156183597 Gestion de Continuidad Del Negocio

5/23/2018 156183597 Gestion de Continuidad Del Negocio

1/24

Universidad Tcnica Federico Santa MaraDepartamento de Informtica

Programa de Magster en Tecnologas de la Informacin

DESCRIPCIN DEL PROCESO DE GESTINDE LA CONTINUIDAD DEL NEGOCIO

Rodrigo Vargas VarasIngeniero Civil en Computacin e InformticaMagister en Tecnologas de la Informacin

Certified Information Systems Security Professional (CISSP)

[email protected], 2011

Resumen. El presente trabajo tiene por objetivo presentar una visin general de la complejidad e importanciaque presenta el concepto de la gestin de la continuidad del negocio, para ello se revisaron diferentes fuentesespecializadas en el tema como es la norma BS 25999 -1, BS 25999-2, Recomendaciones del NIST y delinstituto de continuidad del negocio BCI. Se extrajeron metodologas y recomendaciones de los diferentesdocumentos con el objetivo de lograr una interrelacin de diferentes conceptos que permitirn clarificar la

problemtica de dicha gestin y correlacionarla en funcin del tiempo de creacin y aplicacin con respectoal momento de aparicin de un incidente.

1. INTRODUCCINCada da ms las organizaciones dependen de las Tecnologas de la Informacin para realizar sus actividades normales,

apoyando tanto sus procesos de negocio como la toma de decisiones en general. Una organizacin no se puede permitir uncada (Down time) de sus sistemas sin ser capaz de gestionar o por lo menos poseer con algn grado de previsin, de locontrario hechos como los ocurridos en las torres gemelas o el terremoto del pasado 27 de febrero del 2010, podran poneren serio riesgo la subsistencia de la organizacin. La forma de mitigar dichos inconvenientes esta dado por la capacidad degestionar la continuidad del negocio (BCM)1. Este permite mitigar las problemticas que se presentan al momento de laaparicin de incidentes u contingencias mejorando los tiempos de respuesta. Dichos planes estn cimentados enherramientas tecnologas de un alto grado de complejidad, ante lo cual se hace necesario crear especficamente planes decontinuidad tecnolgica del negocio que ayuden a procedimentar las acciones destinadas a la mitigacin del impacto en laorganizacin ante dichas situaciones. Hoy en da ninguna organizacin puede estar ajena a dicho conocimiento ya que la

irrupcin de su normal funcionamiento puede traer graves consecuencias financieras, de imagen, jurdicas, etc., que puedendebilitar profundamente la organizacin e incluso poner en riesgo su subsistencia. Hoy en da la Pymes son parte importantede la economa nacional adems de tener a las Tecnologas de la Informacin como un importante motor de su desarrollo loque perder su disponibilidad afecta su normal produccin.

Existe en la actualidad una serie de recomendaciones y buenas prcticas que son parte de diferentes estndares ypublicaciones de organizaciones competentes como la British Standards Institution, Business Continuity Institute, NationalInstitute of Standards and Technology, etc., que reforzadas con una literatura especializada permiten guiar unaimplementacin tendientes a la obtencin de medidas de gestin y planificacin de la continuidad del negocio. Pero ello noresulta una tarea simple dado que significa poseer personal especializado y dedicado a este tipo de actividades, o poseer

1BCM de sus siglas en ingles Business Continuity Management es la Gestin de la Continuidad del Negocio, British Standars Intitution. 2006.BusinessContinuity Management Part 1. Londres : British Standars Intitution, 2006. BS 25999-1.


2/24

2

contratos con organizaciones de consultora. Este trabajo pretende ayudar a comprender de mejor forma dicha problemtica,para ser aplicada a diferentes tipos de organizaciones.

2. ESTADO DEL ARTE DE LA NORMATIVA Y BUENAS PRCTICAS RELACIONADAS CONBCP

Actualmente las organizaciones en base a los sucesivos acontecimientos que han marcado los ltimos tiempos a nivelmundial sobre todo en EEUU y Europa, han proporcionado un protagonismo significativo al concepto de continuidad denegocio. La necesidad de incrementar la seguridad ha crecido y se ha convertido en una prioridad para las empresas y sus

profesionales del mbito TI, que se plantean si sus organizaciones estn preparadas para afrontar catstrofes y otro tipo desituaciones de crisis. Quedando en evidencia que las organizaciones no slo deben proteger sus activos de TICs de ataquesinformticos, sino tambin la disponibilidad otro pilar fundamental de la seguridad de la informacin se ha puesto en

primera lnea es por ello que la continuidad de negocio es un concepto y una necesidad constante en toda actividadempresarial. Y es que, el hecho de que una parte significativa de las necesidades incluidas en dicho concepto se refieran alcumplimiento de normativa de diversa naturaleza, convierte la necesidad en una obligacin que no se debe esperar aactivar por una u otra causa. La obtencin de una adecuada continuidad de negocio responde en algunos de sus objetivos,a la necesidad de cumplimiento de determinadas normas aplicables.

2.1. Norma BS 25999-1 y BS 25999-2 Specification for Business Continuity Management, BSIEl presente estndar se basa en la creacin de un plan de continuidad del negocio el que para lograr ser implementado

en una organizacin debe ser controlado a fin de conocer su evolucin permanente en todos procesos. Esta normabsicamente se divide en dos partes esenciales el desarrollo de la gestin de la continuidad del negocio y la implementacindel mismo. Definiendo que para el desarrollo de BCM se debe centrar el esfuerzo en la recopilacin de informacin para

poder entender el negocio.La primera parte Cdigo de Buenas prcticas este documento fue publicado por el BSI2entrando en vigencia el 30

de Noviembre del ao 2006, siendo preparado por un comit de BCM representado por una serie de organizaciones quemediante sus especialistas miembros de la comunidad de continuidad del negocio, se basaron conocimiento acadmico,tcnico y experiencias practicas de gestin de continuidad del negocio, para la construccin del documento. Produciendouna gua en base a buenas prcticas las que intentan ser un punto de referencia o gua simple para la implementacin de unBCM en las situaciones que se requiera tanto en grandes, medianas y pequeas organizaciones ya sean comerciales,gubernamentales o sin fines de lucro. Como es un cdigo de prctica toma la forma de recomendaciones y no debe sercumplida como una especificacin estricta. Se establecen los procesos y terminologa relacionada, proveyendo losconocimientos bsicos para comprender, desarrollar e implementar la gestin de la continuidad del negocio. Bsicamente esestructura en diez clausulas siendo la 1era y 2dade carcter introductorio al tema con objetivos, terminologa y definiciones,la 3era el marco conceptual de la gestin de la continuidad del negocio y desde la 4taa la 10ma es la explicacin de cada unade las etapas del ciclo de vida de la gestin de la continuidad del negocio. (British Standars Intitution, 2006)

La segunda parte denominada Especificaciones fue publicada el 31 de julio 2007, este documento se centra enespecificar con claridad las configuraciones y la forma efectiva de poder gestionar el proceso de BPMS3, para definir el

programa de gestin con un nfasis en la comprensin en la definicin del proceso para lograr el objetivo de la certificacin,que acredite las capacidades de continuidad del negocio adecuadas al tamao y complejidad de la organizacin. En el seplantea una metodologa Planificacin Implementacin Verificacin y Mantenimiento (PlanDoCheckAct, PDCA)metodologa que se establece, implementa, opera, monitorea, ejercita, mantiene y mejora la eficacia de un BCMS. Seestructura en base a siete clausulas siendo la 1era la definicin del alcance del documento, la 2da hace referencia a lasnormativas relacionadas, la 3era son definiciones y terminologa para comprender mejor el documento, la 4 ta plantea

propiamente la metodologa del BCMS. En la 5tase establece como debe implementarse y operar el BCMS, siendo la 6 ta

2 British Standars Institute,British Standars Intitution. 2006. Business Continuity Management Part 1 "Code of Practice". Londres : British StandarsIntitution, 2006. BS 25999-1.3 Business Continuity Management Systems, British Standars Intitution. 2007.Business Continuity Management Part 2 "Especification". Londres : BritishStandars Intitution, 2007. BS 25999-2.


3/24

3

donde se establece los parmetros para revisar el proceso en general y la 7 may ltima establece como se debe producir lamantencin y mejoramiento de la eficiencia de BCMS. (British Standars Intitution, 2007).

