intencionado

Accesos no autorizados al edificio

Actos de vandalismo

Robos intencionados

Manipulación de datos/software

Manipulación de hardware

Uso de software por personal no autorizado

Accesos no autorizados a datos de la compañía

Software malicioso

Robo de equipos

Robo de documentos

Además de estas amenazas, la empresa objeto de estudio es vulnerable a:

Existencia de materiales inflamables como papel o cajas

42

Cableado inapropiado

Ancho de banda inapropiado

Suministro eléctrico inapropiado

Ausencia de mantenimiento

Educación inadecuada del personal en virus

Políticas de firewall inadecuadas

Ausencia de política de seguridad

Derechos de acceso incorrectos

Ausencia de un sistema de extinción automática de fuegos/humos

Ausencia de control de cambios de configuración eficiente y efectiva

Ausencia de mecanismos de identificación y autenticación

Ausencia de política de restricción de personal para uso licencias de

software

Descarga incontrolada y uso de software de Internet

Ausencia de mecanismos de cifrado de datos para la transmisión de

datos confidenciales

Protección física de equipos inadecuada

Ausencia de un Plan de recuperación de incidentes

43

Todo esto demuestra que es el momento preciso de realizar una valoración

detallada de los equipos e instalaciones que posee la empresa para definir la

estrategia de continuidad de negocios adecuada. Además, debe contar con

equipo de recuperación junto con un equipo de seguridad de información,

que estén altamente capacitados para este tipo de situaciones.

4.3 Medidas para contrarrestar Amenazas y Vulnerabilidades.

Para reducir las amenazas y las vulnerabilidades que podrían afectar la

empresa, se emplean acciones o medidas, tales como:

• Realizar copias de seguridad de los archivos.

• Contratar seguros para los activos.

• Establecer procedimientos / políticas de seguridad.

• Establecer control de acceso a la información.

• Establecer control de acceso físico.

• Monitorización de eventos.

• Auditorías internas.

• Revisiones periódicas de procesos.

• Sensores de humo.

• Detección de virus (Antivirus).

• Parches de seguridad.

• Corrección de daños por virus.

44

• Recuperación de datos perdidos.

Las medidas seleccionadas para mitigar amenazas deben mantener una

proporción entre el esfuerzo y costo necesarios para su implantación y el

riesgo que mitigan (evaluación del costo-beneficio). Uno de los objetivos del

Plan de Continuidad es evitar en la medida de lo posible que se produzcan

incidentes que hagan necesaria su ejecución. Por ello, es importante que la

compañía conozca sus riesgos y ponga las medidas adecuadas para corregir

el mayor número de vulnerabilidades que puedan provocar un incidente

grave.

La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de

gestión de riesgos de la organización y en función de la evolución del negocio

(crecimiento), de cambios importantes en la organización (procesos internos),

nuevas obligaciones legales, etc.

4.4 Visión de la Empresa frente a la necesidad de disponer de un

Plan de Continuidad de Negocio

De acuerdo a la entrevista realizada al Sr. Juan Pérez, Gerente General de la

empresa objeto de estudio, pudimos determinar la visión de la empresa frente

a la necesidad de disponer de un Plan de Continuidad de Negocio.

45

En la actualidad, acontecimientos como los atentados contra las Torres

Gemelas, la explosión de la Estación de Gas León en nuestro país, los robos

y atracos importantes que se dan a diario, han contribuido a poner de relieve

la importancia que tiene para la empresa de disponer de un plan de

continuidad de negocio. Un plan cuyo objetivo es permitir que los elementos

importantes de la empresa sigan funcionando.

La organización esta consciente de que la empresa necesita de un plan o de

varios planes para cuando la operación normal falle y haya que entrar en una

operación, digamos, anormal. Por ello, y teniendo en cuenta que los planes

de continuidad responden a una situación anormal, el mejor plan de

continuidad es el que no hay que activar. El principal problema al que se

enfrenta la empresa es a lo cultural. Están conscientes de que hay un

problema y nadie está haciendo nada. Sólo cuando hay un accidente se

reacciona. Esa es la mentalidad que impera.

Pero la acción - reacción no es la única característica cultural que influye; en

la carencia de planes de continuidad. Además, tienen la noción clara de que

se mueven mucho por modas. Cuando algo está de moda, todo el mundo lo

hace y luego se olvida.

46

En estos momentos, el tema de la continuidad de negocio es algo que está

en la palestra empresarial y por ende consideran que en Republica

Dominicana no hay profesionales suficientes para poder atender todo lo que

el mercado demanda. Por otro lado, reconocieron que llevan 15 años viendo

los mismos tópicos porque las direcciones de las compañías no asumen o no

creen en la seguridad.

Ellos entienden, que necesitan, que haya un cambio generacional en las

direcciones, bien concienciarlas de que esto es importante por medio de la

aplicación de leyes, la formación o la entrada de nuevos profesionales en las

diferentes divisiones de las compañías.

