Planteamiento del problema - .NET Framework
Transcript of Planteamiento del problema - .NET Framework
1
1.1 DEFINICION DEL PROBLEMA
Hoy en día muchas empresas carecen de un plan de contingencia que le
asegure la continuidad de su negocio a la hora de enfrentarse a una
catástrofe o cualquier eventualidad inesperada, por tal motivo se ha decidido
analizar y evaluar cada una de las actividades que se realizan en la empresa
para implementar un plan de continuidad de negocio que le permita subsistir
ante cualquier acontecimiento que afecte de manera drástica sus
operaciones.
La falta de información en los momentos críticos, las interrupciones continuas
de la energía eléctrica y la amenaza de fenómenos naturales son las
principales causas potenciales que pueden llegar a interrumpir el negocio de
esta empresa de representaciones. Esta empresa se dedica a la
representación de casas extranjera (Estados Unidos, Europa, Centro América
y el Caribe), la cual no posee un plan de continuidad de negocio y carece de
un personal debidamente capacitado en el área de la seguridad de los
sistemas de información y a la vez posee un conocimiento limitado en cuanto
a la real importancia que se le debe dar a las informaciones que posee la
empresa.
La realidad es que la empresa puede sufrir un incidente que afecte su
continuidad y dependiendo de la forma en que se gestiones dicho incidente,
las consecuencias pueden ser graves.
2
La íntima dependencia que existe entre el negocio y los sistemas de
información exige que éstos estén preparados para afrontar las múltiples
amenazas que ponen en riesgo su operatividad y, en consecuencia, la
continuidad del negocio. A este respecto, el mercado siempre cuenta con un
promedio de fallos en copias de seguridad y en restauración de archivos.
Muchos departamentos de TI en diversas empresas reconocen que no están
seguros de ser capaces de recuperar todos los datos críticos del negocio, ni
de poder realizarlo en un periodo de tiempo aceptable, sin tener que afectar
los compromisos previamente pautados con el cliente. Por otro lado, las
compañías que enfrentan fallos en la seguridad de su sistema, pueden llegar
a perder la confianza que los clientes tienen en su empresa. Entre los
ejemplos que pudiéramos citar, ante la falta de un plan de continuidad de
negocio están los ataques de denegación de servicios, robos de identidad y
de números de tarjeta de crédito, que pueden perjudicar seriamente la
imagen de su negocio.
La reputación de la marca puede verse comprometida y empañada por un
fallo de seguridad. La pérdida de información financiera confidencial de un
cliente es un claro ejemplo de ello. La falta de prevención y protección de los
activos (información, equipamiento, conocimiento y sistemas) pueden llegar a
ocasionar incluso hasta la desintegración de la empresa.
3
“Un Plan de Continuidad de Negocios es el resultado de la aplicación de una
metodología interdisciplinaria, llamada Cultura BCM, usada para crear y
validar planes logísticos para la práctica de cómo una organización debe
recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas
dentro de un tiempo predeterminado después de una interrupción. ” 1
“La continuidad del negocio es la principal preocupación de los consejeros
delegados de las compañías. Esto implica la realización de estudios de
mercado para analizar la forma de incrementar sus ventas, llegando a
cambios estructurales en la compañía para adaptarse a los cambios del
entorno y a la regulación y normativa nacional e internacional. Para ese fin
destinan parte de sus presupuestos y recursos.”2
Finalmente es de suma importancia que las empresas le den prioridad a sus
planes de continuidad, ya que por lo general nunca estamos preparados para
esos factores externos, que en un momento dado le pueda cambiar el rumbo
a una organización hasta tal punto de hacerla desaparecer del mercado, pero
un buen plan de recuperación le puede evitar tal situación.
1 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de Santos, S.A. , Año 2006. 2 http://www.borrmart.es/articulo_redseguridad.php?id=564&numero=18
4
Para analizar el impacto de un Plan de Continuidad de Negocios en una
Empresa de Representación, daremos respuestas a la siguiente incógnita
general:
✓ ¿Cuál es el impacto que produce un Plan de Continuidad de Negocios en
una empresa de representación, frente a incidentes o situaciones
inesperadas que afecten la seguridad de la empresa y su sistema de
información?
Por otro lado, puntualizaremos los detalles más específicos de este plan
desglosando las siguientes incógnitas específicas:
✓ ¿Cuáles son las causas potenciales que amenazan la organización?
✓ ¿Cuáles son los riesgos, responsabilidades, políticas y procedimientos
que estén de acuerdo con las entidades internas y externas de la
empresa?
✓ ¿Cuáles operaciones del negocio son críticas para poder continuar el
funcionamiento de la empresa después de un incidente no planificado?
✓ ¿Qué tiempo crítico de recuperación enfrenta la empresa frente a un
desastre natural, sin comprometer la funcionalidad del negocio?
5
1.2 OBJETIVOS DE LA INVESTIGACIÓN
Este análisis está basado en los siguientes objetivos generales y específicos:
Objetivo General:
• Analizar el impacto de un Plan de Continuidad de Negocios en una
empresa de representación, frente a incidentes o situaciones
inesperadas que afecten la seguridad de la empresa y su sistema de
información.
Objetivos Específicos:
• Analizar las causas potenciales que amenazan la organización.
• Documentar los riesgos, responsabilidades, políticas y procedimientos
que estén de acuerdo con las entidades internas y externas de la
empresa.
• Identificar las operaciones de negocio críticas para poder continuar el
funcionamiento de la empresa después de un incidente no planificado.
• Determinar el tiempo crítico de recuperación de la empresa frente a un
desastre natural, sin comprometer la funcionalidad del negocio.
6
1.3 JUSTIFICACIÓN
Actualmente las empresas en nuestro país se ven amenazadas por distintos
fenómenos o situaciones adversas, que atentan contra la seguridad de la
empresa. Durante los últimos años, se ha sembrado un estado de
preocupación en las compañías y en los directivos de las mismas, al
enfrentarse a tormentas, ciclones, robos, cortos circuitos, entre otros
inconvenientes.
Por esta razón, es una necesidad imperante implicar a la dirección general y
a todas las direcciones del negocio para asegurar la efectividad de un plan de
continuidad de negocios que tenga la capacidad para restablecer la
infraestructura tecnológica de la organización en caso de un conflicto severo.
Frecuentemente los administradores o responsables de los sistemas de
cómputo empiezan a tomar en cuenta la seguridad de su sistema después de
haber sido objeto de un ataque, dando como resultado la pérdida de
información, horas de trabajo e incluso de dinero.
La seguridad en el trabajo es uno de los factores más importantes y por ende,
contar con un Plan de Continuidad de Negocios les garantiza crecimiento de
su productividad.
7
De esta manera, el presente análisis pretende crear conciencia en nuestra
empresa objeto de estudio sobre la necesidad de contar con este plan, como
una alternativa de seguridad necesaria que disminuya cualquier tipo de
interrupción en el funcionamiento diario de la misma. Cada empresa debe
contar con trabajadores preparados para actuar oportunamente en
eventualidades que se presenten en sus centros de trabajo, tales como
inundaciones, sismos, sabotaje computacional, etc.
Además, deben contar con un programa de capacitación sobre seguridad y
protección, para que cualquier trabajador sepa que hacer en caso de
emergencia. Constantemente se experimentan situaciones de emergencia,
directa o indirectamente, las cuales se manifiestan en respuestas equívocas
ocasionadas por el temor, miedo o un extremoso pánico aterrador.
El establecimiento de procedimientos y medidas de seguridad están
destinados a salvaguardar la unidad administrativa, la estructura física del
centro de cómputo, al personal, sus procedimientos operacionales, la
información y documentación generada contra cualquier evento natural o
humano que de forma intencional o por accidente puedan afectarlos.
8
“Un buen Plan de Continuidad de Negocios minimizará la pérdida financiera
de la compañía, permitirá continuar con el servicio a los clientes y mitigará los
efectos que pueden producirse en los planes estratégicos, la reputación, las
operaciones y el mercado donde está situada la compañía”.3
“La participación de toda la compañía es crucial para el éxito del desarrollo y
ejecución del plan. La dirección general es el primer responsable del
desarrollo del mismo y debe garantizar los activos de la compañía y la
viabilidad de la organización”.4
II. MARCO TEORICO
2.1 INCIDENTES Y RIESGOS QUE ENFRENTAN LAS EMPRESAS
A la velocidad con la que operan los negocios actuales un incidente de unas
pocas horas de duración puede tener un impacto catastrófico en los
resultados y en la imagen de la organización que lo sufra. La íntima
dependencia que existe entre el negocio y los sistemas de información exige
que éstos estén preparados para afrontar las múltiples amenazas que ponen
en riesgo su operatividad y, en consecuencia, la continuidad del negocio.
3 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año
2006, Pág. 11 4 Ibid, Pág 12
9
“Eventos como la irrupción de un virus o la instalación de un parche de
seguridad pueden conducir a la in operabilidad temporal de los sistemas, la
pérdida de información crítica o, en última instancia, la inutilización de las
infraestructuras.
No sólo las catástrofes ambientales, tales como incendios o
inundaciones, pueden causar daños adversos a una organización.”5 Otros
tipos de incidentes, como los que se detallan a continuación, pueden tener
impactos adversos para una compañía:
Incidentes serios de seguridad en los sistemas, como delitos
cibernéticos, pérdida de información, robo de información sensible o su
distribución accidental, fallos en los sistemas TI, errores de
operación en los sistemas, etc.
Daños en las infraestructuras o en los servicios, fallos en el
suministro eléctrico, fallos en el suministro de agua, fallos en las
comunicaciones, huelgas en los servicios de limpieza.
Fallos en los equipos o en los sistemas, incluyendo fallos en las
fuentes de alimentación, en los equipos de refrigeración.
5 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año
2006, Pág. 20
10
Daños deliberados como actos de terrorismo o de sabotaje, guerras,
robos, huelgas, etc.