En general son normas que ayudan como punto de partida para iniciar un proceso que lleva a la organizacin a laimplantacin de la capacidad de gestionar la continuidad del negocio lo cual entrega una poderosa herramienta a ladireccin de cualquier organizacin para mejorar sus capacidades de supervivencia ante la ocurrencia de interrupciones que

puedan afectar su normal funcionamiento.

2.2. Guia para instaurar Buenas Practicas Globales en Gestion de continuidad del Negocio, BCIEsta gua se ha elaborado como apoyo al lanzamiento de la Bs 25999-1, se podra considerar como una gua para su

puesta en prctica, adems de un texto definitivo para aquellos que deseen entender los principios y prcticas de a Gestinde la Continuidad del Negocio (GCN o BCM) de forma integral. Existe una relacin muy cercana entre la estructura delmanual y la norma BS 25999-1 ya que el Business Continuity Institute ha sido un componente clave para las iniciativas dela BSI en lo referido al BCM. El objetivo es ofrecer una visin general y gua sobre las buenas prcticas en lo que serefiere al ciclo de vida del BCM desde el reconocimiento inicial de la necesidad de desarrollar el programa, hasta elmantenimiento constante de un proceso maduro. Se estructura en seis captulos donde en el primero establece la

informacin preliminar, creacin de una Poltica y Gestin de un programa de BCM, en el segundo se presenta como lograrcomprender la organizacin. En el tercero y cuarto se tratan temas como el anlisis de estrategias de continuidad y la puestaen marcha del proceso de continuidad. Siendo el quinto el dedicado al proceso de anlisis y pruebas de la estructura, con lacapacidad de mantener y mejorar contratantemente la capacidad de continuidad del negocio por parte de la organizacin.Finalmente el ultimo capitulo se dedica a recomendar la forma de incorporar el proceso de continuidad en la organizacin.En trminos generales esta gua es complementaria el estndar BSI, y sirve para aclara de manera mas didctica muchoselementos que aparecen en ella de manera muy abstracta.

2.3. Contingency Planning Guide for Federal Informacin Systems, NISTLa gua para la planificacin de contingencias para sistemas de informacin fue creada por el NIST para ayudar a las

agencias federales en la aplicacin de FISMA4

del ao 2002 y en la gestin de costos para lograr programas eficaces en laproteccin de su informacin y sistemas de informacin. La NIST Special Publication 800-34, Rev. 1, proporciona lasinstrucciones, recomendaciones y consideraciones para la planificacin de la contingencia de los sistemas federalesde informacin, referido a las medidas provisionales para recuperacin de los servicios de informacin delsistema despus de una interrupcin. Dichas medidas provisionales pueden incluir la reubicacin de los sistemas deinformacin y de las operaciones aun sitio alternativo, la recuperacin de las funciones del sistema deinformacin utilizando un equipo alternativo, o la realizacin de las funciones del sistema de informacin con mtodosmanuales. Esta gua aborda la planificacin de contingencia con recomendaciones especficas para tres tipos de

plataformas, proporcionando estrategias y tcnicas comunes a todos los sistemas, ellas son: Estructura Cliente Servidor,Infraestructura de Telecomunicaciones y Mainframes.

Para la elaboracin de planes de contingencia recomienda una secuencia de siete pasos necesarios, como parte delproceso de planificacin para el desarrollo y mantencin de un programa contingencia o continuidad del negocio viablepara sistemas de informacin. Estos siete pasos progresivos estn diseados para ser integrados en cada etapa del ciclo de

vida del sistema de desarrollo.

Desarrollar la declaracin poltica de planificacin de contingencia. Una poltica formal proporciona laautoridad y la orientacin necesaria para desarrollar un plan de contingencia efectivo.

Llevar a cabo el anlisis de impacto del negocio (Business Impact Analysis). El BIA ayuda a identificar y darprioridad a los sistemas de informacin y los componentes fundamentales para apoyar la misin de la organizaciny funciones de negocios.

4Federal Information Security Management Act, NIST. May, 2010. Contingency Planning Guide for Federal Informacin Systems. Gaithersburg,USA :

National Intitute of Standars and Technology, , May, 2010. NIST 800-34 Rev1.


4/24

4

Identificar controles preventivos. Son identificar las medidas adoptadas para reducir los efectos de lasinterrupciones del sistema, para aumentar la disponibilidad de ellos y as reducir los costos de ciclo de vida de lacontingencia.

Crear estrategias de contingencia. La creacin de estrategias de recuperacin ayudan a garantizar que lossistemas se puede recuperar con rapidez y en forma eficaz despus de una interrupcin.

Desarrollar un plan de contingencia de sistemas de informacin. El plan de contingencia debe contenerorientaciones y procedimientos detallados para la restauracin de un sistema daado nico a nivel anlisis delimpacto del sistema de seguridad y los requisitos de recuperacin.

Asegrese de probar el plan, realizar formacin y entrenamiento del personal involucrado. Pruebas paravalidar las capacidades de recuperacin, mientras que la formacin prepara al personal para la activacin del plande recuperacin y el ejercicio del plan identifica las lagunas de la planificacin; Todos ellos combinados mejoranla eficacia del plan y en general la preparacin de la organizacin ante un evento.

Asegurar el mantenimiento del plan. El plan debe ser un documento vivo que se actualiza peridicamente paramantenerse al da con mejoras en el sistema y los cambios organizativos.

En general es una gua que posee muchos ejemplos, pero no es fcil de aplicar dado que esta pensadas enorganizaciones bien estructuradas, con organizaciones especializadas de TI y lo mas importante valoran los activos de TI

por lo que son capaces de desviar recursos para la mantencin de la continuidad. (NIST, May, 2010).

3. CONCEPTOS GENERALES DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIOLa gestin de la continuidad u contingencia trata de la capacidad de los negocios para seguir funcionando en caso de

una interrupcin de los sistemas de informacin que le permiten el soporte a su modelo de negocios, e incluso sobrevivir encaso de un desastre. Siendo la planificacin de la respuesta ante estas circunstancias, una responsabilidad de alta direccin

tanto como el salvaguardar los activos o la viabilidad de la organizacin. El objetivo del Business Continuity Management(BCM) es la reanudacin de las operaciones del negocio, por lo que es vital considerar la organizacin en su totalidad y noslo enfocarse en los sistemas de informacin. Sern parte de ello el personal necesario para mantener funciones de negociocrticas, instalaciones, mobiliario de oficina, telfonos, faxes, etc. Actuando como un conjunto para lograr minimizar elimpacto de los efectos de un incidente siendo este un evento que nos podra causar una prdida u dao significativo (Ramos,2008)5. A pesar de los efectos negativos en las organizaciones, muchas empresas an no toman medidas para contar con

planes que les permitan lograr la Continuidad del Negocio. Un ejemplo de ello est expuesto la publicacin del diario elPas de Espaa, de fecha 24 de abril del 2005 las que difunden una encuesta sobre la existencia o no de planificacin decontinuidad de las operaciones en las empresas espaolas. De dichos resultados se identifica que el 55,4% no posee

planificacin y un 13,8 piensa realizarlo en un futuro cercano. Por lo tanto 2 de 3 empresas no poseen ni han previsto comoreaccionar ante situaciones que comprometan el funcionamiento de la organizacin (Gaspar, 2006)6.

De dicha informacin podemos extrapolar que la condicin de Chile no debe ser en ningn caso mejor, por el contrarioen base a los datos proporcionados en publicaciones nacionales como el ndice ICATI 2008, se puede apreciar que lasinversiones en TI en chile no alcanzan los niveles de los pases desarrollados ello sumado a la actual dependenciatecnolgica de las Pymes, hace de vital importancia el conocer y mitigar la problemtica relacionada con la continuidad delnegocio.

3.1. Que es la Gestin de la Continu idad del Negocio (BCM)La Gestin de la Continuidad de Negocio (BCM)7es un proceso integracin total de gestin, que identifica el impacto

de potenciales incidentes que amenacen una organizacin, y proporciona un marco para el desarrollo de una respuestaeficaz con la capacidad de recuperacin de la organizacin, protegiendo los intereses de la organizacin, su imagen, el valor

5 Ramos, Antonio. 2008. La gestin de incidentes y los Planes de Continuidad de Negocio. [PPT] Palencia: S21Sec Consultora, 2008.Pg 4.6 Gaspar, J. (2006). El Plan de Continuidad de Negocio "Gua Prctica para su elaboracin". Madrid: Daz de Santos. Pg. 3-6.7Business Continuity Management, British Standars Intitution. 2006. Business Continuity Management Part 1. Londres: British Standards Intitution, 2006.