Actualmente el departamento de informática de la empresa, realiza backup,

tienen cajas de seguridad antifuego, cámaras, etc. Pero están conscientes de

que esto no es suficiente para enfrentar situaciones de alta magnitud. Por tal

razón, es necesario que la empresa se oriente en este tema tan importante

para su continuidad.

47

4.5 Propuesta de un Plan de Continuidad de Negocios para evitar

cualquier evento que afecte las acciones diarias de la empresa objeto

de estudio.

4.5.1 ANTECEDENTES

Shaw Trading, S.A. es una compañía de representación que realiza

actividades de intermediación entre suplidores ubicados en varias partes

del mundo y clientes ubicados en nuestro país República Dominicana. A

estos clientes se les ofrecen materias primas clasificadas en las

siguientes líneas: Acero, Papel, Madera, Vidrio y Químicos. Actualmente

cuenta con 20 empleados, repartidos en una oficina que abarca el Segundo

piso de un edificio en la zona céntrica del país. El éxito de esta empresa les

ha llevado a ser reconocidos en varios mercados internacionales.

Dentro de la propia empresa, cuentan con un pequeño departamento de

informática formado por 4 empleados que se encargan de la gestión de

todo lo relacionado con comunicaciones, software, hardware, bases de

datos. El rápido desarrollo y expansión de esta compañía ha

resultado en un crecimiento tecnológico importante en los procesos de

soporte, tales como facturación, nóminas, atención al cliente, etc.

48

Sin embargo, las medidas de seguridad no han acompañado de igual forma

a este crecimiento. A continuación se describe brevemente cuál es la

situación actual en cuanto a seguridad de la compañía:

• No existe una política de seguridad en la compañía.

• Sólo hay antivirus en algunos equipos, en otro no se ha instalado.

• Existen fallas cuando se realizan las copias de seguridad de la

información.

• Existe control de acceso a los equipos, pero los usuarios

comparten contraseñas.

• Los servidores se encuentran en una sala sin ninguna

medida de protección física.

Como parte de los objetivos planteados en este informe, hemos

propuesto la realización d e u n Plan de Continuidad de Negocio, para

configurar una estrategia de recuperación ante cualquier evento grave que

haga peligrar el negocio de la empresa.

4.5.2 ANÁLISIS DE IMPACTO

Para desarrollar este Plan, la persona encargada del departamento de

informática debe delegar en otro de los empleados del departamento, la

realización de un inventario de los procesos críticos de la compañía.

49

Estableciendo los tiempos de recuperación de los mismos, antes de

incurrir en pérdidas graves. Para ello, el encargado del departamento

debe entrevistarse con los responsables de los procesos obteniendo la

siguiente información:

Proceso

Breve descripción

Frecuencia

(Diario/Semanal

Mensual)

Responsable

Pedidos

Se encarga de recibir todos

los pedidos de los distintos

clientes y de gestionar su

envío en los plazos y

condiciones establecidas

Diario

Manuela González

Atención al

Cliente

Recogida y Gestión de

incidentes

Diario

Melania Pérez

Recursos

Humanos

Selección y formación del

personal de la compañía

Según

necesidad

Bonifacio García

Nóminas

Generación y Pago de las

Nóminas de los empleados

Mensual

Calvete Blanco

Documentación

Control y Gestión del envío de

documentos a los clientes

Diario

Antonio

Romero

4.5.3 COMPONENTES DE LOS PROCESOS

A continuación se describen cada uno de los componentes Hardware,

Software, Comunicaciones, etc., que conforman los procesos definidos

en Shaw Trading, S.A.

50

Proceso Pedidos

• Sistemas del Proceso de Pedidos:

Nombre

del

Sistema

Descripción

Criticidad

Tipo de

Sistema

(PC/Servido

r/

Mainframe)

Nº de Equipos

con la

aplicación

Correo

Electrónico

2

Servidor de

Correo

4

Gestión

Pedidos

Aplicación para

la Gestión de

pedidos

1

4

• Hardware del Proceso de Pedidos:

Tipo de

Hardware Detalles del

Modelo/Configuración

Distribuidor

Criticidad

Servidor de

Correo

PowerEdgeTM 1900

Servidor en torre de núcleo

cuádruple con 2 sockets

Dell

3

PC’s

Procesador

Intel® CoreTM 2 Duo

E6000

Chipset Q965 ICH8DO

compatible con Active

Management Technology (iAMT

2.1) de Intel®

Solución LAN Gigabit

Ethernet de Intel®

Dell

2

Servidor de

Aplicaciones

PowerEdgeTM 2900



Dell

1

51

• Otros Activos del Proceso:

Descripción Tipo Criticidad Localización

Línea DSI de

comunicaciones

Comunicaciones

1

Centros de trabajo

Impresoras

Hardware

2

Centros de trabajo

Centralita de

Comunicaciones

Comunicaciones

3

Centros de trabajo

Proceso de Nóminas

• Sistemas del Proceso de Nóminas:

Nombre

del Sistema

Descripción

Criticidad

Tipo de Sistema

(PC/Servidor/

Mainframe)