“Los accidentes afectan de forma diferente a cada organización, dependiendo
de su tamaño y de su área de actividad, no siendo el tamaño una
característica fundamental; las pequeñas y medianas organizaciones también
pueden verse seriamente afectadas. Las consecuencias de estos accidentes
sobre las organizaciones que no tienen un plan de continuidad de negocio
pueden llegar a ocasionar incluso el cierre de las mismas.”6
A pesar de que los efectos inmediatos de un desastre aparentemente son la
pérdida de beneficios por la parada de actividad puntual y la incapacidad para
proveer servicios críticos, no son éstos los efectos más perniciosos que un
incidente de este tipo provoca.
Otros efectos derivados que pueden causar un gran impacto en la compañía
son la pérdida de reputación de cara a los clientes, o la pérdida de
ventaja competitiva con otras compañías.
6 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año
2006, Pág. 22
11
2.2 RIESGOS DE LOS SISTEMAS DE INFORMACIÓN
Los sistemas de información enfrentan riesgos, tales como: desastres
naturales, vandalismos, robo de información, alteración y destrucción de
datos, virus de computadora y otro tipo de accidentes. Una empresa llamada
Safeware, The Insurance Agency, Inc. estima que, de acuerdo con los casos
reportados, las pérdidas relacionadas con computadoras de escritorio y
portátiles aumentaron de 1,300 millones de dólares en 1992 a 2,000 millones
de dólares en 1993. Más de la mitad de ellas se atribuyen a daños y
sobrecargas de energía.7
El robo sigue siendo la principal causa de perjuicio financiero, pero también
los desastres naturales son el origen de pérdidas cuantiosas.
2.2.1 Riesgos para el Hardware
Entre los riesgos que corre el hardware se incluyen daño físico a
computadoras, equipo periférico y medios de comunicación. Las principales
causas de dicho daño son los desastres naturales, los apagones e
interrupciones en la corriente eléctrica y el vandalismo.
7 Oz, Effy; “Administración de Sistemas de Información”, Segunda Edición
12
a) Desastres Naturales. Los desastres naturales que representan un riesgo
para los SI son los incendios, inundaciones, terremotos, tornados y rayos,
que pueden destruir hardware, software o ambos, causando la parálisis total
o parcial de sistemas o líneas de comunicación.
El agua de las inundaciones provoca cortocircuitos. Obviamente, todos los
datos y programas almacenados en los chips de memoria de una
computadora se pierden cuando esto sucede. El agua de las inundaciones y
el calor creado cuando los circuitos se sobrecargan también pueden
estropear la superficie de los medios de almacenamiento, como discos y
cintas magnéticas, destruyendo así los datos.
Por su parte, la fauna y algunos errores humanos pueden destruir líneas de
comunicación; hay animales que roen los cables, y en ocasiones, los
granjeros cortan los cables por accidente mientras cuidan sus cultivos8.
La manera más fácil de protegerse contra la pérdida de datos por desastres
naturales (aunque no sólo por éstos) es duplicar automáticamente todos los
datos de manera periódica y guardar esa copia en un lugar lejos de la oficina,
como se explicará más adelante.
8 Oz, Effy; “Administración de Sistemas de Información”, Segunda Edición
13
En lo que se refiere al daño natural, los medios de comunicación se
encuentran entre las partes más vulnerables de un sistema, porque se
encuentran fuera del ámbito de operación de una organización.
Aunque aumentan bastante el costo del hardware de comunicaciones, puede
utilizar gruesos recubrimientos de plástico para proteger los cables y
alambres de dicho equipo.
b) Apagones y Bajos Voltajes. Las computadoras funcionan con
electricidad. Si el flujo de energía eléctrica se interrumpe, la computadora y
sus dispositivos periféricos no pueden funcionar, y esta variación en el
suministro puede tener efectos muy dañinos en la computadora y al
almacenamiento de información.
Durante los apagones, como se sabe, se interrumpe por completo el flujo de
energía eléctrica. En las bajas de voltaje, disminuye o hay cortes muy breves
en el flujo de energía. Una falla en el suministro no sólo puede trastornar las
operaciones, sino también causar daños irreparables al hardware. Las
sobrecargas de voltaje son igualmente lesivas, porque su impacto sobre el
equipo es similar al de los rayos.
14
c) Vandalismo. A veces las personas destruyen de manera deliberada los
sistemas de computadora. Los clientes molestos pueden dañar cajeros
automáticos, o los empleados resentidos pueden destruir equipo de cómputo
por temor a perder sus trabajos, o sólo para vengarse de sus superiores. Es
difícil proteger a las computadoras contra el vandalismo. A menudo los
cajeros automáticos y otro equipo accesible al público están protegidos en
gabinetes de metal, pero alguien persistente puede causar daños graves. En
el lugar de trabajo, la mejor medida contra el vandalismo es permitir el acceso
sólo a quienes realmente necesitan utilizar el sistema. El equipo delicado,
como los servidores, debe colocarse en un cuarto especial9.
2.2.2 Riesgos que corren las Aplicaciones y los Datos
Todos los sistemas de cómputo son susceptibles de sufrir alteraciones y
daños. Aunque la causa de la destrucción de hardware a menudo, es algún
desastre natural o problemas en el suministro de energía, en el caso de
software la culpa casi siempre recae en un ser humano. Los principales
riesgos que corren las aplicaciones y los datos de software son el robo de
información, la alteración y destrucción de datos, los virus de computadoras,
los programas que permiten acceso no autorizado y contratiempos no
intencionales.
9 Oz, Effy; “Administración de Sistemas de Información”, Segunda Edición
15
a) Robo de Información. Antes de las computadoras electrónicas, la mayor
parte de las empresas mantenían en secreto la información en un lugar
seguro. Ahora hasta la información más confidencial suele guardarse en
forma electrónica en alguna parte de un sistema de información de la
empresa.
El equivalente electrónico de la llave es el código, una combinación de
caracteres necesarios para acceder a datos protegidos. En estos días, miles
de páginas de información pueden almacenarse en un pequeño disco
magnético, por lo que es más fácil robar la información y también más fácil de
ocultar.
b) Alteración y Destrucción de Datos. La alteración o destrucción de datos
suele ser producto de un acto de perversidad. Ambos son las peores
pesadillas de los jefes de información y administradores de base de datos.
Reintegrar registros perdidos o alterados no es lo único que causa daño
financiero. Aunque el daño real no es grande, el personal SI debe pasar
mucho tiempo examinando los almacenes de datos para asegurar la
integridad de todos los recursos, y también determinar cómo el responsable
violó los controles de seguridad10.
10 Oz, Effy; “Administración de Sistemas de Información”, Segunda Edición
16
c) Virus de Computadora. Los virus de computadora suelen ser unas
cuantas líneas de código de programación que se insertan en un programa
legítimo, y que más tarde un usuario poco prudente copia y activa. Los virus
de computadora deben su nombre a que actúan sobre programas y datos de
manera similar a como los virus actúan sobre el tejido vivo: los virus de
computadora se propagan con facilidad de una computadora a otra.
2.3. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIOS?
Un Plan de Continuidad de Negocios, tiene la capacidad para responder a
una interrupción de los servicios mediante la implementación de un plan para
restablecer las funciones críticas de la organización.
“Un Plan de Continuidad de Negocio se compone de varias fases que
comienzan con un análisis de los procesos que componen la organización.
Este análisis servirá para priorizar qué procesos son críticos para el negocio
y establecer una política de recuperación ante un desastre. Por cada
proceso se identifican los impactos potenciales que amenazan la
organización, estableciendo un plan que permita continuar con la actividad
empresarial en caso de una interrupción.”11
11 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año 2006, Pág. 11
17
FIGURA 1. CICLO DE VIDA DEL PLAN DE CONTINUIDAD DE NEGOCIOS
Imagen de un artículo publicado el 6 de Abril del 2009 en el Blog Open – SE-
Seguridad y Contra Seguridad Informática.
Fuente: ehopen-sec.blog/spot.com/2009/04/plan-de-continuidad-del-negocio.html
“Un Plan de Continuidad de Negocio, a diferencia de una Plan de
Contingencia, está orientado al mantenimiento del negocio de la
organización, con lo que priorizará las operaciones de negocio críticas
necesarias para continuar en funcionamiento después de un incidente no
planificado.”12
12 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de
Santos, S.A. , Año 2006.
18
En el desarrollo de un Plan de Continuidad de Negocio existen dos
preguntas clave:
¿Cuáles son los recursos de información relacionados con los
procesos críticos del negocio de la compañía?
¿Cuál es el período de tiempo de recuperación crítico para los
recursos de información en el cual se debe establecer el
procesamiento del negocio antes de que se experimenten pérdidas
significativas o aceptables?
Un Plan de Continuidad reducirá el número y la magnitud de las
decisiones que se toman durante un período en que los errores pueden
resultar mayores. El Plan establecerá, organizará y documentará los
riesgos, responsabilidades, políticas y procedimientos, acuerdos con
entidades internas y externas. La activación de un Plan de Continuidad
debería producirse solamente en situaciones de emergencia y cuando las
medidas de seguridad hayan fallado.”13
13 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de
Santos, S.A. , Año 2006.
19
2.4 Plan de Continuidad de Negocio y otros enfoques
Es importante mencionar algunos de los enfoques más relevantes al tema de
un plan de continuidad de negocio usados internacionalmente, y que
guardan cierta estrecha relación y a su vez diferencias. El plan de
continuidad es una disciplina que prepara a la organización a poder continuar
operando durante un desastre, a través de la implantación de dicho plan.
También es un documento que contiene procedimientos y lineamientos para
ayudar a la recuperación y restablecimiento de procesos interrumpidos y
recursos al estado de operación normal, en un tiempo prudencial.
Disaster Recovery Planning (DRP): Se enfoca en la recuperación del
servicio de TI y los recursos, dado un evento que ocasionara una
interrupción mayor en su funcionamiento.
Business Resumption Planning (BRP): Se enfoca en la utilización de
procedimientos relacionados con el área de trabajo.
Continuity of Operations Planning (COOP): Busca la recuperación de
las funciones estratégicas de una organización que se desempeña en
sus instalaciones corporativas.
Contingency Planning (CP): Se enfoca en la recuperación de los
servicios y recursos de TI, después de un desastre de dimensiones
mayores o de una interrupción menor.