BS 25999-1. Clause 3.7 pg. 11.


5/24

5

de su marca y sus actividades. La BCM se desarrolla en forma vertical en la organizacin a nivel estratgico, tctico yoperativo. Como de manera horizontal en todas sus sedes y su cadena de valor. La responsabilidad del desarrollo de la BCMrecae en los componentes de la Alta Direccin, quienes debern tener en cuenta los intereses a largo plazo del personal, losclientes y de la organizacin en general. Segn el Business Continuity Institute La Gestin de Continuidad de Negocio esun proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco

para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales

proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor (BusinessContinuity Institute, 2007)8.

Es parte de la organizacin, es la conduccin de los procesos de negocio que impulsado ajustes de acuerdo a lospropsitos estratgicos y operacionales mejora la resistencia de la organizacin de forma proactiva contra las interrupcionesque daen su capacidad para alcanzar sus objetivos clave, proporcionando una metodologa previamente probada derestauracin de las capacidades de la organizacin en sus productos y servicios claves, dentro de parmetros previamenteestablecidos posteriores a la interrupcin. Ofreciendo una capacidad para gestionar una interrupcin del negocio,

protegiendo la reputacin de la organizacin y de la marca. Mientras que los procesos especficos de la continuidad delnegocio pueden cambiar con el tamao de la organizacin, su estructura y responsabilidades, los principios bsicos siguensiendo exactamente los mismos para las organizaciones del sector privado o pblico, sin importar el tamao, el alcance o lacomplejidad de ellas. (British Standars Intitution, 2006)9. Por lo tanto podramos decir que BCM consiste en la mejora

proactiva de la resistencia (resilencia) de la organizacin frente a contingencias, proporcionando mecanismos para la

restauracin de los productos y servicios claves, en un nivel aceptable dentro de un marco temporal limitado lo que tendrcomo resultado la proteccin de la reputacin corporativa.

3.2. Metodologa de creacin e implantacin de planes de continuidad del negocioEl ciclo de vida de un programa de continuidad del negocio bsicamente est compuesto de seis elementos principales

como se puede apreciar en la Figura N5. Ellos pueden ser implementados en organizaciones de todos los tamaos y detodos los sectores, ya sean estas organizaciones privadas o pblicas, educacionales, de manufactura, etc. El alcance yestructura del programa de BCP puede variar y su esfuerzo puede ser acotado a la realidad de la organizacin pero a lomenos debe contar con los siguientes elementos (British Standars Intitution, 2006): Programa de Gestin de la continuidaddel negocio (Business Continuity Management),Conocer la Organizacin, Determinacin de una estrategia de continuidaddel negocio, Desarrollar e implantar una estructura de respuesta a BCM, Ejercitar, mantener y revisar los planes de

continuidad del negocio, Insertar BCM en la cultura de la organizacin.

Figura N 1 Ciclo de vida de la gestin de continuidad del negocio (British Standars Intitution, 2006)

8Business Continuity Institute. 2007. Gua para instaurar Buenas Prcticas Globales en Gestin de continuidad del Negocio. Madrid, Spain: ISMS Spain,2007. Pg. 11

9British Standars Intitution. 2006. Business Continuity Management Part 1. Londres: British Standards Intitution, 2006. BS 25999-1. Pg. 3


6/24

6

3.2.1. Programa de Gestin de la continuidad del negocio (BCM)El programa de BCM (Business Continuity Management) es el corazn del proceso este establece el enfoque que laorganizacin poseer en la gestin de la continuidad. La participacin del alto nivel gerencial es clave para asegurar el

proceso de BCM sea correctamente implantado y adecuadamente soportado como parte de la cultura de organizacin. Esteprograma debe poner en primer lugar el lograr los objetivos definidos en la Poltica de Continuidad del Negocio. Elprograma de Continuidad del Negocio debe contener tres elementos fundamentales que son los siguientes:

Asignacin de Responsabilidades: Es necesario que la organizacin cree nominas con el personal involucradocon la suficiente autoridad y experiencia, avalados por la poltica de continuidad del negocio para tomar decisiones.Adems se debe crear una nomina del personal involucrado en el equipo de trabajo que implementara y mantendrel programa de continuidad del negocio.

Implementacin de la Continuidad del Negocio en la organizacin: Sera la implementacin de las actividadesrelacionadas con la obtencin de los objetivos del programa de BCM. Entre los cuales se incluye el disear,construir e implementar dicho programa que debe ser comunicado a los interesados (Stakeholders). Entregar unapropiado programa de entrenamiento al equipo de trabajo, el cual se pondr a prueba mediante ejercicios quemidan la capacidad de continuidad del negocio existente.

Gestin permanente de la Continuidad del Negocio:La constante gestin de la continuidad del negocio deberaasegurarse que el BCM este insertado en la organizacin. Cada componente del BCP debera ser revisado,ejercitado y actualizado regularmente. Es aqu donde se debe definir el alcance, roles y responsabilidades para elBCM. Ubicando al personal apropiado para administrar esta capacidad, resguardando siempre que estaimplementacin este acorde a las normas de buenas prcticas existentes. Se administrara los costos asociados conlas capacidades de continuidad monitoreando su rendimiento. Asociado a lo anterior debe haber una serie dedocumentacin necesaria para realizar dichas tareas que sern generadas a lo largo de este ciclo donde se incluyenlas siguientes (British Standars Intitution, 2006): Poltica de Gestin de la Continuidad del Negocio, Anlisis deimpacto en el Negocio (BIA)10, Evaluacin de Riesgos y amenazas, Estrategias de BCM, Programa deconcientizacin, Programa de entrenamiento, Plan de gestin de incidentes, Plan de Continuidad del Negocio, Plande Recuperacin del Negocio, Calendario pruebas y reportes, Creacin de contratos de Acuerdos de Nivel deServicio (SLA)11.

3.2.2. Conocer la OrganizacinEl objetivo de este paso del ciclo BCM es apoyar la comprensin de la organizacin a travs de la identificacin de los

productos y servicios claves, los cuales permitirn determinar las actividades y recursos crticos que los soportaran. Esteelemento garantiza que el programa de BCM est alineado con los objetivos, obligaciones generales, y legales de laorganizacin, para lograr el conocimiento de la organizacin se debe (British Standars Intitution, 2006):

Identificar claramente los objetivos de la organizacin, obligaciones de los Stakeholders, obligaciones legales y elentorno general en el cual la organizacin realiza sus operaciones normales. Para lograr dicha identificacin sedebe entender el funcionamiento de la organizacin y su entorno para ello es necesario conocer desde su modelo denegocio hasta cules son sus canales de suministro y distribucin. Para una mejor comprensin es recomendable la

diagramacin de dichos procesos ya que ello ayuda a una mejor interpretacin de la informacin.

Identificar las actividades, activos y recursos, incluyendo los que estn fuera de ella y que soportan la entrega deesos productos o servicios. Deben ser priorizadas y categorizadas acordando la prioridad para su recuperacin(British Standars Intitution, 2006).

Evaluar el impacto y las consecuencias del tiempo que esas actividades, activos o recursos estn fuera de servicio.La organizacin debera plasmar ello en un Anlisis de impacto en el negocio (BIA) el cual ser analizado condetencin ms adelante en el presente documento. (British Standars Intitution, 2006).

10Business Impact Analysis11

Service Level Agreements o Acuerdo de Nivel de servicio


7/24

7

Identificar y evaluar las posibles amenazas que podran causar disrupciones a los productos claves, servicios yactividades criticas, activos y recursos que los soportan. La metodologa de estimacin del riesgo seleccionadadebe asegurar que los clculos del riesgo produzcan resultados comparables y reproducibles. Identificar los riesgossignifica Identificar los activos dentro del alcance del BCM y los propietarios de estos activos con sus respectivasamenazas y vulnerabilidades que podran ser explotadas, determinando el impacto y su efecto en las prdidas deconfiabilidad, integridad y disponibilidad. Analizar y evaluar el riesgo significa calcular el impacto comercial sobrela organizacin que podra resultar de una falla seguridad, tomando en cuenta las consecuencias de una prdida deconfidencialidad, integridad o disponibilidad de los activos. Calculando la probabilidad realista de que ocurra dichafalla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y loscontroles implementados actualmente. (International Organization for Standardization, 2005)12

Es de vital importancia que la organizacin comprenda la existencia de interdependencias de las actividades, adems decontemplar cualquier dependencia con organizaciones externas. La organizacin (British Standars Intitution, 2006)13.