Nº de

Equipos con

la aplicación

Aplicación

Nóminas

Programa

que se

encarga de

realizar el

cálculo de las

nóminas

3

Servidor / PC’s

3

Windows

Sistema

Operativo

2

PC’s

20

• Hardware del Proceso de Nóminas:

Tipo de

Hardware Detalles del

Modelo/Configuración

Distribuidor

Criticidad

Servidor de

aplicaciones

PowerEdgeTM 1900



Dell

2

52

PC’s

Procesador

Intel® CoreTM 2 Duo

E6000

Chipset Q965 ICH8DO

compatible con Active

Management Technology

(iAMT 2.1) de Intel®

Solución LAN Gigabit

Ethernet de Intel®

Dell

2

• Otros Activos del Proceso

Descripción Tipo Criticidad Localización

Impresoras

Hardware

2

Centros de trabajo

4.5.4 TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS

Proceso Necesidades de

Recuperación

Criticidad

PEDIDOS

En 2-3 días

1

El proceso de Pedidos es clave para la organización, ya que si no se

pueden gestionar los pedidos de los clientes la empresa no puede dar

servicio y por lo tanto incurrirá rápidamente en pérdidas. Por ello es

importante que este proceso se recupere lo antes posible.

53

Proceso Necesidades de

Recuperación

Criticidad

NOMINAS

En 15-30 días

3

Aunque el proceso de Nóminas es importante, la compañía puede

esperar semanas a que se restablezca y crear procedimientos alternativos

como por ejemplo, repetir el último pago de nómina a los trabajadores y

realizar las compensaciones correspondientes, cuando estén disponibles de

nuevo los sistemas.

4.5.5 ANÁLISIS DE RIESGOS

Una parte importante dentro del desarrollo del Plan de Continuidad es el

Análisis de Riesgos. Este análisis permitirá a la compañía conocer sus

riesgos y gestionarlos de forma adecuada.

Existen diferentes metodologías de riesgo (NIST, MAGERIT, OCTAVE, etc.)

que pueden aplicarse para realizar el Análisis de Riesgos. Para la propuesta

realizaremos un análisis con un enfoque general, sin entrar en metodologías

concretas ni valoraciones de los activos.

54

4.5.6 INVENTARIO DE ACTIVOS

Activo/Descripción Tipo Valor

SERVIDOR DE

APLICACIOMES

Hardware

MEDIO

APLICACIÓN DE

PEDIDOS

Aplicación

MEDIO

INFORMACIÓN

CLIENTES

Información

ALTO

IMPRESORAS

Hardware

BAJO

REDES DE

COMUNICACIONES

Comunicaciones

BAJO

4.5.7 LISTADO DE AMENAZAS

Del listado de Amenazas marcamos las que pueden afectar la compañía

en su situación actual.

AMENAZAS

POSIBLE

DESASTRES NATURALES

Inundaciones

x

Incendios

x

DAÑOS ACCIDENTALES

Fuego fortuito

x

55

Inundaciones

x

Fallo de suministro eléctrico

x

Pérdida de confidencialidad

x

Incumplimientos legales

x

ATAQUES INTENCIONADOS


x

Accesos no autorizados a datos de la compañía

x

Actos de vandalismo

x

Robo de equipos

x

Robo de datos / documentos

x

4.5.8 VULNERABILIDADES

Tomando como base los objetivos de seguridad de la ISO 17799 y en

función de las Amenazas que hemos marcado como posibles,

establecemos los escenarios en que una amenaza puede convertirse en un

incidente de seguridad.

ESCENARIOS

NIVEL DE PROTECCIÓN

RESPUESTA

1. Inundación del Centro de

Proceso de Datos

¿El centro está situado en un terreno

alto?

NO

56

2. Fallos del Suministro

Eléctrico.

¿Existen Unidades de Suministro

Eléctrico Alternativo (UPS)?

Si, pero con fallas

3. Pérdida de información

clave de la compañía.

¿Se realizan copias de seguridad de

los datos periódicamente?

Si, pero con fallas

4. Accesos no autorizados al

edificio

¿Existe un control de acceso físico a

los edificios de la compañía?

NO

5. Robo de datos

¿Existe una clasificación de la

información adecuada al nivel de

confidencialidad de los datos?

NO

6. Pérdida de servicios por

infección de virus

¿Están los equipos protegidos por un

antivirus?

NO

4.5.9 EVALUACIÓN DE RIESGOS

DESCRIPCIÓN

PROBAB

IMPACTO

RIESGO

Terremotos

BAJA

MEDIO

BAJO

Pérdida del servicio por fallos en la alimentación eléctrica

ALTA

MEDIO

ALTO


BAJA

ALTO

MEDIO

Robo de información confidencial compañía

ALTA

ALTO

ALTO

Pérdida de información crítica de la compañía

ALTA

ALTO

ALTO

4.5.10 RECOMENDACIONES - CONTRAMEDIDAS

Para gestionar los riesgos detectados y mitigarlos en la medida de lo

posible, se propone la puesta en marcha de las siguientes contramedidas:

57

• Realizar copias de seguridad periódicamente, pero determinando

las causas que hacen que estas copias fallen al realizarse.