20
Emergency Response Planning: Su objetivo es salvaguardar a los
empleados, el público, el ambiente y los activos de la empresa.
Cada una de estas ópticas de planeación se centra en la protección de
aspectos específicos de la organización, ignorando otras áreas críticas. Para
atender esta limitación, se requieren de un enfoque de planeación integrado,
que le permita proteger todas las áreas críticas de la organización. Las
inundaciones, los huracanes, los maremotos o tsunamis, los sismos o
terremotos, incendios y atentados son ejemplos de sucesos o eventos
calamitosos.
Las empresas no solo son vulnerables al impacto de calamidades, sino de
pequeños eventos que pueden interrumpir las actividades de la firma.
Diversos factores, como: a) incremento en la dependencia tecnológica y b)
las presiones de velocidad del Mercado, han hecho a las empresas
sumamente sensibles a catástrofes o eventos menores que generan
perturbación en sus operaciones.
2.5 BENEFICIOS DE UN PLAN DE CONTINUIDAD DE NEGOCIOS
Identifica los diversos eventos que podrían impactar sobre la
continuidad de las operaciones y su impacto financiero, humano y de
reputación sobre la organización.
21
Obliga a conocer los tiempos críticos de recuperación para volver a
la situación anterior al desastre sin comprometer al negocio.
Previene o minimiza las pérdidas para el negocio en caso de desastre.
Clasifica los activos para priorizar su protección en caso de desastre.
Aporta una ventaja competitiva frente a la competencia.
Fomenta e implica a los recursos humanos de la compañía en las
actividades de continuidad.
2.6 FASES DE UN PLAN DE CONTINUIDAD DE NEGOCIOS
“Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar
por obtener un conocimiento de la compañía: sus productos/servicios, sus
objetivos empresariales, procesos internos, etc. No es lo mismo un Plan
de Continuidad para una empresa de servicios de Internet que para una
empresa fabricante de juguetes. “14
Aunque en ambos casos el objetivo será el de seguir dando servicio a sus
clientes, las actividades y procesos sobre las que se soporta la empresa
tendrán diferentes prioridades de recuperación ante una contingencia grave.
14 http://www.disaster-recovery-guide.com/
22
“El propósito general de un Plan de recuperación es obtener un mapa de
acciones que reduzcan “la toma de decisiones” durante las operaciones de
recuperación, restaure los servicios críticos rápidamente y permita un normal
funcionamiento de los sistemas y procesos lo antes posible, minimizando
costos y aumentando la efectividad.”15 En este gráfico se ilustra el proceso
con sus distintas fases y para facilitar el método de gestión del proceso, se
pormenorizan sus respectivos entregables en cada una de sus etapas.
FIGURA 2. EL PROCESO PCN Y LOS ENTREGABLES
Fuente: Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones
Alfaomega, Año 2005 Pág. 70
15 http://www.disaster-recovery-guide.com/
23
2.6.1 FASE I: ANÁLISIS BUSINESS IMPACT ANALYSIS (BIA)
Se trata de obtener un conocimiento de los objetivos de negocio y de
los procesos que se consideran críticos para el funcionamiento de la
compañía.
Una vez identificados los procesos críticos, se analizarán cuáles son
los riesgos asociados a dichos procesos para identificar cuáles son las
causas potenciales que pueden llegar a interrumpir un negocio.
El Análisis de Impacto (BIA– Business Impact Analysis), nos permitirá
identificar la urgencia de recuperación de cada función de negocio,
determinando el impacto en caso de interrupción. Esta información nos
permitirá seleccionar cuál es la estrategia más adecuada.”16
Esta fase consiste en identificar aquellos procesos relacionados con apoyar
la misión de la empresa, y analizar con muchos detalles los impactos en la
gestión comercial del negocio, si esos procesos fuesen interrumpidos como
resultado de un desastre.
16 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005
24
2.6.1.1 Proceso Metodológico del BIA
El proceso BIA consiste en una secuencia de pasos interactivos con el
propósito de identificar los impactos de una interrupción, y determinar los
requerimientos para restablecer aquellos procesos críticos del negocio que
se hayan afectado por un desastre. A continuación una breve descripción de
cada uno de los distintos pasos metodológicos17:
FIGURA 3 METODOLOGIA DEL BUSINESS IMPACT ANALYSIS
Fuente: Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones
Alfaomega, Año 2005 Pág. 74
17 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005
Identificación de
Funciones y Procesos
de Negocios
Evaluación de los
Impactos Financieros y
Operacionales Negocios
Identificación de
Procesos Críticos
Establecimiento de los
Tiempos de
Recuperación
Identificación de
Requerimientos de
Recursos
Determinación del
RTO
Determinación del
RPO
Identificación de
Procedimientos
Alternos
Generación del
Informe BIA
25
PASO I - Identificación de Funciones y Procesos de Negocios: El
propósito de este es identificar las funciones de negocios y procesos
que son utilizadas para apoyar la misión, metas y objetivos donde se
encuentra el alcance del Sistema de Gestión de Seguridad de
información.
Paso II – Evaluación de los impactos Financieros y Operacionales: En
este paso deben evaluarse los impactos de una interrupción en la
organización, tanto desde una perspectiva financiera como
operacional. Luego de haber identificado el Impacto financiero, se
debe medir el impacto en una base de severidad, basada en el valor
de la perdida monetaria. La medición de los impactos operacionales
evalúa el impacto negativo de una interrupción, en varios aspectos de
las operaciones del negocio.
Paso III – Identificación de Procesos Críticos: La clasificación
financiera y operacional de los impactos provee una base para
identificar procesos críticos del negocio.
Paso IV – Establecimiento de los Tiempos de Recuperación: Los
requerimientos de los tiempos de recuperación consisten en una serie
de componentes que tienen que ver con el tiempo disponible para
recuperarse de una alteración.
Paso V – Identificación de Requerimientos de Recursos: Un sistema
de tecnología de información o una aplicación se considera vital si
apoya un proceso crítico del negocio.
26
Paso VI – Determinación del Recovery Time Objetive: El RTO esta
asociado con la recuperación de recursos trastornados tanto de TI
como ajenos; es el tiempo entre el desastre y la recuperación de los
recursos. Indica el tiempo disponible para recuperar recursos
transformados. El WRT es el tiempo requerido para completar el
trabajo interrumpido a fin de volverlo a la normalidad.
Paso VII – Determinación del Recovery Point Objetive: El BIA debe
determinar el RPO por cada aplicación. Una manera práctica de
hacerlo es preguntar: ¿Cuál es la tolerancia máxima del tiempo que los
datos pueden estar perdidos, sin afectar el desempeño del sistema?
Paso VIII – Identificación de Procedimientos Alternos: La identificación
de procedimientos alternos permite que los procesos de negocios
puedan continuar si se presentara una interrupción. La idea es buscar
métodos alternos, usualmente operaciones manuales temporales.
Paso IX – Generar Resumen de informe BIA: Los resultados de los
pasos que han precedido se resumen en esta fase para convertirlos en
una guía para el BIA. El resumen se suele presentar en el siguiente
informe:
• Lista de procesos críticos
• Lista de tiempos MTD y su jerarquización
• Lista jerarquizada de sistemas y aplicaciones
27
• Lista jerarquizada de recursos ajenos a tecnología de
información
• Lista de tiempos RTO
o Lista de procedimientos alternos
2.6.2 FASE II: GESTIÓN DEL RIESGO
El Objetivo de un análisis de riesgos es identificar y analizar los
diferentes factores de riesgo que potencialmente podrán afectar a las
actividades que queremos proteger. Se ha de tener en cuenta la probabilidad
de que sucedan cada uno de los problemas posibles.”18
Las actividades de la gestión del riesgo evalúan las amenazas de un
desastre, pormenorizan las vulnerabilidades existentes, los potenciales
impactos de un desastre, identifican e implementan los controles necesarios
para prevenir o reducir los riesgos de un desastre y terminan identificando
escenarios de amenazas para aquellos procesos considerados esenciales en
el BIA. El entregable de esta etapa es un informe de riesgos y controles.
Este documento identifica las posibles amenazas potenciales de
interrupciones del negocio y los respectivos riesgos.
18 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de
Santos, S.A. , Año 2006.
28
FIGURA 4. ESQUEMA DEL ANÁLISIS DE RIESGOS
Fuente: Guía de las Buenas Prácticas Año 2008 del Instituto de la Continuidad de
Negocios (www.thebci.org)
2.6.2.1 Metodología del Cálculo del Riesgo
En este gráfico se ilustran los pasos metodológicos recomendados para
hacer el cálculo de la exposición del riesgo, y posteriormente poder
determinar los escenarios de amenazas que afectan la empresa o el área a la
cual se le realice el estudio19.
19 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005
Identificación
de Amenazas
Identificación
de Activos
Evaluar
Vulnerabilidades
Analizar
Riesgos
Determinar
Impacto
Evaluar Medidas
29
FIGURA 4 METODOLOGÍA DEL CÁLCULO DEL RIESGO
Fuente: Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones
Alfaomega, Año 2005 Pág. 84
Los pasos metodológicos se describen así:
1. Identificación de Amenazas: Son aquellas que afectan los activos de las
funciones organizacionales. El método recomendado para identificar las
amenazas tiene dos etapas: a) Análisis general de amenazas y b) Análisis
de procesos esenciales.
2. Identificación de Vulnerabilidades: Es fundamental recalcar que una
vulnerabilidad no causa daño; simplemente es una condición o conjunto
de condiciones que pueden hacer que una amenaza afecte un activo.
Identificación de
Amenazas
Identificación de
Vulnerabilidades
Revisión de Controles
Actuales y Mitigar el
Riesgo
Cálculos del Nivel de
Exposición al Riesgo
Determinar los Escenarios de
Amenazas
30
3. Revisión de controles actuales: El resultado de esta etapa es una lista de
todos aquellos controles, su estado de funcionamiento y el detalle de todo
lo que se deba instaurar para reforzar las vulnerabilidades y minimizar las
consecuencias en la empresa, si el desastre se presentara.