3.2.3. Determinacin de una estrategia de continuidad del negocioEste paso sigue el orden lgico posterior a haber conocido y comprendido la organizacin, y como antesala al anlisis

propiamente tal. Para comprender mejor en qu consiste este paso se debe analizar la palabra estrategia etimolgicamente,ella viene del griego Stratos que significa Ejrcito y de Agein que significa conductor o gua, entendindose su significadocomo conjunto de acciones planificadas sistemticamente en el tiempo que se llevan a cabo para lograr un determinadofin. (Wikipedia, 2011)14. No se puede determinar un modelo fijo de estrategia, ella depender en funcin de lascaractersticas de cada organizacin, el grado de criticidad de sus funciones y aplicaciones, la disponibilidad de serviciosalternativos, etc.

3.2.4. Desarrollar e implantar una estructura de respuesta a BCMEste es el paso en el ciclo de vida que realiza el desarrollo e implantacin de los planes y acuerdos apropiados para

asegurar la continuidad de las actividades criticas y gestiona los incidentes. Debe ser definida una estructura de respuesta alos incidentes que habilit efectivamente la respuesta y recuperacin de las interrupciones. La primera accin est dada queen cada situacin de incidentes deber existir una simple y rpida estructura de respuesta que habilite a la organizacin paraser capaz de confirmar la naturaleza y extensin del incidente, permitiendo tomar el control de la situacin para lograrcontener el incidente y comunicarse con los Stakeholders. Esta misma estructura de respuesta a incidentes deber gatillaruna apropiada respuesta de continuidad del negocio, se le podra identificar como Equipo de Manejo de Incidentes (IMT,Incident Management Team) o Equipo de Manejo de Crisis (CMT, Crisis Management Team). Todos los planes utilizadoscomo Plan de Manejo de Incidentes (Incident Management Plan), Plan de Continuidad del Negocio (Business ContinuityPlan) o el Plan de Recuperacin del negocio (Business Recovery Plan) deberan ser concisos y accesibles por todos aquellosque tengan responsabilidades en ellos. (British Standars Intitution, 2006). En general esta es la etapa donde la organizacindebe reflexionar el cmo va a reaccionar ante la ocurrencia de incidentes que pudiesen poner en riesgo la continuidad de laorganizacin, pero adems debe ser capaz de operacional dicho conocimiento y traspasarlo a instrumentos escritos lo que ledar la posibilidad de ser difundido para la interpretacin y puesta en accin por parte de toda la organizacin.

3.2.5. Ejercitar, mantener y revisar los planes de continuidad del negocio.Esta etapa se asegura que los acuerdos y procedimientos que la organizacin ha realizado en relacin al BCM sean

validados en forma prctica para posteriormente ser revisados y actualizados. Una estructura de organizacin decontinuidad del negocio y manejo de incidentes no puede ser considerados confiables sin ser ejercitados, probados yconstantemente mantenidos. Ejercitar es esencial para desarrollar equipos de trabajos competentes, confiables y con el

12 International Organization for Standardization. 2005. Tecnologa de la Informacin, Tcnicas de seguridad, Sistemas de gestin de seguridad de lainformacin, Requerimientos. 2005. ISO/IEC 27001.Clausula 4.2.113Business Continuity Management, British Standars Intitution. 2006. Business Continuity Management Part 1.. BS 25999-1. Clause 6.14Wikipedia. 2011. Enciclopedia Libre. [En lnea] 12 de Mayo de 2011. [Citado el: 18 de Mayo de 2011.] http://www.es.wikipedia.org/wiki/Estrategia


8/24

8

conocimiento vital en el momento de la ocurrencia de un incidente. La documentacin relacionada debera ser verificada atravs de ejercicios, auditorias y procesos de autoevaluaciones que aseguren que ellas cumplirn con su propsito.

Figura N 2 Tipos y Mtodos de ejercitar estrategias de BCM (British Standars Intitution, 2006)

Debe existir un programa de ejercitacin el cual debe ser consistente con el objetivo del plan de continuidad delnegocio, acuerdo al marco regulatorio y jurdico vigente. Los ejercicios pueden ser el anticipar y predeterminar resultados,creando mtricas que son planificadas previamente. Se debe ejercitar lo tcnico, logstico, administrativo, procedimientos yotros elementos operacionales del BCP, adems la documentacin e infraestructura incluidos los roles, responsabilidades ylocaciones para el manejo de incidentes. Validando con ello la tecnologa y telecomunicaciones de recuperacin utilizadaincluida la alta disponibilidad y reubicacin de las instalaciones. En la tabla Tipos y Mtodos de ejercitar estrategias deBCM se puede apreciar ejemplos de cmo se pueden desarrollar diferentes mtodos para realizar ejercitacin, en ella lafrecuencia de los ejercicios depender de cada de las necesidades de cada organizacin. En general este es un paso muy

importante donde se pondr a prueba toda la planificacin y coordinacin previas realizadas por la organizacin, siendo esteel momento donde realmente se podr apreciar cual es el nivel de preparacin que se posee ante situacin que ponga enduda la posibilidad de continuar con el normal funcionamiento del negocio.

3.2.6. Insertar BCM en la cultura de la organizacin

Para una satisfactoria implementacin de BCM ella tiene que pasar a ser parte de cmo la organizacin esadministrada independientemente de su tamao o sector productivo que corresponda. A cada paso del proceso de BCMexiste la oportunidad de introducirlo y hacerlo parte de la cultura organizacional. Esto es el construir, promover e incrustarlocomo parte del corazn de la organizacin dndole con ello un mayor valor a la gestin de la organizacin. Unaorganizacin con una cultura BCM debera desarrollar programas relacionado con ello de manera ms eficiente, infundiendoconfianza en sus grupos de inters en lo relacionado con en su capacidad de manejar las interrupciones del negocio, hacerdecrecer el tiempo de resilencia considerando como parte de las decisiones a todos los niveles de la organizacin. Laconcientizacin debera ser un proceso paulatino y planificado desde el ms alto nivel de la organizacin este proceso sercrucial para cumplir el objetivo final de la internalizacin del BCM.


9/24

4. LA C

4.1.Meto

La met

realizar, veri

efectividad d

Los princip

implementacuna visin q

permitir el

existentes.

PLAN

DO

CHECK

ACT

NTINUI

ologa Pla

dologa que

ficar y actua

el Sistema de

les elemento

in de una mue debe estar

establecer u

stablece una

ara administ

a organizaci

mplementa y

vala y si lobjetivos, pro

oma las meograr la mej

AD Y LA

-Do-Chec

recomienda e

. Ella cual e

Gestin de l

s de la meto

etodologa Pbasada en u

a modelo de

poltica de c

rar el riesgo

n.

opera las pol

as medicioncedimientos

didas correctra continua d

METOD

-Act (PDC

l estndar BS

tablece el i

Continuidad

Figura N

dologa ser

CA. (Britishna lnea de ti

gestin de

ontinuidad de

mplantando

ticas de cont

s del rendimlo que sea n

vas y preveel BCMS.

LOGA

A)

25999-2 es

plementar, o

del Negocio.

3 Modelo P

explicados

Standars Intitempo dividid

la continuid

l negocio, ob

C que entre

inuidad del n

iento de loscesario e inf

tivas, basada

LAN-DO-

l de Plan-Do

erar, monito

(Business C

CA BS 25999-2

a continuaci

ution, 2007).a en un ante

d del negoci

etivos, proce

ue resultado

gocio, contr

procesos sorma de los r

s en los resu

CHECK-

Check-Act (

rear, ejercita

ntinuity Insti

n a fin de

Esta metodol, durante y

o que cumpl

sos y procedi

s acordes con

les, procesos

o no los csultados de l

ltados de la

CT (PDC

DCA) o en

, mantener y

tute, 2007).

larificar su i

oga debe serespus. Ya q

a la totalidad

mientos que

las polticas

y procedimie

rrectos, corrigestin para

evisin de l

A)

spaol planif

poner aprue

mportancia e

aplicada teniue ello realm

de posibilid

ean relevante

y objetivos d

ntos.

ge la polticsu revisin.