• Controlar el acceso a la información estableciendo

mecanismos de autenticación.

• Establecer un control de acceso físico al lugar donde se

encuentran los equipos con información clave para la

compañía.

• Establecer detectores de humo y alarmas de fuego.

• Instalar antivirus en todos los equipos de la compañía.

4.5.11 ESTRATEGIA DE RECUPERACIÓN

Una vez que se ha realizado la gestión de los riesgos detectados, se debe

seleccionar una estrategia de recuperación de negocio que

asegure la continuidad de los procesos que hemos considerado críticos en

el Análisis de Impacto. De las alternativas existentes y dado que la opción

de subcontratar espacios y soporte a terceros resultaría muy cara para

Shaw Trading, S.A., la solución más adecuada sería utilizar la propiedad

de los ejecutivos de la empresa como alternativa en caso de incidencia

grave, ya que la misma se presta para una debida continuidad y posee el

espacio adecuado para la instalación temporal de las operaciones y

personal critico de la empresa.

58

De esta forma l a co m p a ñ í a podría seguir dando servicio a sus

clientes, sin que el impacto de un incidente tuviera consecuencias

catastróficas para la empresa. Para ello, podrán utilizarse en primera

instancia los equipos que se utilizan en este centro, de forma que se

reaproveche la inversión.

Para que estos equipos sean válidos será necesario equipar la propiedad

de la gerencia con algunos elementos extras (incremento de memoria,

capacidad de disco, etc.).

4.5.12 DESARROLLO DEL PLAN

Una vez que se ha seleccionado la estrategia de continuidad, se puede

comenzar a construir el Plan de Continuidad definiendo la estructura y

composición de los equipos y las acciones de cada uno de ellos. Dado que

S h a w T r a d i n g , S.A., es una empresa de tamaño medio,

reduciremos el número de equipos y su composición, que serán necesarios

en caso de activación del Plan de Continuidad.

59

4.5.13 COMITÉ DE CRISIS Listado de Integrantes del Comité.

Responsable del Comité

Nombre: Raúl Pérez Posición: Director General

Miembros del Comité

Nombre: Luis

Jiménez Posición:

Director Informática

Nombre: Sonia Álvarez Posición: Directora de RRHH

Una vez que se comunica un incidente, el Comité de Crisis debe reunirse y

tomar decisiones para afrontar la situación. Deben estar continuamente

informados de la situación y determinar si es necesario iniciar el Plan de

Continuidad. En este caso, se comunicará a los responsables de los

equipos del comienzo de las actividades que llevarán a restablecer los

servicios en la casa del propietario de la empresa.

4.5.13.1 Equipo De Recuperación

El equipo de recuperación es el encargado de poner en marcha todo el

proceso de recuperación para restaurar los servicios.

60

Para ello realizarán las siguientes actividades:

• Pondrán en marcha por orden de criticidad los sistemas,

Pedidos, Facturación, Correo, Nóminas, etc.

• Para la puesta en marcha de los sistemas, se tomará la última

copia de seguridad de los sistemas que semanalmente se

r e a l i za n .

• Se contactará con la persona responsable de logística para que

solicite a los proveedores todos los equipos necesarios en los

plazos acordados (durante el desarrollo del plan), sirvan todo el

material necesario (servidores, PC’s, impresoras, etc.) y que no se

ha podido salvar de la empresa.

• Una vez que se vayan restaurando los servicios, debe

comprobarse su operatividad.

Listado de Integrantes del Equipo de Recuperación

Integrantes del Equipo Nombre: Rafael Alonso

Posición: Responsable de Sistemas

Nombre: Montaño González

Posición: Técnico Informático

Nombre: Alberto Pérez Posición: Técnico Informático

61

4.5.13.2 Equipo de Coordinación Logística

El equipo de coordinación logística es responsable de todo lo relacionado

con las necesidades logísticas. En función del tipo de incidente se encargará

de:

• Atender las necesidades logísticas de primera

instancia tras la contingencia. (Transporte de personas, transporte de

materiales, etc.)

• Contactar con los proveedores para solicitar el material

necesario que indiquen los responsables de la recuperación.

• Gestionar el suministro de comida al personal involucrado.

Listado de Proveedores

DELL

Persona de Contacto: Ángel Núñez

HP

Persona de Contacto: Felipe Méndez

62

Listado de Integrantes del Equipo de Coordinación Logística

Integrantes del Equipo Nombre: David Gómez

Posición: Técnico de RRHH

Nombre: Dolores López Posición: Administrativo

4.5.13.3. EQUIPO DE RELACIONES PÚBLICAS

El equipo de Relaciones Públicas es responsable de “ser la voz” de la

empresa en el contexto de la contingencia. Las tareas a realizar serán:

• Si el tipo de incidente lo requiere, emitir un comunicado oficial a

clientes y proveedores en el que se indique que se restablecerán

los servicios lo antes posible.

• Atender a los clientes para proporcionarles información sobre el

incidente y tranquilizarles lo máximo posible.