4. Cálculo del Nivel de Exposición al riesgo: Una vez detectadas las
amenazas, la dependencia de recursos de cada función organizacional y
sus vulnerabilidades, se debe proceder a precisar el grado de severidad
de cada potencial amenaza identificada y cobertura, la cual es el grado de
protección que tiene la empresa frente a una amenaza en particular.
5. Determinar escenarios de amenazas: Una vez identificadas las amenazas
y las respectivas vulnerabilidades organizacionales, es fundamental
establecer los respectivos controles para fortalecer las vulnerabilidades y
minimizar la posibilidad de que el desastre penetre en la empresa y le
cause daño.
2.6.3 FASE III: DESARROLLO DE ESTRATEGIAS DE UN PLAN DE
CONTINUIDAD DE NEGOCIO
“En esta fase se seleccionarán los métodos operativos alternativos que se
van a utilizar en caso de que ocurra un incidente que provoque una
interrupción en la organización.
31
El método seleccionado deberá garantizar la restauración de los procesos
afectados en los tiempos determinados por el Análisis de Impacto.”20 Esta
fase tiene dos objetivos:
Por un lado, valorar las diferentes alternativas y estrategias de
respaldo en función de los resultados obtenidos en la fase anterior,
para seleccionar la más adecuada a las necesidades de la compañía.
Por otro lado, corregir las vulnerabilidades detectadas en los
procesos críticos de negocio identificadas en el Análisis de Riesgos.
Aquí se evalúan los requerimientos y se identifican las opciones para la
recuperación de procesos críticos y sus recursos, en el escenario en que
fuesen interrumpidos por un desastre. El entregable es un informe en donde
se pormenoriza la identificación de opciones viable para la recuperación de
recursos y servicios, dada la posibilidad de que fuesen impactados por una
interrupción del negocio.21
Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo,
mayor será el costo de la solución. Por ello es conveniente realizar un
análisis con tiempos de recuperación adecuados y adaptados a la realidad de
la compañía.
20 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año
2006, Pág. 36 21 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones
Alfaomega, Año 2005
32
“Una vez tomada la decisión sobre el tipo de estrategia que se utilizará,
pasaremos a desarrollar todos los procedimientos que permitirán restablecer
los procesos de negocio.”22 El diseño de una estrategia de continuidad, se
presenta a continuación en el siguiente gráfico:
FIGURA 5 DESARROLLO DE UNA ESTRATEGIA DE CONTINUIDAD
Fuente: Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005 Pág. 89
22 Lee Chapman, Jacqueline ; “Plan de Recuperación de Negocios en una Semana”; Edición Gestión 2000, Año 2006, Pág. 38
Identificar Requerimientos de Recuperación
Identificar áreas de
Trabajo Requeridas
Centro de Comando
Identificar Sistemas
de TI Requeridos
Identificar requerimientos
de Producción, Equipos,
Alternativas de Producción
Requerimientos
de Datos Vitales,
Documentos y
Registros
Identificar Opciones de Recuperación
Áreas de Trabajo Sistemas de TI Producción Documentos
Evaluar Disponibilidad de Opciones
Evaluar Opciones
de Recuperación
Evaluar Opciones
de Recuperación
Documentar
Estrategias de
Continuidad
33
La fase A determina los requerimientos de recuperación para ser
atendidos por la estrategia del plan de continuidad.
La fase B busca identificar posibles opciones como soluciones a los
requerimientos de recuperación.
La fase C elimina aquellas opciones que no cumplen aquellos tiempos
de recuperación identificados en el BIA.
La fase D con las opciones que quedan, evalúa los costos y las
potencialidades para seleccionar las opciones más viables y eficaces.
2.6.4 FASE IV: DESARROLLO DEL PLAN DE REANUDACIÓN DE
OPERACIONES
“Una vez que se ha seleccionado la estrategia de respaldo hay que
desarrollarla e implantarla dentro de la compañía. En esta fase desarrollan
los procedimientos y planes de actuación para las distintas áreas y equipos,
y se organizan los equipos que intervienen en cada fase del Plan. A partir de
aquí se desarrollan los siguientes elementos :”23
Los equipos necesarios para el desarrollo del Plan.
Las responsabilidades y funciones de cada uno de los equipos.
Las dependencias orgánicas entre los diferentes equipos.
23 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de
Santos, S.A. , Año 2006.
34
5. Re- constitució
n
4. Reanudación de
Operaciones
3. Aprovisionamiento de Recursos
2. Medidas de Contingencia Provisionales
1. REspuesta Inicial y Evaluación
El desarrollo de los procedimientos de alerta y actuación ante eventos
que activen el plan.
La estrategia de vuelta a la normalidad.
Esta fase desarrolla un plan para mantener la continuidad del desempeño del
negocio, basado en las fases previas, específicamente en la “gestión del
riesgo” y en el Business Impact Analysis, así como en los aspectos plantados
en el desarrollo de la estrategia de un Plan de Continuidad de Negocio24.
FIGURA 6. FASES DEL PLAN DE REANUDACION DE OPERACIONES
Fuente: Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones
Alfaomega, Año 2005 Pág. 91
24 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005
35
El entregable es un informe que contiene procedimientos y lineamientos
concretos para la recuperación y el restablecimiento de los recursos dañados,
y los procesos cuyo desempeño se ha interrumpido.
2.6.5 FASE V: ENSAYO DEL PLAN DE CONTINUIDAD DE NEGOCIO
Esta efectúa el ensayo del plan, con miras a poder determinar su grado de
precisión y actualización. El entregable son simplemente los registros que
deben llenarse para demostrar a terceros que se realizan los ensayos, así
como las acciones correctivas que la empresa debe emprender para hacer el
ajuste al plan de Reanudación de operaciones.
2.6.6 FASE VI: MANTENIMIENTO DEL PLAN DE CONTINUIDAD DE
NEGOCIO
“Una parte importante del Plan de Continuidad, es conocer que
realmente funciona y es efectivo. Para ello se define la estrategia de
pruebas y se realiza la prueba del Plan, para afinarlo según los
resultados.”25 Además, en esta última fase se definirán los procedimientos
de mantenimiento del Plan.
25 Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía Práctica para su elaboración”; Ediciones Díaz de
Santos, S.A. , Año 2006.
36
En esta fase el Plan de Continuidad de Negocio, se mantiene en un estado
de preparación constante para que en caso de un desastre se pueda ejecutar
minimizando las posibilidades de errores. El entregable de esta fase son los
registros y los procedimientos que aseguran que el Plan de Continuidad de
Negocio está listo para ejecutarse, si se presentara una eventualidad26.
El Plan de Pruebas diseñado tiene como objetivos:
Evaluar la capacidad de respuesta ante una situación de desastre que
afecte a los recursos de la compañía.
Probar la efectividad y los tiempos de respuesta del Plan para
comprobar que están alineados con la definición realizada en el
diseño.
Identificar las áreas de mejora en el diseño y ejecución
del Plan.
Comprobar si los procedimientos desarrollados son adecuados para
soportar la recuperación de las operaciones de negocio.
Evaluar si los participantes del ejercicio están suficientemente
familiarizados con la operativa en situación de contingencia.
Concienciación y formación para los empleados a través de la
realización de pruebas.
26 Alexander, Alberto G. “Diseño de un sistema de Gestión de Seguridad de Información”; Ediciones Alfaomega, Año 2005
37
III. METODOLOGIA DE LA INVESTIGACIÓN
La metodología constituye una herramienta básica que permite profundizar
y generar nuevos conocimientos en el campo objeto de estudio. La
metodología que se utilizo en el desarrollo de esta monografía fue a través
del diseño transversal apoyado en las investigaciones documental / De
Campo. A través del diseño transversal se pudieron identificar los
elementos y las características básicas que componen este análisis.
En la Investigación Documental pudimos obtener una recopilación
adecuada de datos que nos permitió agrupar una gama de datos
publicados en libros, artículos de revistas, documentos de archivo y citas
de internet, así como también pudimos sugerir problemas, orientar hacia
otras fuentes de investigación y formas para elaborar instrumentos de
investigación.
En la investigación de Campo se manejaron datos con más seguridad, ya
que los mismos se recolectaron de forma directa a través de entrevista y
preguntas a las personas responsables del proyecto en cuestión,
obteniendo de esta forma datos primarios, y a la vez nos pudimos cerciorar
de las verdaderas condiciones en que se encontraba la empresa para
poder enfrentar cualquier eventualidad inesperada.
38
IV. RESULTADOS Y DISCUSIONES
4.1 Perfil de la Empresa
La empresa objeto de estudio es una entidad privada, especializada en
ofrecer servicios de representación de casas extranjera de todas partes del
mundo a clientes nacionales e internacionales. Dispone de un potencial
necesario para proporcionar una gama de productos diversificados como la
materia prima del vidrio, papel, hierro, farmacéuticos, madera, entre otros.
En 1994 inician sus operaciones en República Dominicana para quienes
deseaban tener un embajador de negocios en el extranjero. Se vislumbró la
necesidad de globalizar sus servicios nacionales e internacionales para
obtener buenos mercados de materia prima, a fin de satisfacer los
requerimientos y facilitarles un alto grado de calidad y satisfacción mediante
una atención directa y personalizada para dar soluciones a un amplio
espectro del sector y una mejora de su eficacia y niveles de competitividad.27
La empresa objeto de estudio ha permanecido en el mercado por 15 años y
se ha convertido hoy por hoy en una de las empresas punteras ofreciendo
sus servicios a un gran números de clientes en el ámbito nacional ubicados
en Santo Domingo y el interior del país.
27 Manual de la empresa caso de estudio
39
En la actualidad, el manejo de información en la empresa es muy alto, y sus
operaciones se pueden ver mermadas por alguna situación inesperada. La
empresa necesita idear anticipadamente un plan que le permita estar
preparada para intervenir de manera rápida y efectiva ante cualquier crisis
que afecte sus actividades operacionales. Esta planeación dentro de la
compañía es importante para:
Prevenir la ocurrencia de un evento de crisis.
Asuntos prominentes con respecto a sus clientes, suplidores,
empleados y seguridad de la comunidad.
Mantener la alerta y responder oportunamente a signos de alarmas de
posibles eventos de crisis en el país.