gestin, par

9

icar,a la

n landoenteades

se

,

a


10/24

4.2.El An

Si bienmetodologaPara ello esdistribucinmejor formariesgo la conel poseer code Serviciotoman mediello se aplica

l durasituacin qusern fruto dla capacidadmejor ser l

recuperacintrasladar fsiaumentando

El procactividades,actividades

pertenecen,ejemplo el c

preparacinaparicin deltiene un sigactividadescapacidad de

es, Durant

es cierto laPDCA, se hmejor utiliz

basada en elen la figuratinuidad deltroles y monl asegurar qas proactivascomo un ele

nte es el mose est vivi

e la situacinde razonar se posibilidad

posterior aamente la tosu grado de ieso de gestilas cuales ses importanero adems

olor verde iny monitorizaincidente quificado deue realizara

continuar co

e y despu

norma de laace complejorla como uiempo transcN4. Es eseegocio, donditoreo permae el nivel de

para identifiento de con

Fi

ento mismondo, ejecutamisma, estasve profundade dar una

currido el italidad o partpacto en la

n de continuidocumentan

tes del BCMse agrego undica el tiempin de la no

e puede poneayor compl acciones p

n las activida

como ejes

Institucinde acuerdo aa base de currido antes,ncialmente ee se inicia laente de las oacuerdo delar e implemerol.

gura N 4 Mo

de ocurrencido accionesltimas son lente disminejor repuest

cidentes, ellae de las operedida que a

dad del negopara lograr, ellas estncdigo de coo previo a larmal operacir a prueba lajidad para eliativas a laes de forma l

de la Con

e Estandarizlo expresadnocimiento,durante y dela etapa preapacidad ge

peraciones, cervicio, es

ntar mejoras

delo PDCA BS

a de un incidque en algunas que se debida. Por lo taa. El despu

s van desdeciones paramenta el tieio como sena mejor difrdenadas enlores que indaparicin den de las acti

continuidadl compromisgeneracin

o normal pos

inuidad de

acin Britnien sus pgin

pero su ordespus de la ovia a la aparistionar la conn lo cual sentregado delos niveles

5999-2 (Olivar

ente, en el cs casos han

en minimizarnto cuanto ms est referid

lanes de recoder continupo transcurria podido aprusin y anligeneral de aica en qu faincidente, tvidades. Ele las operaci de la contiel evento,

ible.

l Negocio

ca (Britishas, lograr idenamiento deurrencia de

cin de un etinuidad, apaestablecen Sacuerdo a obe servicio en

s, 2011)

al se debersido previamdado que sis se reflexio

o a todas las

uperacin anr con algndo de detencieciar previasis. En la fiuerdo a quese de tiempodas las activolor amarilloones del negnuidad de la ellas tendr

tandards Insttificar sus ete ser realizan incidente,ento o inciderece como deAs. Siendo letivos alcanztregado (Pin

de alguna mnte pensadase est en une con anteri

actividades

e desastres hrado aceptabn de las actiente debe reaura N5 se pfase de la msern puesto

idades son re implica el icio, siendo els operacionen una direct

itution) defipas con clarido medianteesto se aprecinte que pongvital importameta de Nibles. TambiElephant, 2

nera gestion, y en otros c

omento de cridad al inciddestinadas c

asta la capacle de normaliidades.lizar una seriuede apreciatodologa P

s en prctica,lacionadas cstante mismcolor rojo el, ya que so relacin co

10

e ladad.una

a dea ennciaelesn se08),

r laasosrisisenten la

idaddad,

e delas

CAporn lao dequelas

n la


11/24

11

Finalmente el color purpura indica, actividades de retroalimentacin posteriores a la aparicin de un incidente o comoparte de un proceso de mejora continua. A continuacin se analizaran brevemente cada uno de ellos a fin de logrardimensionar la complejidad que puede resultar el lograr implementar un proceso de gestin de la continuidad del negocio.

Figura N 5 Figura Resumen de Actividades relacionadas con la Gestin de Continuidaddel Negocio y la Metodologa PDCA, en base al tiempo de ocurrido el suceso.

5. IMPLANTACIN DE UN PROCESO DE CONTINUIDAD DEL NEGOCIOEste captulo detallara la documentacin necesaria para una implementacin teora basada en la norma BS 25999, pero

basada en los tiempos transcurrido desde el punto de vista del momento de ocurrencia de un suceso que podr poner enpeligro la continuidad del negocio. Ello con el objetivo de clarificar la posibilidad de una implementacin.

5.1. PLAN (PLANIFICACIN)Lo primero que se debe entender antes de realizar los anlisis y planes relacionados con el proceso de continuidad del

negocio, est dado por comprender que es el proceso de planificacin. En un sentido amplio y elemental se entender comoplanificar a la accin de elaborar planes. Para la ISO la definicin de Planificar es la siguienteEstablecer los objetivos yprocesos necesarios para conseguir resultados de acuerdo con los requisitos del cliente y las polticas de la organizacin


12/24

12

(International Organization for Standardization, 2000).15. En el lenguaje militar, un Plan es Esencialmente la adopcin ydesarrollo de una lnea de accin, el hecho que toda planificacin est proyectada hacia el futuro, exige el establecimientode un punto de partida y un alcance en el tiempo. El punto de partida es la situacin actual, que normalmente es el datoconocido del problema, la incgnita es la lnea de accin que es preciso adoptar y el alcance en el tiempo constituye el plazoabarcado por el Plan. Para resolver un problema en forma cientfica, es preciso realizar un esfuerzo mental organizado enforma de proceso, de acuerdo con una metodologa adecuada. Si resumimos en una frase todo lo anteriormente expuesto,

podemos formular la siguiente definicin de planificacin: La Planificacin es el proceso mental metodolgicamenteorganizado, dirigido a la previsin y resolucin de problemas derivados del nivel estratgico o tctico, mediante la

adopcin y desarrollo de una lnea de accin para el futuro, partiendo de una situacin actual conocida. (Academia deGuerra Area, 2006).

Por lo tanto se puede afirmar que un plan es el respaldo de dicho proceso mental en un medio de soporte capaz detransportarlo a fin de lograr su difusin a quienes les competa. Las caractersticas que en general debe presentar para lograrser efectivo son las siguientes:

Adecuacin:Se dice que un plan es adecuado cuando las soluciones que presenta resuelven el problema propuestoen toda su amplitud.

Practicabilidad:Un plan es practicable cuando se cuenta, real o potencialmente, con los medios necesarios para suejecucin, ella proporciona realismo.

Flexibilidad. Un plan es flexible cuando puede ser fcilmente adaptado a cambios de la situacin dentro de ciertoslmites, o que proporciona garanta.

Equilibrio:Un plan tiene equilibrio cuando existe una correspondencia real de similitud entre las Necesidades ylos Medios. Depende de la exactitud en la determinacin de necesidades.

En resumen se puede afirmar que si un Plan resuelve en toda su amplitud el problema planteado, est basado enrecursos y disponibilidades reales con la posibilidad de adaptarse a ciertos cambios de situacin, y existe, equilibrio entrenecesidades y medios puede ser considerado como eficaz. (Academia de Guerra Area, 2006). Todos los planes tantoPlanes de Manejo de Incidentes, Continuidad del negocio, Recuperacin del Negocio, etc., deberan ser concisos, accesiblesa todo el personal a los cuales se asignes responsabilidades de algn tipo y en general deberan contener los siguienteselementos:

Propsito y Alcance: Aqu se debe especificar el propsito, y alcance que es definido por el alto nivel deadministracin de la organizacin, debe adems poseer claramente las relaciones con otros documentos sean ellosde planificacin o no. Deber tener priorizados sus objetivos de acuerdo a las actividades crticas que deben serrecuperadas, la escala de tiempo involucrada en ello, los niveles de recuperacin necesarios para cada actividadcritica y la situacin en la cual el plan debe ser utilizado.

Roles y Responsabilidades:Deben ser claramente expuesto en el documento los roles y responsabilidades de todoel personal y equipo involucrados, entregndoles a cada uno su nivel de autoridad.

Invocacin del Plan:Debe definirse el mtodo mediante el cual ser invocado el plan, este proceso debera serrealizado en el menor tiempo posible. La organizacin debera establecer y documentar claramente las guas aseguir mediante una cantidad preestablecida de criterios relativos a que (o cuales) individuos poseen la autoridadde invocarlo y bajo qu circunstancias. Dicha invocacin requiere la inmediata movilizacin de los recursos de laorganizacin. Este plan debera incluir claras y precisas instrucciones de cmo movilizar el equipo, puntos de

encuentro inmediatos con el detalle de las ubicaciones del diferente personal involucrado.

Definicin del dueo y mantenedor del documento: La organizacin debe nominar un dueo primario deldocumento e identificar quien es el responsable de revisarlo, corregirlo y actualizarlo en forma regular.Implementando un control de versiones que debe notificar en forma formal de los cambios, a todos los interesados.