Listado de Integrantes del Equipo de Relaciones Públicas

Integrantes del Equipo Nombre: Juan Carlos Gil

Posición: Técnico Comercial

Nombre: Gela Cano Posición: Atención al Cliente

63

4.5.13.4 EQUIPO DE LAS UNIDADES DE NEGOCIO

Estos equipos estarán formados por las personas que trabajan con las

aplicaciones críticas, y serán los encargados de realizar las pruebas de

funcionamiento para verificar la operatividad de los sistemas.

Integrantes del Equipo Nombre: Manuela González

Posición: Responsable

Pedidos

Nombre: Gela Cano

Posición: Atención al Cliente

Nombre: Sonia Álvarez

Posición: RRHH

4.5.14 FASE DE ALERTA

4.5.14.1 Procedimiento de Notificación del Desastre

Cualquier empleado de Shaw Trading, S.A. que sea consciente de un

incidente grave que pueda afectar a la empresa, debe comunicarlo al Jefe de

Seguridad de la empresa proporcionando el mayor detalle posible en la

descripción de los hechos.

64

El Jefe de Seguridad debe evaluar la situación e informar al Responsable del

Comité de Crisis, que en este caso coincide con la figura del Director

General.

4.5.14.2 Procedimiento de Ejecución del Plan

El Comité de Crisis reunido en el punto de encuentro evaluará la situación.

Con toda la información de detalle sobre el incidente, se decidirá si se activa

o no el Plan de Continuidad de Negocio. En caso afirmativo, se iniciará el

procedimiento de ejecución del Plan. En el caso de que el Comité decidida no

activar el Plan de Continuidad porque la gravedad del incidente no lo

requiere, sí será necesario gestionar el incidente para que no aumente su

gravedad.

4.5.14.3 Procedimiento de Notificación de Ejecución del Plan

Activar el árbol de llamadas para avisar a los integrantes de los diferentes

equipos que van a participar en el Plan.

65

Comité de Crisis

Equipo de Recuperación

Equipo de Coordinación

Logística

Equipo de Relaciones

Públicas

66

4.5.15 FASE DE TRANSICIÓN

4.5.15.1 Procedimiento de Concentración y Traslado de Material

y Personas

Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al

centro de reunión indicado. Además del traslado de personas a la propiedad del

administrador de la empresa, hay que trasladar todo el material necesario para

poner en marcha el centro de recuperación (cintas de backup, material de

oficina, documentación, etc.). Esta labor queda en manos del equipo logístico.

4.5.15.2 Procedimiento de Puesta en Marcha del Centro de

Recuperación

Una vez que el equipo de recuperación llegue y que los materiales empiecen a

llegar, pueden comenzar a instalar las aplicaciones en los equipos que se

encuentran en esta oficina. El equipo de recuperación solicitará al equipo de

logística cualquier tipo de material extra que fuera necesario para la

recuperación.

67

4.5.16 FASE DE RECUPERACIÓN

4.5.16.1 PROCEDIMIENTO DE RESTAURACIÓN

El orden de recuperación de las funciones se realizará según la criticidad los

sistemas: Pedidos, Facturación, Correo, Nóminas. Los dos primeros sistemas

deben recuperarse lo antes posible, en las 48 horas siguientes. Los demás

sistemas pueden esperar a recuperarse después de Pedidos y Facturación.

4.5.16.2 Procedimiento de Soporte Y Gestión

Una vez recuperados los sistemas, se avisará a los equipos de los

departamentos que gestionan los sistemas (listado del equipo de Unidades de

Negocio) para que realicen las comprobaciones necesarias que certifiquen que

funcionen de manera correcta y pueda continuarse dando el servicio.

Además el Equipo de Seguridad deberá comprobar que existen las garantías de

seguridad necesarias (confidencialidad, integridad, disponibilidad) antes de dar

por terminada la fase de recuperación.

68

4.5.17 FASE DE VUELTA A LA NORMALIDAD

Una vez con los procesos críticos en marcha y solventada la contingencia, hay

que plantearse las diferentes estrategias y acciones para recuperar la

normalidad total de funcionamiento.

4.5.17.1 Análisis del Impacto

Es el momento de realizar una valoración detallada de los equipos e

instalaciones dañadas para definir la estrategia de vuelta a la normalidad. Para

ello, el equipo de recuperación junto con el equipo de seguridad, realizarán un

listado de los elementos que han sido dañados gravemente y son irrecuperables,

así como de todo el material que se puede volver a utilizar. Esta evaluación

deberá ser comunicada lo antes posible al equipo director para que determinen

las acciones necesarias que lleven a la operación habitual lo antes posible.

4.5.17.2 Adquisición de Nuevo Material

Una vez realizada la evaluación del impacto, se determinará la necesidad de

nuevo material.

69

El Comité de Crisis contactará con el seguro de la compañía para conocer qué

parte cubre el seguro (dependiendo del tipo de póliza contratada por Shaw, S.A.)

y qué inversión tendrá que hacer la compañía en el material que no se pueda

recuperar. Contactar con los proveedores para que en el menor tiempo posible

reponga todos los elementos dañados.