Reportes internos rápidos y exactos de la ocurrencia de eventos de
crisis y comunicación completa, exacta y oportuna de la información
relacionada con tales eventos dentro la empresa y para el público en
general.
Protección de la reputación de los negocios y activos de la empresa.
Continuidad de las operaciones de la empresa las cuales no son
afectadas por un evento de crisis.
Buena voluntad para aprender de eventos de crisis pasados y un
compromiso para continuar mejorando en la futura planeación de
continuidad de negocios.
40
4.2 Amenazas y Vulnerabilidades que pueden afectar la Empresa
La empresa objeto de estudio puede verse afectada por un gran número de
situaciones que actualmente no podría controlar, por la carencia de planes
emergentes. La misma puede minimizar sus operaciones por algunas de las
siguientes amenazas:
DESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAÑOS ACCIDENTALES
Fuego fortuito
Fallo de suministro eléctrico
Fallo de la UPS
Capacidad inadecuada de las comunicaciones
Fallo/degradación del hardware
Fallo/degradación de las comunicaciones
Errores de operación
41
Fallos en las copias de seguridad
Fallos de los sistemas de autenticación/autorización
Pérdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Fuego intencionado
Accesos no autorizados al edificio
Actos de vandalismo
Robos intencionados
Manipulación de datos/software
Manipulación de hardware
Uso de software por personal no autorizado
Accesos no autorizados a datos de la compañía
Software malicioso
Robo de equipos
Robo de documentos
Además de estas amenazas, la empresa objeto de estudio es vulnerable a:
Existencia de materiales inflamables como papel o cajas
42
Cableado inapropiado
Ancho de banda inapropiado
Suministro eléctrico inapropiado
Ausencia de mantenimiento
Educación inadecuada del personal en virus
Políticas de firewall inadecuadas
Ausencia de política de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extinción automática de fuegos/humos
Ausencia de control de cambios de configuración eficiente y efectiva
Ausencia de mecanismos de identificación y autenticación
Ausencia de política de restricción de personal para uso licencias de
software
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisión de
datos confidenciales
Protección física de equipos inadecuada
Ausencia de un Plan de recuperación de incidentes
43
Todo esto demuestra que es el momento preciso de realizar una valoración
detallada de los equipos e instalaciones que posee la empresa para definir la
estrategia de continuidad de negocios adecuada. Además, debe contar con
equipo de recuperación junto con un equipo de seguridad de información,
que estén altamente capacitados para este tipo de situaciones.
4.3 Medidas para contrarrestar Amenazas y Vulnerabilidades.
Para reducir las amenazas y las vulnerabilidades que podrían afectar la
empresa, se emplean acciones o medidas, tales como:
• Realizar copias de seguridad de los archivos.
• Contratar seguros para los activos.
• Establecer procedimientos / políticas de seguridad.
• Establecer control de acceso a la información.
• Establecer control de acceso físico.
• Monitorización de eventos.
• Auditorías internas.
• Revisiones periódicas de procesos.
• Sensores de humo.
• Detección de virus (Antivirus).
• Parches de seguridad.
• Corrección de daños por virus.
44
• Recuperación de datos perdidos.
Las medidas seleccionadas para mitigar amenazas deben mantener una
proporción entre el esfuerzo y costo necesarios para su implantación y el
riesgo que mitigan (evaluación del costo-beneficio). Uno de los objetivos del
Plan de Continuidad es evitar en la medida de lo posible que se produzcan
incidentes que hagan necesaria su ejecución. Por ello, es importante que la
compañía conozca sus riesgos y ponga las medidas adecuadas para corregir
el mayor número de vulnerabilidades que puedan provocar un incidente
grave.
La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de
gestión de riesgos de la organización y en función de la evolución del negocio
(crecimiento), de cambios importantes en la organización (procesos internos),
nuevas obligaciones legales, etc.
4.4 Visión de la Empresa frente a la necesidad de disponer de un
Plan de Continuidad de Negocio
De acuerdo a la entrevista realizada al Sr. Juan Pérez, Gerente General de la
empresa objeto de estudio, pudimos determinar la visión de la empresa frente
a la necesidad de disponer de un Plan de Continuidad de Negocio.
45
En la actualidad, acontecimientos como los atentados contra las Torres
Gemelas, la explosión de la Estación de Gas León en nuestro país, los robos
y atracos importantes que se dan a diario, han contribuido a poner de relieve
la importancia que tiene para la empresa de disponer de un plan de
continuidad de negocio. Un plan cuyo objetivo es permitir que los elementos
importantes de la empresa sigan funcionando.
La organización esta consciente de que la empresa necesita de un plan o de
varios planes para cuando la operación normal falle y haya que entrar en una
operación, digamos, anormal. Por ello, y teniendo en cuenta que los planes
de continuidad responden a una situación anormal, el mejor plan de
continuidad es el que no hay que activar. El principal problema al que se
enfrenta la empresa es a lo cultural. Están conscientes de que hay un
problema y nadie está haciendo nada. Sólo cuando hay un accidente se
reacciona. Esa es la mentalidad que impera.
Pero la acción - reacción no es la única característica cultural que influye; en
la carencia de planes de continuidad. Además, tienen la noción clara de que
se mueven mucho por modas. Cuando algo está de moda, todo el mundo lo
hace y luego se olvida.
46
En estos momentos, el tema de la continuidad de negocio es algo que está
en la palestra empresarial y por ende consideran que en Republica
Dominicana no hay profesionales suficientes para poder atender todo lo que
el mercado demanda. Por otro lado, reconocieron que llevan 15 años viendo
los mismos tópicos porque las direcciones de las compañías no asumen o no
creen en la seguridad.
Ellos entienden, que necesitan, que haya un cambio generacional en las
direcciones, bien concienciarlas de que esto es importante por medio de la
aplicación de leyes, la formación o la entrada de nuevos profesionales en las
diferentes divisiones de las compañías.
Actualmente el departamento de informática de la empresa, realiza backup,
tienen cajas de seguridad antifuego, cámaras, etc. Pero están conscientes de
que esto no es suficiente para enfrentar situaciones de alta magnitud. Por tal
razón, es necesario que la empresa se oriente en este tema tan importante
para su continuidad.
47
4.5 Propuesta de un Plan de Continuidad de Negocios para evitar
cualquier evento que afecte las acciones diarias de la empresa objeto
de estudio.
4.5.1 ANTECEDENTES
Shaw Trading, S.A. es una compañía de representación que realiza
actividades de intermediación entre suplidores ubicados en varias partes
del mundo y clientes ubicados en nuestro país República Dominicana. A
estos clientes se les ofrecen materias primas clasificadas en las
siguientes líneas: Acero, Papel, Madera, Vidrio y Químicos. Actualmente
cuenta con 20 empleados, repartidos en una oficina que abarca el Segundo
piso de un edificio en la zona céntrica del país. El éxito de esta empresa les
ha llevado a ser reconocidos en varios mercados internacionales.
Dentro de la propia empresa, cuentan con un pequeño departamento de
informática formado por 4 empleados que se encargan de la gestión de
todo lo relacionado con comunicaciones, software, hardware, bases de
datos. El rápido desarrollo y expansión de esta compañía ha
resultado en un crecimiento tecnológico importante en los procesos de
soporte, tales como facturación, nóminas, atención al cliente, etc.
48
Sin embargo, las medidas de seguridad no han acompañado de igual forma
a este crecimiento. A continuación se describe brevemente cuál es la
situación actual en cuanto a seguridad de la compañía:
• No existe una política de seguridad en la compañía.
• Sólo hay antivirus en algunos equipos, en otro no se ha instalado.
• Existen fallas cuando se realizan las copias de seguridad de la
información.
• Existe control de acceso a los equipos, pero los usuarios
comparten contraseñas.
• Los servidores se encuentran en una sala sin ninguna
medida de protección física.
Como parte de los objetivos planteados en este informe, hemos
propuesto la realización d e u n Plan de Continuidad de Negocio, para
configurar una estrategia de recuperación ante cualquier evento grave que
haga peligrar el negocio de la empresa.
4.5.2 ANÁLISIS DE IMPACTO
Para desarrollar este Plan, la persona encargada del departamento de
informática debe delegar en otro de los empleados del departamento, la
realización de un inventario de los procesos críticos de la compañía.
49
Estableciendo los tiempos de recuperación de los mismos, antes de
incurrir en pérdidas graves. Para ello, el encargado del departamento
debe entrevistarse con los responsables de los procesos obteniendo la
siguiente información:
Proceso
Breve descripción
Frecuencia
(Diario/Semanal
Mensual)
Responsable
Pedidos
Se encarga de recibir todos
los pedidos de los distintos
clientes y de gestionar su
envío en los plazos y
condiciones establecidas
Diario
Manuela González
Atención al
Cliente
Recogida y Gestión de
incidentes
Diario
Melania Pérez
Recursos
Humanos
Selección y formación del
personal de la compañía
Según
necesidad
Bonifacio García
Nóminas
Generación y Pago de las
Nóminas de los empleados
Mensual
Calvete Blanco
Documentación
Control y Gestión del envío de
documentos a los clientes
Diario
Antonio
Romero
4.5.3 COMPONENTES DE LOS PROCESOS
A continuación se describen cada uno de los componentes Hardware,
Software, Comunicaciones, etc., que conforman los procesos definidos
en Shaw Trading, S.A.