Detalles de contacto:Cada Plan debe contener y proveer una referencia del detalle de los contactos esenciales detodos los interesados clave. (British Standars Intitution, 2006)16

15International Organization for Standardization. 2000. Sistemas de gestin de la calidad. Ginebra: s.n., 2000. ISO 9001:2000.Clausula 0.216 International Organization for Standardization. 2005. Tecnologa de la Informacin, Tcnicas de seguridad, Sistemas de gestin de seguridad de lainformacin, Requerimientos. 2005. ISO/IEC 27001.Clausula 8


13/24

13

5.1.1. Poltica de Gestin de la Continuidad del NegocioEn general una poltica representa un marco de referencia para la realizacin de todas las acciones que se deben

emprender en una empresa en un periodo de tiempo y mbito determinado. La poltica debe incluir tres cosas: que se debehacer, como hacerlo, y la medida empleada para evaluar lo que se ha hecho. Estos tres elementos se pueden definir como:

Tener un rea de accin o direccin sobre el que se debe trabajar (Por ejemplo reducir costos, mejorar la calidad deun producto).

La meta u objetivo cuantitativo que se espera alcanzar en un futuro, en el rea de accin elegida. Una gua para alcanzar la meta. Esto nos da el cmo se podra alcanzar el objetivo esperado.Las metas son simplemente lo que deseamos alcanzar, mientras que las polticas son guas propuestas para alcanzar las

metas. Una poltica debe cumplir los siguientes puntos:

Debe de estar basada en un anlisis de las condiciones reales. Debe dar prioridad a la calidad del producto o servicio y estar dirigida a la mejora de la estructura y cultura global

de la empresa. Debe presentarse en un lenguaje claro y simple. Debe especificar objetivos concretos y definir claramente las metas esperadas. Debe especificar las prioridades y problemas. Definir la metodologa a emplear. Debe de tomar la forma de un convenio mutuo entre todos los niveles de la empresa, y no impuesta desde la alta

direccin. Debe ser concreta y especfica cuanto ms abajo llegue en los niveles de la empresa. Debe tener lmites definidos en el tiempo, objetivos y campos de aplicacin claramente definidos. Debe incorporar mtodos para transmitir al total de la empresa todos los nuevos conocimientos adquiridos en el

proceso de su ejecucin y en la verificacin de resultados.

La poltica de continuidad del negocio, ser el marco de referencia inicial para poder ejecutar todas las accionestendientes a implementar un modelo de continuidad del negocio, ella es entendida como un documento sencillo, claro y

conciso que establecer a un alto nivel (Estratgico) los objetivos, el alcance y las responsabilidades en la gestin de lacontinuidad de negocio en la organizacin. Debe contener a lo menos los siguientes puntos tomando en todo momento lasrecomendaciones antes sealas:

INTRODUCCIN: donde se detalla en forma resumida la materia tratada y en qu contexto se desenvuelve y suestructura.

OBJETIVOS: Se debe explicitar los objetivos que se pretenden cumplir con la implantacin de un plan decontinuidad del negocio.

ALCANCE:Indica claramente los procesos u operaciones que son cubiertos por la poltica, as como los recursosque dan el soporte necesario a dichos procesos, incluso puede llegar a incluirse una zona geogrfica determinada.

RESPONSABILIDADES: Debe existir una relacin de los diferentes responsables involucrados de una u otraforma en el proceso de continuidad del negocio (Ya sea gerencia, coordinador, equipo, reas de negocio,

proveedores de servicio, etc) junto con una descripcin detallada de sus funciones y obligaciones.

5.1.2. Anlisis de Riesgos (Risk Assesstment)

Es necesario antes de comprender lo que es un Anlisis de Riesgo, definir que es un riesgo, se podra entender de unamanera simple como aquella eventualidad que imposibilita el cumplimiento de un objetivo, dicho de una maneracuantitativa es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. As definido, un riesgonormalmente con lleva dos tipos de consecuencias, ganancias o perdidas. En lo relacionado con tecnologa, generalmente elriesgo se plantea solamente como una amenaza, determinando el grado de exposicin a la ocurrencia de una prdida (porejemplo el riesgo de perder datos debido a rotura de disco, virus informticos, etc.). La Organizacin Internacional por la


14/24

14

Normalizacin define riesgo tecnolgico como: La probabilidad de que una amenaza se materialice, utilizandovulnerabilidad existentes de un activo o un grupo de activos, generndole perdidas o daos.17

Para lograr realizar una de identificacin de riesgos se debe ejecutar un proceso sistemtico, bien estructurado dado quelos riesgos identificados en una primera etapa, pueden ser identificados nuevamente en un anlisis posterior. Este anlisisdebe incluir todos los riesgos, estn o no bajo el control de la organizacin. Los objetivos de un anlisis de riesgos son

bsicamente:

Separar los riesgos menores aceptables de los riesgos mayores. Proveer datos para asistir en la evaluacin y tratamiento de los riesgosEl anlisis de riesgos involucra prestar consideracin a las verdaderas fuentes de los riesgos, sus posibles consecuencias

y probabilidades de que puedan ocurrir. Siendo su primera tarea el identificar los procesos de negocios de la organizacinen que se desea implementar o analizar el nivel de seguridad de la informacin, identificando a esta etapa como ladefinicin del mbito del anlisis de riesgos. Esto permite la realizacin de un anlisis donde sea realmente necesario, en

base a la relevancia del proceso de negocio y sus activos para alcanzar los objetivos de la organizacin. Surgeprincipalmente por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecern lasrecomendaciones.

Independientemente de la metodologa que se utilice, el anlisis de riesgos debe ser objetivo y conseguir

resultados repetibles en la medida de lo posible, por lo que deberan participar en l todas las reas de la organizacin enlas cuales se desea establecer o son parte del alcance del SGSI18. De esta manera quedarn plasmados varios puntos de vistay la subjetividad, que es inevitable, quedar reducida. Se puede abordar el anlisis de riesgos con varios enfoquesdependiendo del grado de profundidad con el que se quiera o pueda realizar el anlisis:

Enfoque de Mnimos: Se escoge un conjunto mnimo de activos y se hace un anlisis conjunto, demanera que se emplean una cantidad mnima de recursos, consumiendo poco tiempo y por lo tanto tieneel costo es menor. Este enfoque tienen el inconveniente de que si se escoge un nivel de seguridad muy alto,

puede requerir recursos excesivos al implantarlo para todos los activos y por el contrario, si es muy bajo,los activos con ms riesgos pueden no quedar adecuadamente protegidos.

Enfoque informal:Con este enfoque, no se necesita formacin especial para realizarlo ni necesita detantos recursos de tiempo y personal como el anlisis detallado. Las desventajas de este informe son que al

no estar basado en mtodos estructurados, puede suceder que se pasen por altos reas de riesgos o amenazasimportantes y al depender de las personas que lo realizan, el anlisis puede resultar con cierto grado desubjetividad. Si no se argumenta bien la seleccin de controles, puede ser difcil justificar despus el gastoen su implantacin.

Enfoque detallado:Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a losque se enfrenta la organizacin. Se puede decidir un nivel de seguridad apropiado para cada activo y de esamanera escoger los controles con precisin. Es el enfoque que ms recursos necesita en tiempo, personal ydinero para llevarlo a cabo de una manera efectiva.

Enfoque combinado:Con un enfoque de alto nivel al principio, permite determinar cules son los activos en losque habr que invertir ms antes de utilizar muchos recursos en el anlisis. Por ello ahorra recursos altratar antes y de manera ms exhaustiva los riesgos ms importantes mientras que al resto de los riesgos slo seles aplica un nivel bsico de seguridad, con lo que consigue un nivel de seguridad razonable en la

organizacin con recursos ajustados. Es el enfoque ms eficaz en cuanto a costos y a adaptabilidad a empresas conrecursos limitados. Hay que tener en cuenta que si el anlisis de alto nivel es errneo puede que quedenalgunos activos crticos a los que no se realice un anlisis detallado.