4.5.17 FIN DE LA CONTINGENCIA

Dependiendo de la gravedad del incidente, la vuelta a la normalidad de

operación puede variar entre unos días (si no hay elementos clave afectados) e

incluso meses (si hay elementos clave afectados). Lo importante es que durante

el transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a

los clientes y trabajadores por parte de la compañía y que la incidencia afecte lo

menos posible al negocio.

70

V. CONCLUSIONES

Un Plan de Continuidad del Negocio debe considerar todas las áreas de la

empresa de manera integral incluso desde la estrategia, incorporando el DRP en

conjunto con los elementos mínimos requeridos para continuar con la operación

del negocio. Es un plan de procedimientos alternativos a la forma tradicional de

operar de la empresa y es una herramienta que ayuda a que los procesos que

se consideran críticos para la organización continúen funcionando en una

situación extraordinaria, a pesar de una situación incontrolable en el entorno.

El contar con un plan de esta naturaleza significa que la organización está

preparada adecuadamente para cualquier eventualidad, continuando con su

operación e impactando lo menos posible la salud financiera de la empresa. Las

primeras 72 horas después de la interrupción, son vitales para saber si el

negocio soportará o morirá debido a la contingencia que se presenta. Morir, no

será un acto inmediato, sino que puede ser un proceso irreversible y lento

porque no se tuvieron las respuestas inmediatas para adaptarse al entorno que

se presenta.

71

El Plan de Continuidad de Negocios es para toda la organización, y no debe

descansar sólo en el nivel directivo, ya que quien opera es el grupo que debe

estar más inmerso en el entendimiento y aplicación del mismo. Bajo esta

premisa, el capital humano tiene un peso importantísimo, ya que es el

responsable de su aplicación y operación, por lo que debe existir un adecuado

proceso de capacitación.

En caso, de que una empresa no cuente con un Plan de Continuidad de

Negocios, nuestra recomendación es reflexionar sobre los 4 aspectos mínimos

que apoyen la implantación de un plan contingente hasta que pase la crisis:

1. Crear un Comité de Crisis

2. Crear un vínculo de comunicación permanente con la organización

3. Desde el punto de vista de operaciones:

4. Desde el punto de vista de requerimientos:

Aunque no se cuente con un plan elaborado previamente a la crisis, es mejor en

este momento analizar, planear, ordenar y ejecutar, para mitigar el impacto y

generar mejores resultados.

72

Los beneficios de actuar bajo un plan son:

• Análisis claro y preciso, y conocimiento consistente y continuo sobre la

situación del negocio y la efectividad de la estrategia de continuidad

definida.

• Evaluación técnica de riesgos asociados a la continuidad y evaluación de

alternativas y estrategias de minimización de riesgos.

• Mapeo crítico de los recursos mínimos requeridos en la continuidad de

los procesos del negocio.

Un Plan de Continuidad de Negocios es un concepto aplicable a todo tipo de

industria y tamaño de empresa y debe considerarse como un plan vivo y

dinámico. El beneficio más importante es el conocimiento de la operación y de

todos y cada uno de quienes participan en cada proceso crítico. Es muy

importante enfatizar que no sólo es para los directivos, sino para todos los

elementos que forman parte de la corporación, aunque la decisión de elaborar

un plan de contingencia debe partir del equipo directivo ya que involucra la

supervivencia de la organización.

73

Si la organización no ha sido proactiva para elaborar un plan como este, todavía

está a tiempo de reaccionar y desarrollarlo en beneficio del futuro de su

organización. En esta situación de contingencia serán dañados muchos

negocios nobles y bien administrados que la corriente desvió de su destino, pero

saldrán fortalecidas aquellas organizaciones que supieron enfrentar la tormenta

con el motor a toda máquina y con alternativas viables que aseguren la

continuidad del negocio.

74

BIBLIOGRAFIA

1. Alexander, Alberto; “Diseño de un Sistema de Gestión de Seguridad de

Información”. Editora Alfaomega, Año 2005.

2. Barner, James; “A Guide to Business Continuity Planning”. Londres.

Editora John Wiley & Sons, LTD. Año 2001..

3. Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía

Práctica para su elaboración”; Ediciones Díaz de Santos, S.A., Año 2006.

4. Lee Chapman, Jacqueline; “Plan de Recuperación de Negocios en una

Semana”; Edición Gestión 2000, Año 2006.

5. Oz Effy; “Administración de Sistemas de Información”; 2da Edición. Año

2008.