50
Proceso Pedidos
• Sistemas del Proceso de Pedidos:
Nombre
del
Sistema
Descripción
Criticidad
Tipo de
Sistema
(PC/Servido
r/
Mainframe)
Nº de Equipos
con la
aplicación
Correo
Electrónico
2
Servidor de
Correo
4
Gestión
Pedidos
Aplicación para
la Gestión de
pedidos
1
4
• Hardware del Proceso de Pedidos:
Tipo de
Hardware Detalles del
Modelo/Configuración
Distribuidor
Criticidad
Servidor de
Correo
PowerEdgeTM 1900
Servidor en torre de núcleo
cuádruple con 2 sockets
Dell
3
PC’s
Procesador
Intel® CoreTM 2 Duo
E6000
Chipset Q965 ICH8DO
compatible con Active
Management Technology (iAMT
2.1) de Intel®
Solución LAN Gigabit
Ethernet de Intel®
Dell
2
Servidor de
Aplicaciones
PowerEdgeTM 2900
Servidor en torre de núcleo
cuádruple con 2 sockets
Dell
1
51
• Otros Activos del Proceso:
Descripción Tipo Criticidad Localización
Línea DSI de
comunicaciones
Comunicaciones
1
Centros de trabajo
Impresoras
Hardware
2
Centros de trabajo
Centralita de
Comunicaciones
Comunicaciones
3
Centros de trabajo
Proceso de Nóminas
• Sistemas del Proceso de Nóminas:
Nombre
del Sistema
Descripción
Criticidad
Tipo de Sistema
(PC/Servidor/
Mainframe)
Nº de
Equipos con
la aplicación
Aplicación
Nóminas
Programa
que se
encarga de
realizar el
cálculo de las
nóminas
3
Servidor / PC’s
3
Windows
Sistema
Operativo
2
PC’s
20
• Hardware del Proceso de Nóminas:
Tipo de
Hardware Detalles del
Modelo/Configuración
Distribuidor
Criticidad
Servidor de
aplicaciones
PowerEdgeTM 1900
Servidor en torre de núcleo
cuádruple con 2 sockets
Dell
2
52
PC’s
Procesador
Intel® CoreTM 2 Duo
E6000
Chipset Q965 ICH8DO
compatible con Active
Management Technology
(iAMT 2.1) de Intel®
Solución LAN Gigabit
Ethernet de Intel®
Dell
2
• Otros Activos del Proceso
Descripción Tipo Criticidad Localización
Impresoras
Hardware
2
Centros de trabajo
4.5.4 TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS
Proceso Necesidades de
Recuperación
Criticidad
PEDIDOS
En 2-3 días
1
El proceso de Pedidos es clave para la organización, ya que si no se
pueden gestionar los pedidos de los clientes la empresa no puede dar
servicio y por lo tanto incurrirá rápidamente en pérdidas. Por ello es
importante que este proceso se recupere lo antes posible.
53
Proceso Necesidades de
Recuperación
Criticidad
NOMINAS
En 15-30 días
3
Aunque el proceso de Nóminas es importante, la compañía puede
esperar semanas a que se restablezca y crear procedimientos alternativos
como por ejemplo, repetir el último pago de nómina a los trabajadores y
realizar las compensaciones correspondientes, cuando estén disponibles de
nuevo los sistemas.
4.5.5 ANÁLISIS DE RIESGOS
Una parte importante dentro del desarrollo del Plan de Continuidad es el
Análisis de Riesgos. Este análisis permitirá a la compañía conocer sus
riesgos y gestionarlos de forma adecuada.
Existen diferentes metodologías de riesgo (NIST, MAGERIT, OCTAVE, etc.)
que pueden aplicarse para realizar el Análisis de Riesgos. Para la propuesta
realizaremos un análisis con un enfoque general, sin entrar en metodologías
concretas ni valoraciones de los activos.
54
4.5.6 INVENTARIO DE ACTIVOS
Activo/Descripción Tipo Valor
SERVIDOR DE
APLICACIOMES
Hardware
MEDIO
APLICACIÓN DE
PEDIDOS
Aplicación
MEDIO
INFORMACIÓN
CLIENTES
Información
ALTO
IMPRESORAS
Hardware
BAJO
REDES DE
COMUNICACIONES
Comunicaciones
BAJO
4.5.7 LISTADO DE AMENAZAS
Del listado de Amenazas marcamos las que pueden afectar la compañía
en su situación actual.
AMENAZAS
POSIBLE
DESASTRES NATURALES
Inundaciones
x
Incendios
x
DAÑOS ACCIDENTALES
Fuego fortuito
x
55
Inundaciones
x
Fallo de suministro eléctrico
x
Pérdida de confidencialidad
x
Incumplimientos legales
x
ATAQUES INTENCIONADOS
Accesos no autorizados al edificio
x
Accesos no autorizados a datos de la compañía
x
Actos de vandalismo
x
Robo de equipos
x
Robo de datos / documentos
x
4.5.8 VULNERABILIDADES
Tomando como base los objetivos de seguridad de la ISO 17799 y en
función de las Amenazas que hemos marcado como posibles,
establecemos los escenarios en que una amenaza puede convertirse en un
incidente de seguridad.
ESCENARIOS
NIVEL DE PROTECCIÓN
RESPUESTA
1. Inundación del Centro de
Proceso de Datos
¿El centro está situado en un terreno
alto?
NO
56
2. Fallos del Suministro
Eléctrico.
¿Existen Unidades de Suministro
Eléctrico Alternativo (UPS)?
Si, pero con fallas
3. Pérdida de información
clave de la compañía.
¿Se realizan copias de seguridad de
los datos periódicamente?
Si, pero con fallas
4. Accesos no autorizados al
edificio
¿Existe un control de acceso físico a
los edificios de la compañía?
NO
5. Robo de datos
¿Existe una clasificación de la
información adecuada al nivel de
confidencialidad de los datos?
NO
6. Pérdida de servicios por
infección de virus
¿Están los equipos protegidos por un
antivirus?
NO
4.5.9 EVALUACIÓN DE RIESGOS
DESCRIPCIÓN
PROBAB
IMPACTO
RIESGO
Terremotos
BAJA
MEDIO
BAJO
Pérdida del servicio por fallos en la alimentación eléctrica
ALTA
MEDIO
ALTO
Accesos no autorizados al edificio
BAJA
ALTO
MEDIO
Robo de información confidencial compañía
ALTA
ALTO
ALTO
Pérdida de información crítica de la compañía
ALTA
ALTO
ALTO
4.5.10 RECOMENDACIONES - CONTRAMEDIDAS
Para gestionar los riesgos detectados y mitigarlos en la medida de lo
posible, se propone la puesta en marcha de las siguientes contramedidas:
57
• Realizar copias de seguridad periódicamente, pero determinando
las causas que hacen que estas copias fallen al realizarse.
• Controlar el acceso a la información estableciendo
mecanismos de autenticación.
• Establecer un control de acceso físico al lugar donde se
encuentran los equipos con información clave para la
compañía.
• Establecer detectores de humo y alarmas de fuego.
• Instalar antivirus en todos los equipos de la compañía.
4.5.11 ESTRATEGIA DE RECUPERACIÓN
Una vez que se ha realizado la gestión de los riesgos detectados, se debe
seleccionar una estrategia de recuperación de negocio que
asegure la continuidad de los procesos que hemos considerado críticos en
el Análisis de Impacto. De las alternativas existentes y dado que la opción
de subcontratar espacios y soporte a terceros resultaría muy cara para
Shaw Trading, S.A., la solución más adecuada sería utilizar la propiedad
de los ejecutivos de la empresa como alternativa en caso de incidencia
grave, ya que la misma se presta para una debida continuidad y posee el
espacio adecuado para la instalación temporal de las operaciones y
personal critico de la empresa.
58
De esta forma l a co m p a ñ í a podría seguir dando servicio a sus
clientes, sin que el impacto de un incidente tuviera consecuencias
catastróficas para la empresa. Para ello, podrán utilizarse en primera
instancia los equipos que se utilizan en este centro, de forma que se
reaproveche la inversión.
Para que estos equipos sean válidos será necesario equipar la propiedad
de la gerencia con algunos elementos extras (incremento de memoria,
capacidad de disco, etc.).
4.5.12 DESARROLLO DEL PLAN
Una vez que se ha seleccionado la estrategia de continuidad, se puede
comenzar a construir el Plan de Continuidad definiendo la estructura y
composición de los equipos y las acciones de cada uno de ellos. Dado que
S h a w T r a d i n g , S.A., es una empresa de tamaño medio,
reduciremos el número de equipos y su composición, que serán necesarios
en caso de activación del Plan de Continuidad.
59
4.5.13 COMITÉ DE CRISIS Listado de Integrantes del Comité.
Responsable del Comité
Nombre: Raúl Pérez Posición: Director General
Miembros del Comité
Nombre: Luis
Jiménez Posición:
Director Informática
Nombre: Sonia Álvarez Posición: Directora de RRHH
Una vez que se comunica un incidente, el Comité de Crisis debe reunirse y
tomar decisiones para afrontar la situación. Deben estar continuamente
informados de la situación y determinar si es necesario iniciar el Plan de
Continuidad. En este caso, se comunicará a los responsables de los
equipos del comienzo de las actividades que llevarán a restablecer los
servicios en la casa del propietario de la empresa.
4.5.13.1 Equipo De Recuperación
El equipo de recuperación es el encargado de poner en marcha todo el
proceso de recuperación para restaurar los servicios.
60
Para ello realizarán las siguientes actividades:
• Pondrán en marcha por orden de criticidad los sistemas,
Pedidos, Facturación, Correo, Nóminas, etc.
• Para la puesta en marcha de los sistemas, se tomará la última
copia de seguridad de los sistemas que semanalmente se
r e a l i za n .
• Se contactará con la persona responsable de logística para que
solicite a los proveedores todos los equipos necesarios en los
plazos acordados (durante el desarrollo del plan), sirvan todo el
material necesario (servidores, PC’s, impresoras, etc.) y que no se
ha podido salvar de la empresa.
• Una vez que se vayan restaurando los servicios, debe
comprobarse su operatividad.
Listado de Integrantes del Equipo de Recuperación
Integrantes del Equipo Nombre: Rafael Alonso
Posición: Responsable de Sistemas
Nombre: Montaño González
Posición: Técnico Informático
Nombre: Alberto Pérez Posición: Técnico Informático
61
4.5.13.2 Equipo de Coordinación Logística
El equipo de coordinación logística es responsable de todo lo relacionado
con las necesidades logísticas. En función del tipo de incidente se encargará
de:
• Atender las necesidades logísticas de primera
instancia tras la contingencia. (Transporte de personas, transporte de
materiales, etc.)
• Contactar con los proveedores para solicitar el material
necesario que indiquen los responsables de la recuperación.
• Gestionar el suministro de comida al personal involucrado.