Las metodologas de anlisis de riesgo difieren esencialmente en la manera de estimar la probabilidad de ocurrencia deuna amenaza y en la forma de determinar el impacto en la organizacin. Las metodologas ms utilizadas son cualitativas,en el sentido de que dan una caracterizacin de alta/media/baja a la posibilidad de contingencia ms que una probabilidadespecfica. El estndar ISO/IEC 27001 adopta una metodologa de anlisis de riesgos cualitativa, este es un estndarinternacional para los sistemas de gestin de la seguridad informtica, que est estrechamente relacionado al estndar decontroles recomendados de seguridad informtica ISO/IEC 17799. Otro estndar existente es el NIST 800-30 del gobierno

17Organizacin Internacional por la Normalizacin - Guas para la gestin de la seguridad de TI /TEC TR 13335-1, 199618Sistema de Gestin de la Seguridad de la Informacin (SGSI)


15/24

15

americano tambin adopta una metodologa cualitativa. La dificultad de adoptar una metodologa de anlisis de riesgocuantitativa es la complejidad de determinar el impacto de un evento no deseado y, principalmente, la falta de datossuficiente para poder determinar de manera exacta las funciones de distribucin de probabilidad para las amenazas mscomunes. Por otro lado, en las metodologas cualitativas, la estimacin de probabilidades depender de la experiencia dequienes estn realizando el anlisis (Garca G., y otros, 2008).

Existen numerosas metodologas disponibles para la realizacin de anlisis de riesgos, ya que es una labor que requierede bastante dedicacin y con una metodologa estructurada se facilita la tarea, sobre todo si existe una herramienta quesimplifique todo el proceso. La organizacin debe escoger aquella que se ajuste a sus necesidades, y si consideravarias opciones, inclinarse por la ms sencilla. Hay que tener en cuenta que el anlisis de riesgos debe revisarse

peridicamente, por lo que si se hace con una metodologa complicada, esta labor necesitar de una dedicacinexcesiva. A continuacin se detallan algunas de las metodologas existentes:

ANLISIS HOLANDS A&K:Es mtodo de anlisis de riesgos, del que hay publicado un manual, queha sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno y a menudo enempresas holandesas.

CRAMM: Es un mtodo de anlisis de riesgos desarrollado por el gobierno britnico y cuenta con unaherramienta, ya que es un mtodo difcil de usar sin ella. Est basado en las mejores prcticas de la

administracin pblica britnica, por lo que es ms adecuado para organizaciones grandes, tanto pblicas comoprivadas.

EBIOS:Es un juego de guas mas una herramienta de cdigo libre gratuita, enfocada a gestores delriesgo de TI. Desarrollada en un principio por el gobierno francs, ha tenido una gran difusin y se usa tanto en elsector pblico como en el privado no slo de Francia sino en otros pases. La metodologa EBIOS consta de unciclo de cinco fases: Fase 1 :Anlisis del contexto, estudiando cuales son las dependencias de los procesos del negocio

respecto a los sistemas de informacin. Fases 2 y 3: Anlisis de las necesidades de seguridad y de las amenazas, determinando los puntos de

conflicto. Fases 4 y 5:Resolucin del conflicto, estableciendo los objetivos de seguridad necesarios y suficientes, con

pruebas de su cumplimiento y dejando claros cuales son los riesgos residuales.

IT-GRUNDSCHUTZ (Manual de proteccin bsica de TI) : Desarrollado en Alemania por la OficinaFederal de la Seguridad de la Informacin (BSI en sus siglas alemanas). Este manual proporciona unmtodo para establecer un SGSI en cualquier organizacin, con recomendaciones tcnicas para suimplantacin

NORMA ISO/IEC IS 27005:La Norma habla de la gestin de los riesgos de la seguridad de la informacin demanera genrica, utilizando para ello el modelo PDCA, y en sus anexos se pueden encontrar enfoques parala realizacin de anlisis de riesgos, as como un catlogo de amenazas, vulnerabilidades y tcnicas paravalorarlos.

OCTAVE: Operationally Critical Threat, Asset, and Vulnerability EvaluationSM, desarrollado en EEUUpor el SEI, en un una metodologa para recoger y analizar informacin de manera que se pueda disearuna estrategia de proteccin y planes de mitigacin de riesgo basados en los riesgos operacionales de seguridad dela organizacin. Hay dos versiones, una para grandes organizaciones y otra para pequeas, de menos de 100empleados.

SP800-30 NIST: Risk Management Guide for Information Technology Systems, desarrollado por el NISTestadounidense, es una gua detallada de las consideraciones que deben hacerse para llevar a cabo unaevaluacin y una gestin de riesgos orientada a la seguridad de losSistemas de informacin.

En general se podra definir que un anlisis de riesgo independiente de la metodologa a emplear debe realizar a lomenos las siguientes actividades:

Definir los activos informticos a analizar.


16/24

16

Identificar las amenazas que pueden comprometer la seguridad de los activos. Determinar la probabilidad de ocurrencia de las amenazas. Determinar el impacto de las amenaza, con el objeto de establecer una priorizacin de las mismas. Recomendar controles que disminuyan la probabilidad de los riesgos. Documentar el proceso.

5.1.3. Plan de Mitigacin de RiesgosIndependientemente de la metodologa o la herramienta informtica que se utilice para la realizacin del anlisis

de riesgos, el resultado debera ser una lista de los riesgos correspondientes a los posibles impactos en caso de que sematerialicen las amenazas a las que estn expuestos los activos. Esto permite categorizar los riesgos e identificar culesdeberan ser tratados primero o ms exhaustivamente. Se debe escoger, a la vista de los resultados, cual es el nivel deriesgo que la organizacin est dispuesta a tolerar, de manera que por debajo de ese nivel el riesgo es aceptable y porencima no lo ser y se tomar alguna decisin al respecto. Existen cuatro tipos de decisiones para tratar los riesgos que seconsideran no aceptables:

Transferirlo:El riesgo se traspasa a otra organizacin, por ejemplo mediante un seguro. Eliminarlo: Se elimina el riesgo, que normalmente slo se puede hacer eliminando el activo que lo

genera, por ello esta opcin no suele ser viable. Mitigarlo: Es decir, reducir el riesgo, normalmente aplicando controles de seguridad. Es una de las

opciones ms habituales. Asumirlo: Otra opcin comn es aceptar que no se puede hacer nada y por lo tanto se asume ese riesgo.Toda esta informacin debe quedar documentada para justificar las acciones que se van a tomar para

conseguir el nivel de seguridad que la organizacin quiere alcanzar y como referencia para posteriores anlisis. Enel caso del presente plan tiene por objetivo bajar el nivel de riesgo de la organizacin. Para ello deber tomar como base elAnlisis de Riesgo (Risk Assesstment), y generar todas las acciones tendientes a minimizar los riesgos existentes, y asgenerar riesgos residuales19lo ms bajos posible. Este plan debe cumplir con todas las recomendaciones entregadas en elconcepto de planificacin.

5.2. DO (HACER)La etapa de hacer tiene por objetivo una fase netamente de implementacin y operacin del proceso de continuidad del

negocio mediante controles, procesos y procedimientos. Debe clarificarse que si bien es cierto aparecen documento deplanificacin y anlisis en esta etapa, ello ocurre ms bien por un efecto de visualizacin en el lugar donde ellos deben seraplicados, ms que cuando sern generados.

5.2.1. Plan de Difusin, Programa de Concientizacin y CapacitacinLa etapa de difusin tiene como objetivo dar a conocer a todos los interesados el programa y planes relacionados con

la implantacin del BCM, comprende la concienciacin general y colectiva del personal de una organizacin respecto de laimportancia del programa, normalmente una de las reas de menor consideracin. Pero no se debe nunca olvidar que lacadena se rompe por el eslabn ms dbil por lo que se hace necesario el comunicar en forma formal a todos losinvolucrados. Un buen programa de concientizacin trae beneficios como una importante reduccin de la cantidad deacciones que puedan poner en peligro la planificacin por parte del personal de la organizacin, adems un incrementosignificativo de la efectividad de los controles implantados, adems de ayudar a la racionalizacin de recursos. Estaconcientizacin podra realizarse mediante presentaciones en vivo o grabadas, conferencias, presentaciones, videos,mediante la publicacin y/o distribucin de newsletters, boletines e intranet. Con incentivos, premios y reconocimiento poralcanzar objetivos relacionados con la continuidad del negocio. Este plan debe ser desarrollado teniendo en cuenta todas lasrecomendaciones previamente sealadas como requisitos recomendables que debe poseer todo plan.

19Se entiende por el riesgo remante posterior a la realizacin de medidas paliativas.