6. Guía de las Buenas Prácticas de Continuidad de Negocios Año 2008

www.thebci.org/

7. Metodología de Análisis de Riesgos MAGERIT

www.csi.map.es/csi/pdf/magerit.pdf

8. Metodología de Análisis de Riesgos OCTAVE www.cert.org/octave/

9. Norma Internacional ISO/IEC 17799:2002

10. Revista de Seguridad SIC Junio 2007 www.revistasic.com

http://www.revistasic.com/

75

UNIVERSIDAD APEC

Escuela de Graduados Departamento de Especialidades y Maestrías

Maestría en Gerencia y Productividad

“Análisis del Impacto de un Plan de Continuidad de Negocios aplicado a una Empresa de Representaciones”

Trabajo de investigación profesional presentado como uno de los requisitos para obtener el titulo en la Maestría en Gerencia y

Productividad

Presentado por:

Ing. Maribel Valdez 2008-1165

Asesor:

Lic. Edmundo Morel

Santo Domingo Diciembre, 2009

76

“Análisis del Impacto de un Plan de Continuidad de Negocios aplicado a una

Empresa de Representaciones”

77

DEDICATORIAS

78

Dedico todo este esfuerzo a mi esposo Gilberto Gómez que tanto he amado, por su

comprensión, paciencia y solidaridad para emprender y culminar el camino que me

trajo a esta meta.

A mis hijas Maryann y Pamela, porque son la razón de mi esfuerzo y han sido las que

me han motivado alcanzar este triunfo.

Maribel Valdez

79

AGRADECIMIENTOS

80

“El sabio oye y aumenta el saber, mas el que oyere, habitará confiadamente y

vivirá tranquilo, sin temor del mal. Porque Jehová da la sabiduría, y de su boca

viene el conocimiento y la inteligencia. El provee de sana sabiduría a los rectos y

es escudo a los que caminan rectamente.”

Gracias a Dios Todo Poderoso que estás en los cielos por haberme dado la fuerza,

fortaleza e inteligencia para poder alcanzar este éxito. A mi esposo y mis hijas porque

siempre estuvieron junto a mí en todos los momentos apoyándome para poder llegar a

la cima. ¡Los amo mucho!

A mis padres Germania Mercedes y Eugenio Valdez, padres ejemplares de quienes

obtuve valores sobre mi persona y de quienes puede aprender todo lo que hoy en día

soy. Papá aunque físicamente no esté conmigo sabe que espiritualmente lo llevaré

siempre en mi corazón. A mis hermanos, Rosarito, Chiri y Niño, con la fe y la esperanza

de que este esfuerzo les sirva de estimulo en su camino.

Especialmente a Angela Valdez porque ha sido mi compañera en toda esta trayectoria y

sin ti no creo que hubiera podido cumplir con este reto que me ha trazado la vida. Te

quiero mucho Mana.

A Michelle Garcés mi amiga incondicional, por su gran apoyo profesional y su empeño

de que todo salga bien en la travesía de este proyecto. ¡Gracias mil!

A mis compañeros de post grado quienes también disfrutaran de este éxito.

Maribel Valdez

81

CAPITULO I

INTRODUCCION

82

CAPITULO II

MARCO TEÓRICO

83

CAPITULO III

METODOLOGIA

84

CAPITULO IV

RESULTADOS

85

CAPITULO V

CONCLUSIONES

86

INDICE

ÍNDICE

DEDICATORIAS

AGRADECIMIENTOS

RESUMEN EJECUTIVO

CAPITULO I. INTRODUCCION

Págs.