Listado de Proveedores
DELL
Persona de Contacto: Ángel Núñez
HP
Persona de Contacto: Felipe Méndez
62
Listado de Integrantes del Equipo de Coordinación Logística
Integrantes del Equipo Nombre: David Gómez
Posición: Técnico de RRHH
Nombre: Dolores López Posición: Administrativo
4.5.13.3. EQUIPO DE RELACIONES PÚBLICAS
El equipo de Relaciones Públicas es responsable de “ser la voz” de la
empresa en el contexto de la contingencia. Las tareas a realizar serán:
• Si el tipo de incidente lo requiere, emitir un comunicado oficial a
clientes y proveedores en el que se indique que se restablecerán
los servicios lo antes posible.
• Atender a los clientes para proporcionarles información sobre el
incidente y tranquilizarles lo máximo posible.
Listado de Integrantes del Equipo de Relaciones Públicas
Integrantes del Equipo Nombre: Juan Carlos Gil
Posición: Técnico Comercial
Nombre: Gela Cano Posición: Atención al Cliente
63
4.5.13.4 EQUIPO DE LAS UNIDADES DE NEGOCIO
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas.
Integrantes del Equipo Nombre: Manuela González
Posición: Responsable
Pedidos
Nombre: Gela Cano
Posición: Atención al Cliente
Nombre: Sonia Álvarez
Posición: RRHH
4.5.14 FASE DE ALERTA
4.5.14.1 Procedimiento de Notificación del Desastre
Cualquier empleado de Shaw Trading, S.A. que sea consciente de un
incidente grave que pueda afectar a la empresa, debe comunicarlo al Jefe de
Seguridad de la empresa proporcionando el mayor detalle posible en la
descripción de los hechos.
64
El Jefe de Seguridad debe evaluar la situación e informar al Responsable del
Comité de Crisis, que en este caso coincide con la figura del Director
General.
4.5.14.2 Procedimiento de Ejecución del Plan
El Comité de Crisis reunido en el punto de encuentro evaluará la situación.
Con toda la información de detalle sobre el incidente, se decidirá si se activa
o no el Plan de Continuidad de Negocio. En caso afirmativo, se iniciará el
procedimiento de ejecución del Plan. En el caso de que el Comité decidida no
activar el Plan de Continuidad porque la gravedad del incidente no lo
requiere, sí será necesario gestionar el incidente para que no aumente su
gravedad.
4.5.14.3 Procedimiento de Notificación de Ejecución del Plan
Activar el árbol de llamadas para avisar a los integrantes de los diferentes
equipos que van a participar en el Plan.
65
Comité de Crisis
Equipo de Recuperación
Equipo de Coordinación
Logística
Equipo de Relaciones
Públicas
66
4.5.15 FASE DE TRANSICIÓN
4.5.15.1 Procedimiento de Concentración y Traslado de Material
y Personas
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión indicado. Además del traslado de personas a la propiedad del
administrador de la empresa, hay que trasladar todo el material necesario para
poner en marcha el centro de recuperación (cintas de backup, material de
oficina, documentación, etc.). Esta labor queda en manos del equipo logístico.
4.5.15.2 Procedimiento de Puesta en Marcha del Centro de
Recuperación
Una vez que el equipo de recuperación llegue y que los materiales empiecen a
llegar, pueden comenzar a instalar las aplicaciones en los equipos que se
encuentran en esta oficina. El equipo de recuperación solicitará al equipo de
logística cualquier tipo de material extra que fuera necesario para la
recuperación.
67
4.5.16 FASE DE RECUPERACIÓN
4.5.16.1 PROCEDIMIENTO DE RESTAURACIÓN
El orden de recuperación de las funciones se realizará según la criticidad los
sistemas: Pedidos, Facturación, Correo, Nóminas. Los dos primeros sistemas
deben recuperarse lo antes posible, en las 48 horas siguientes. Los demás
sistemas pueden esperar a recuperarse después de Pedidos y Facturación.
4.5.16.2 Procedimiento de Soporte Y Gestión
Una vez recuperados los sistemas, se avisará a los equipos de los
departamentos que gestionan los sistemas (listado del equipo de Unidades de
Negocio) para que realicen las comprobaciones necesarias que certifiquen que
funcionen de manera correcta y pueda continuarse dando el servicio.
Además el Equipo de Seguridad deberá comprobar que existen las garantías de
seguridad necesarias (confidencialidad, integridad, disponibilidad) antes de dar
por terminada la fase de recuperación.
68
4.5.17 FASE DE VUELTA A LA NORMALIDAD
Una vez con los procesos críticos en marcha y solventada la contingencia, hay
que plantearse las diferentes estrategias y acciones para recuperar la
normalidad total de funcionamiento.
4.5.17.1 Análisis del Impacto
Es el momento de realizar una valoración detallada de los equipos e
instalaciones dañadas para definir la estrategia de vuelta a la normalidad. Para
ello, el equipo de recuperación junto con el equipo de seguridad, realizarán un
listado de los elementos que han sido dañados gravemente y son irrecuperables,
así como de todo el material que se puede volver a utilizar. Esta evaluación
deberá ser comunicada lo antes posible al equipo director para que determinen
las acciones necesarias que lleven a la operación habitual lo antes posible.
4.5.17.2 Adquisición de Nuevo Material
Una vez realizada la evaluación del impacto, se determinará la necesidad de
nuevo material.
69
El Comité de Crisis contactará con el seguro de la compañía para conocer qué
parte cubre el seguro (dependiendo del tipo de póliza contratada por Shaw, S.A.)
y qué inversión tendrá que hacer la compañía en el material que no se pueda
recuperar. Contactar con los proveedores para que en el menor tiempo posible
reponga todos los elementos dañados.
4.5.17 FIN DE LA CONTINGENCIA
Dependiendo de la gravedad del incidente, la vuelta a la normalidad de
operación puede variar entre unos días (si no hay elementos clave afectados) e
incluso meses (si hay elementos clave afectados). Lo importante es que durante
el transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a
los clientes y trabajadores por parte de la compañía y que la incidencia afecte lo
menos posible al negocio.
70
V. CONCLUSIONES
Un Plan de Continuidad del Negocio debe considerar todas las áreas de la
empresa de manera integral incluso desde la estrategia, incorporando el DRP en
conjunto con los elementos mínimos requeridos para continuar con la operación
del negocio. Es un plan de procedimientos alternativos a la forma tradicional de
operar de la empresa y es una herramienta que ayuda a que los procesos que
se consideran críticos para la organización continúen funcionando en una
situación extraordinaria, a pesar de una situación incontrolable en el entorno.
El contar con un plan de esta naturaleza significa que la organización está
preparada adecuadamente para cualquier eventualidad, continuando con su
operación e impactando lo menos posible la salud financiera de la empresa. Las
primeras 72 horas después de la interrupción, son vitales para saber si el
negocio soportará o morirá debido a la contingencia que se presenta. Morir, no
será un acto inmediato, sino que puede ser un proceso irreversible y lento
porque no se tuvieron las respuestas inmediatas para adaptarse al entorno que
se presenta.
71
El Plan de Continuidad de Negocios es para toda la organización, y no debe
descansar sólo en el nivel directivo, ya que quien opera es el grupo que debe
estar más inmerso en el entendimiento y aplicación del mismo. Bajo esta
premisa, el capital humano tiene un peso importantísimo, ya que es el
responsable de su aplicación y operación, por lo que debe existir un adecuado
proceso de capacitación.
En caso, de que una empresa no cuente con un Plan de Continuidad de
Negocios, nuestra recomendación es reflexionar sobre los 4 aspectos mínimos
que apoyen la implantación de un plan contingente hasta que pase la crisis:
1. Crear un Comité de Crisis
2. Crear un vínculo de comunicación permanente con la organización
3. Desde el punto de vista de operaciones:
4. Desde el punto de vista de requerimientos:
Aunque no se cuente con un plan elaborado previamente a la crisis, es mejor en
este momento analizar, planear, ordenar y ejecutar, para mitigar el impacto y
generar mejores resultados.
72
Los beneficios de actuar bajo un plan son:
• Análisis claro y preciso, y conocimiento consistente y continuo sobre la
situación del negocio y la efectividad de la estrategia de continuidad
definida.
• Evaluación técnica de riesgos asociados a la continuidad y evaluación de
alternativas y estrategias de minimización de riesgos.
• Mapeo crítico de los recursos mínimos requeridos en la continuidad de
los procesos del negocio.
Un Plan de Continuidad de Negocios es un concepto aplicable a todo tipo de
industria y tamaño de empresa y debe considerarse como un plan vivo y
dinámico. El beneficio más importante es el conocimiento de la operación y de
todos y cada uno de quienes participan en cada proceso crítico. Es muy
importante enfatizar que no sólo es para los directivos, sino para todos los
elementos que forman parte de la corporación, aunque la decisión de elaborar
un plan de contingencia debe partir del equipo directivo ya que involucra la
supervivencia de la organización.
73
Si la organización no ha sido proactiva para elaborar un plan como este, todavía
está a tiempo de reaccionar y desarrollarlo en beneficio del futuro de su
organización. En esta situación de contingencia serán dañados muchos
negocios nobles y bien administrados que la corriente desvió de su destino, pero
saldrán fortalecidas aquellas organizaciones que supieron enfrentar la tormenta
con el motor a toda máquina y con alternativas viables que aseguren la
continuidad del negocio.
74
BIBLIOGRAFIA
1. Alexander, Alberto; “Diseño de un Sistema de Gestión de Seguridad de
Información”. Editora Alfaomega, Año 2005.
2. Barner, James; “A Guide to Business Continuity Planning”. Londres.
Editora John Wiley & Sons, LTD. Año 2001..
3. Gaspar Martinez, Juan; “El Plan de Continuidad de Negocio: Guía
Práctica para su elaboración”; Ediciones Díaz de Santos, S.A., Año 2006.
4. Lee Chapman, Jacqueline; “Plan de Recuperación de Negocios en una
Semana”; Edición Gestión 2000, Año 2006.
5. Oz Effy; “Administración de Sistemas de Información”; 2da Edición. Año
2008.