1.1 Definición del Problema 1

1.2 Objetivos del Estudio 5

1.3 Justificación 6

CAPITULO II. MARCO TEORICO

2.1 Incidentes y Riesgos que enfrentan las 8

2.2 Riesgos de los Sistemas de Información 11

2.2.1 Riesgos para el Hardware 11

2.2.2 Riesgos que corren las Aplicaciones y los Datos 14

2.3 ¿Qué es un Plan de Continuidad de Negocios? 16

2.4 Plan de Continuidad de Negocio y otros enfoques 19

2.5 Beneficios de un Plan de Continuidad de Negocios 20

2.6 Fases de un Plan de Continuidad de Negocios 21

2.6.1 Fase I: Análisis Business Impact Analysis (BIA) 23

2.6.1.1 Proceso Metodológico del BIA 24

2.6.2 Fase II: Gestión del Riesgo 27

87

2.6.2.1 Metodología del Cálculo del Riesgo 28

2.6.3 Fase III: Desarrollo de Estrategias de un Plan de Continuidad de

Negocio

30

2.6.4 Fase IV: Desarrollo del Plan de Reanudación de Operaciones 33

2.6.5 Fase V: Ensayo del Plan de Continuidad de Negocio 35

2.6.6 Fase VI: Mantenimiento del Plan de Continuidad de Negocio 35

CAPITULO III. METODOLOGIA DE LA INVESTIGACION 36

CAPITULO IV. RESULTADOS Y DISCUSIONES

4.1 Perfil de la empresa 38

4.2 Amenazas y Vulnerabilidades que pueden afectar a la empresa 40

4.3 Medidas para contrarrestar Amenazas y Vulnerabilidades 43

4.4 Visión de la Empresa frente a la necesidad de disponer de un Plan de

Continuidad de Negocio

44

4.5 Propuesta de un Plan de Continuidad de Negocios 45

4.5.1 Antecedentes 45

4.5.2 Análisis de Impacto 48

4.5.3 Componentes de los Procesos 49

4.5.4 Tiempo máximo de recuperación de los procesos 52

4.5.5 Análisis de Riesgos 53

4.5.6 Inventario de Activos 54

4.5.7 Listado de Amenazas 54

4.5.8 Vulnerabilidades 55

4.5.9 Evaluación de Riesgos 56

4.5.10 Recomendaciones - Contramedidas 56

88

4.5.11 Estrategia de Recuperación 57

4.5.12 Desarrollo del Plan 58

4.5.13 Comité de Crisis 59

4.5.13.1 Equipo de Recuperación 59

4.5.13.2 Equipo de Coordinación Logística 61

4.5.13.3 Equipo de Relaciones Públicas 62

4.5.13.4 Equipo de las Unidades de Negocio 63

4.5.14 Fase de Alerta 63

4.5.14.1 Procedimiento de Notificación del Desastre 63

4.5.14.2 Procedimiento de Ejecución del Plan 64

4.5.14.3 Procedimiento de Notificación de Ejecución del Plan 64

4.5.15 Fase de Transición 66

4.5.15.1 Procedimiento de Concentración y Traslado de Materiales y

Personas

66

4.5.15.2 Procedimiento de Puesta en Marcha del Centro de

Recuperación

66

4.5.16 Fase de Recuperación 67

4.5.16.1 Procedimiento de Restauración 67

4.5.16.2 Procedimiento de Soporte y Gestión 67

4.5.17 Fase de Vuelta a la Normalidad 68

4.5.17.1 Análisis del Impacto 68

4.5.17.2 Adquisición de Nuevo Material 68

4.5.18 Fin de la Contingencia 69

CAPITULO V. CONCLUSIONES 70

BIBLIOGRAFIA 74

89

RESUMEN EJECUTIVO

Muchos departamentos de TI en diversas empresas reconocen que no están

seguros de ser capaces de recuperar todos los datos críticos del negocio, ni de

poder realizarlo en un periodo de tiempo aceptable, sin tener que afectar los

compromisos previamente pautados con el cliente. Por otro lado, las compañías

que enfrentan fallos en la seguridad de su sistema, pueden llegar a perder la

confianza que los clientes tienen en su empresa. Entre los ejemplos que

pudiéramos citar, ante la falta de un plan de continuidad de negocio están los

ataques de denegación de servicios, robos de identidad y de números de tarjeta

de crédito, que pueden perjudicar seriamente la imagen de su negocio. La

reputación de la marca puede verse comprometida y empañada por un fallo de

seguridad. La pérdida de información financiera confidencial de un cliente es un

claro ejemplo de ello. La falta de prevención y protección de los activos

(información, equipamiento, conocimiento y sistemas) pueden llegar a ocasionar

incluso hasta la desintegración de la empresa.

El análisis de esta investigación, está basada en el cumplimiento del objetivo

general, que es analizar el impacto de un Plan de Continuidad de Negocios en

una empresa de representación, frente a incidentes o situaciones inesperadas

que afecten la seguridad de la empresa y su sistema de información.

90

Basado en este objetivo, el presente análisis pretende crear conciencia en

nuestra empresa objeto de estudio sobre la necesidad de contar con este plan,

como una alternativa de seguridad necesaria que disminuya cualquier tipo de

interrupción en el funcionamiento diario de la misma. Cada empresa debe contar

con trabajadores preparados para actuar oportunamente en eventualidades que

se presenten en sus centros de trabajo, tales como inundaciones, sismos,

sabotaje computacional, etc.

En conclusión, un buen Plan de Continuidad de Negocios minimizará la pérdida

financiera de la compañía, permitirá continuar con el servicio a los clientes y

mitigará los efectos que pueden producirse en los planes estratégicos, la

reputación, las operaciones y el mercado donde está situada la compañía. La

participación de toda la compañía es crucial para el éxito del desarrollo y

ejecución del plan. La dirección general es el primer responsable del desarrollo

del mismo y debe garantizar los activos de la compañía y la viabilidad de la

organización.

Un Plan de Continuidad de Negocios es un concepto aplicable a todo tipo de

industria y tamaño de empresa y debe considerarse como un plan vivo y

dinámico. El beneficio más importante es el conocimiento de la operación y de

todos y cada uno de quienes participan en cada proceso crítico.

91

Es muy importante enfatizar que no sólo es para los directivos, sino para todos

los elementos que forman parte de la corporación, aunque la decisión de

elaborar un plan de contingencia debe partir del equipo directivo ya que

involucra la supervivencia de la organización.

Si la organización no ha sido proactiva para elaborar un plan como este, todavía

está a tiempo de reaccionar y desarrollarlo en beneficio del futuro de su

organización. En esta situación de contingencia serán dañados muchos

negocios nobles y bien administrados que la corriente desvió de su destino, pero

saldrán fortalecidas aquellas organizaciones que supieron enfrentar la tormenta

con el motor a toda máquina y con alternativas viables que aseguren la

continuidad del negocio.

92

Resumen Ejecutivo

Planteamiento del problema - .NET Framework

Documents

Transcript of Planteamiento del problema - .NET Framework