6. Guía de las Buenas Prácticas de Continuidad de Negocios Año 2008
www.thebci.org/
7. Metodología de Análisis de Riesgos MAGERIT
www.csi.map.es/csi/pdf/magerit.pdf
8. Metodología de Análisis de Riesgos OCTAVE www.cert.org/octave/
9. Norma Internacional ISO/IEC 17799:2002
10. Revista de Seguridad SIC Junio 2007 www.revistasic.com
75
UNIVERSIDAD APEC
Escuela de Graduados Departamento de Especialidades y Maestrías
Maestría en Gerencia y Productividad
“Análisis del Impacto de un Plan de Continuidad de Negocios aplicado a una Empresa de Representaciones”
Trabajo de investigación profesional presentado como uno de los requisitos para obtener el titulo en la Maestría en Gerencia y
Productividad
Presentado por:
Ing. Maribel Valdez 2008-1165
Asesor:
Lic. Edmundo Morel
Santo Domingo Diciembre, 2009
76
“Análisis del Impacto de un Plan de Continuidad de Negocios aplicado a una
Empresa de Representaciones”
77
DEDICATORIAS
78
Dedico todo este esfuerzo a mi esposo Gilberto Gómez que tanto he amado, por su
comprensión, paciencia y solidaridad para emprender y culminar el camino que me
trajo a esta meta.
A mis hijas Maryann y Pamela, porque son la razón de mi esfuerzo y han sido las que
me han motivado alcanzar este triunfo.
Maribel Valdez
79
AGRADECIMIENTOS
80
“El sabio oye y aumenta el saber, mas el que oyere, habitará confiadamente y
vivirá tranquilo, sin temor del mal. Porque Jehová da la sabiduría, y de su boca
viene el conocimiento y la inteligencia. El provee de sana sabiduría a los rectos y
es escudo a los que caminan rectamente.”
Gracias a Dios Todo Poderoso que estás en los cielos por haberme dado la fuerza,
fortaleza e inteligencia para poder alcanzar este éxito. A mi esposo y mis hijas porque
siempre estuvieron junto a mí en todos los momentos apoyándome para poder llegar a
la cima. ¡Los amo mucho!
A mis padres Germania Mercedes y Eugenio Valdez, padres ejemplares de quienes
obtuve valores sobre mi persona y de quienes puede aprender todo lo que hoy en día
soy. Papá aunque físicamente no esté conmigo sabe que espiritualmente lo llevaré
siempre en mi corazón. A mis hermanos, Rosarito, Chiri y Niño, con la fe y la esperanza
de que este esfuerzo les sirva de estimulo en su camino.
Especialmente a Angela Valdez porque ha sido mi compañera en toda esta trayectoria y
sin ti no creo que hubiera podido cumplir con este reto que me ha trazado la vida. Te
quiero mucho Mana.
A Michelle Garcés mi amiga incondicional, por su gran apoyo profesional y su empeño
de que todo salga bien en la travesía de este proyecto. ¡Gracias mil!
A mis compañeros de post grado quienes también disfrutaran de este éxito.
Maribel Valdez
81
CAPITULO I
INTRODUCCION
82
CAPITULO II
MARCO TEÓRICO
83
CAPITULO III
METODOLOGIA
84
CAPITULO IV
RESULTADOS
85
CAPITULO V
CONCLUSIONES
86
INDICE
ÍNDICE
DEDICATORIAS
AGRADECIMIENTOS
RESUMEN EJECUTIVO
CAPITULO I. INTRODUCCION
Págs.
1.1 Definición del Problema 1
1.2 Objetivos del Estudio 5
1.3 Justificación 6
CAPITULO II. MARCO TEORICO
2.1 Incidentes y Riesgos que enfrentan las 8
2.2 Riesgos de los Sistemas de Información 11
2.2.1 Riesgos para el Hardware 11
2.2.2 Riesgos que corren las Aplicaciones y los Datos 14
2.3 ¿Qué es un Plan de Continuidad de Negocios? 16
2.4 Plan de Continuidad de Negocio y otros enfoques 19
2.5 Beneficios de un Plan de Continuidad de Negocios 20
2.6 Fases de un Plan de Continuidad de Negocios 21
2.6.1 Fase I: Análisis Business Impact Analysis (BIA) 23
2.6.1.1 Proceso Metodológico del BIA 24
2.6.2 Fase II: Gestión del Riesgo 27
87
2.6.2.1 Metodología del Cálculo del Riesgo 28
2.6.3 Fase III: Desarrollo de Estrategias de un Plan de Continuidad de
Negocio
30
2.6.4 Fase IV: Desarrollo del Plan de Reanudación de Operaciones 33
2.6.5 Fase V: Ensayo del Plan de Continuidad de Negocio 35
2.6.6 Fase VI: Mantenimiento del Plan de Continuidad de Negocio 35
CAPITULO III. METODOLOGIA DE LA INVESTIGACION 36
CAPITULO IV. RESULTADOS Y DISCUSIONES
4.1 Perfil de la empresa 38
4.2 Amenazas y Vulnerabilidades que pueden afectar a la empresa 40
4.3 Medidas para contrarrestar Amenazas y Vulnerabilidades 43
4.4 Visión de la Empresa frente a la necesidad de disponer de un Plan de
Continuidad de Negocio
44
4.5 Propuesta de un Plan de Continuidad de Negocios 45
4.5.1 Antecedentes 45
4.5.2 Análisis de Impacto 48
4.5.3 Componentes de los Procesos 49
4.5.4 Tiempo máximo de recuperación de los procesos 52
4.5.5 Análisis de Riesgos 53
4.5.6 Inventario de Activos 54
4.5.7 Listado de Amenazas 54
4.5.8 Vulnerabilidades 55
4.5.9 Evaluación de Riesgos 56
4.5.10 Recomendaciones - Contramedidas 56
88
4.5.11 Estrategia de Recuperación 57
4.5.12 Desarrollo del Plan 58
4.5.13 Comité de Crisis 59
4.5.13.1 Equipo de Recuperación 59
4.5.13.2 Equipo de Coordinación Logística 61
4.5.13.3 Equipo de Relaciones Públicas 62
4.5.13.4 Equipo de las Unidades de Negocio 63
4.5.14 Fase de Alerta 63
4.5.14.1 Procedimiento de Notificación del Desastre 63
4.5.14.2 Procedimiento de Ejecución del Plan 64
4.5.14.3 Procedimiento de Notificación de Ejecución del Plan 64
4.5.15 Fase de Transición 66
4.5.15.1 Procedimiento de Concentración y Traslado de Materiales y
Personas
66
4.5.15.2 Procedimiento de Puesta en Marcha del Centro de
Recuperación
66
4.5.16 Fase de Recuperación 67
4.5.16.1 Procedimiento de Restauración 67
4.5.16.2 Procedimiento de Soporte y Gestión 67
4.5.17 Fase de Vuelta a la Normalidad 68
4.5.17.1 Análisis del Impacto 68
4.5.17.2 Adquisición de Nuevo Material 68
4.5.18 Fin de la Contingencia 69
CAPITULO V. CONCLUSIONES 70
BIBLIOGRAFIA 74
89
RESUMEN EJECUTIVO
Muchos departamentos de TI en diversas empresas reconocen que no están
seguros de ser capaces de recuperar todos los datos críticos del negocio, ni de
poder realizarlo en un periodo de tiempo aceptable, sin tener que afectar los
compromisos previamente pautados con el cliente. Por otro lado, las compañías
que enfrentan fallos en la seguridad de su sistema, pueden llegar a perder la
confianza que los clientes tienen en su empresa. Entre los ejemplos que
pudiéramos citar, ante la falta de un plan de continuidad de negocio están los
ataques de denegación de servicios, robos de identidad y de números de tarjeta
de crédito, que pueden perjudicar seriamente la imagen de su negocio. La
reputación de la marca puede verse comprometida y empañada por un fallo de
seguridad. La pérdida de información financiera confidencial de un cliente es un
claro ejemplo de ello. La falta de prevención y protección de los activos
(información, equipamiento, conocimiento y sistemas) pueden llegar a ocasionar
incluso hasta la desintegración de la empresa.
El análisis de esta investigación, está basada en el cumplimiento del objetivo
general, que es analizar el impacto de un Plan de Continuidad de Negocios en
una empresa de representación, frente a incidentes o situaciones inesperadas
que afecten la seguridad de la empresa y su sistema de información.
90
Basado en este objetivo, el presente análisis pretende crear conciencia en
nuestra empresa objeto de estudio sobre la necesidad de contar con este plan,
como una alternativa de seguridad necesaria que disminuya cualquier tipo de
interrupción en el funcionamiento diario de la misma. Cada empresa debe contar
con trabajadores preparados para actuar oportunamente en eventualidades que
se presenten en sus centros de trabajo, tales como inundaciones, sismos,
sabotaje computacional, etc.
En conclusión, un buen Plan de Continuidad de Negocios minimizará la pérdida
financiera de la compañía, permitirá continuar con el servicio a los clientes y
mitigará los efectos que pueden producirse en los planes estratégicos, la
reputación, las operaciones y el mercado donde está situada la compañía. La
participación de toda la compañía es crucial para el éxito del desarrollo y
ejecución del plan. La dirección general es el primer responsable del desarrollo
del mismo y debe garantizar los activos de la compañía y la viabilidad de la
organización.
Un Plan de Continuidad de Negocios es un concepto aplicable a todo tipo de
industria y tamaño de empresa y debe considerarse como un plan vivo y
dinámico. El beneficio más importante es el conocimiento de la operación y de
todos y cada uno de quienes participan en cada proceso crítico.
91
Es muy importante enfatizar que no sólo es para los directivos, sino para todos
los elementos que forman parte de la corporación, aunque la decisión de
elaborar un plan de contingencia debe partir del equipo directivo ya que
involucra la supervivencia de la organización.
Si la organización no ha sido proactiva para elaborar un plan como este, todavía
está a tiempo de reaccionar y desarrollarlo en beneficio del futuro de su
organización. En esta situación de contingencia serán dañados muchos
negocios nobles y bien administrados que la corriente desvió de su destino, pero
saldrán fortalecidas aquellas organizaciones que supieron enfrentar la tormenta
con el motor a toda máquina y con alternativas viables que aseguren la
continuidad del negocio.
92
Resumen Ejecutivo