17/24

17

5.2.2. Plan de Gestin de Incidentes (Respuesta ante Emergencias)Los estudios realizados en base a importantes casos de incidentes a nivel internacional indican que la gestin rpida y

efectiva de una crisis es el factor determinante para proteger la marca de una organizacin tanto de daos financieros comode reputacin. El propsito del PGI es entregar un marco de accin que permita gestionar cualquier crisis sin importar sucausa incluso cuando no se cuente con una continuidad del negocio adecuada, como por ejemplo podra ser una amenaza ala reputacin. Los pasos claves para desarrollar un PGI debe estar dado por el nombramiento de un responsable en ladireccin ejecutiva del plan, con objetivos y un alcance de l bien definido, crear un equipo de planificacin de gestin deincidentes y de su relacin con otras planificaciones de la organizacin, debe existir una definicin de responsabilidades ynombramientos. Dentro de los principales mtodos, herramientas y tcnicas que se recomiendan para la planificacin ydesarrollo del PGI se incluye el Anlisis de proveedores, clientes y dems partes interesadas, planificando posiblesescenarios, generando listas de chequeo, talleres y generando formularios de respuesta rpida que permitan ayudar a la

puesta en marcha de los procedimientos estndar, si es posible apoyarse en software especializados en el tema que ayuden aoptimizar el proceso. Como la propia naturaleza del PGI, todas las crisis son diferentes por lo tanto el conjunto decomponentes y recursos que pueden ser tiles para el equipo que sea responsable de activarlo, el contenido de l variarasegn la naturaleza y complejidad de la organizacin. Debe estar diseado por mdulos para que las diferentes secciones

puedan comunicarse a los equipos segn la informacin que necesiten saber, se recomienda que cada seccin sea impresacon papel de diferente color para facilitar su uso. Dentro de las funciones y responsabilidades que se deben identificar

dentro del PGI estn:

Gestin de las comunicaciones Gestin del Recurso Humano idneo Pre aprobacin de gastos de uso inmediato Supervisar el progreso conjunto de la recuperacin y el desempeo del personal Identificar y maximizar las oportunidades o ventajas surgidas del incidente Identificar el impacto estratgico del incidente en la organizacin Mantener un registro de las decisiones tomadas durante el incidenteSe debe especificar por escrito las circunstancias en las que debe activarse y determinar quien tiene la facultad de

activarlo, pero dada la propia naturaleza de los incidentes de igual forma ello debera tener un nivel de flexibilidad,alentando la toma de decisiones ya que es ms simple solo desactivar el equipo que perder tiempo valioso en una demorainnecesaria, quedando explcitamente claro los diferentes puntos de reunin para los equipos y sus respectivos sitiosalternativos. Debe contener cursos de accin que contengan los elementos inciales para pasar a la accin como listas de

proveedores, accionistas y dems partes interesadas, el BIA puede contener indicadores tiles acerca de posibles impactosque necesitaran gestionarse. En general debe preocuparse de variados recursos como salas de reunin, equipamiento detelecomunicaciones, datos, alimentacin, enlace con organismos de emergencia, etc. (Business Continuity Institute, 2007)20

5.2.3. Anlisis del Impacto del Negocio (Bussiness Impact Analysis)Si bien es cierto no es propiamente un plan el Anlisis de Impacto del Negocio (Business Impact Analysis, BIA) es de

profunda relevancia a la hora de implantar la gestin de continuidad del negocio, dado que el desarrollo e implementacinde un BCP puede generar importantes inversiones que son difciles de justificar por el criterio del retorno a la inversin. Sinembargo ser difcil que la direccin de una organizacin autorice inversiones sin una justificacin previa. En algunos casos

ser la poltica de la alta direccin la que impulse las inversiones en otros casos el propio sentido comn de losresponsables, ello no debera ser slo de dicha forma sino que adems debera ocurrir gracias a un anlisis formal quedocumentara los impactos en la organizacin y se justificaran los requisitos de tiempos de respuesta. Los impactosnormalmente aumentan de forma acelerada dependiendo de los ciclos de proceso del negocio, siendo los ms evidentes einmediatos los econmicos, pero adems ocurren impactos operacionales o en el servicio a clientes que tienen efectos taninmediatos y tangibles como los econmicos. No se puede olvidar que los desastres ocasionan perdida de activos noasegurados o imposibles de asegurar como perdida de oportunidades, rotacin de personal, responsabilidades legales, etc.

Las empresas que han sufrido un desastre aseguran que los impactos intangibles son tan devastadores como los que sepueden cuantificar. Las funciones que desarrolla una organizacin no tienen siempre el mismo nivel de criticidad enfuncin del tiempo, aun admitiendo que todas ellas son necesarias no tienen las mismas repercusiones en las operaciones de

20Business Continuity Institute. 2007. Gua para instaurar Buenas Prcticas Globales en Gestin de continuidad del Negocio. Madrid , Spain : ISMS Spain,2007. Pg. 73-78


18/24

18

la organizacin y como consecuencia una interrupcin de la ejecucin de una u otra no causara los mismos perjuicios, eincluso en la misma funcin. El objetivo del BIA es proporcionar a la direccin de la organizacin la informacin necesaria

para que pueda tomar decisiones en el desarrollo de la estrategia de recuperacin, permitiendo determinar el grado decriticidad de las funciones principales de la organizacin y el tiempo mximo a partir del cual la interrupcin de cada una deellas es inaceptable. En este documento se debe incluir los siguientes tpicos:

Definir los tipos de impacto que se debera considerar (Econmicos, Comerciales, operacional, de imagen,jurdico, etc.)

Identificacin de las funciones crticas de la organizacin. Identificacin del impacto causado a la organizacin por la interrupcin de cada una de ellas. Fijar Prioridades definiendo las funciones consideradas prioritarias y establecer los Umbrales Mximos de

Recuperacin para dichas funciones. Posibilitar la identificacin de los recursos mnimos necesarios para una recuperacin satisfactoria de las

funciones definidas como criticas y justificar su adquisicin.

El alcance del BIA debe ser realizado exclusivamente a los efectos, tanto tangibles como intangibles que causara en laorganizacin la interrupcin de las funciones consideradas crticas. Adems el documento proporciona la informacin parala identificacin de las necesidades de los recursos para la recuperacin dentro de los plazos especificados ellos son losllamados umbrales de recuperacin. Dicho concepto est basado en que las consecuencias de una interrupcin de unafuncin de negocio no ocurren inmediatamente, muchas de las funciones pueden diferirse durante algn tiempo sin que lasconsecuencias sean excesivas e inaceptables. Del anlisis de estas consideraciones, as como del equilibrio entre prdidasasumibles y restricciones presupuestarias se definirn los objetivos de la recuperacin, los que pueden ser clasificadosusualmente como:

RTO (Recovery Time Objetive):Umbral de tiempo dentro del cual deben ser recuperadas las funciones crticasde la organizacin.

RPO (Recovery Point Objetive): Momento en el que las actividades deben estar recuperadas para comenzar eltrabajo despus de una interrupcin.

MAO (Mximum Aceptable Outage):Umbral de tiempo mximo de interrupcin durante el cual se debe hacerefectiva la recuperacin para evitar que dicha interrupcin ponga en peligro la consecucin de los objetivos de laorganizacin o su propia existencia.

REMAR (Requisitos Mnimos Aceptables para la recuperacin):Permite diferenciar entre recursos que sonnecesarios para una recuperacin razonablemente satisfactoria (Requisitos REMAR), de los recursos que existen enel entorno de produccin.

Como resultado de la fijacin en el BIA de estos objetivos las necesidades de recursos de recuperacin puedenidentificarse en el tiempo, los hitos pueden ser fijados en patrones de tiempo por ejemplo 4 hrs, 1,2 das una semana, etc.una semana, etc. En general este documento resulta de vital importancia ya que es la piedra fundamental para iniciar los

procesos de planificacin. (Gaspar, 2006)21

5.2.4. Anlisis de Estrategias de Recuperacin

La eleccin para obtener una continuidad del negocio aceptable, deber basarse en la disponibilidad del un centroalternativo, propio o subcontratado en el que se permita realizar la continuidad de las funciones criticas en un periodoinferior al definido por los umbrales de respuesta y recuperacin. (Gaspar, 2006). La organizacin al enfocarse endeterminar la estrategia deber implementar las medidas apropiadas para reducir la probabilidad de ocurrencia de incidentesy reducir los potenciales efectos de ellos. Teniendo debidamente en cuenta como mitigar la resilencia de la organizacin

21Gaspar, Juan. 2006.El Plan de Continuidad de Negocio "Guia Prctica para su elaboracin". Madrid : Diaz de Santos, 2006. ISBN:84-7978-778-3.Capitulo 3.


19/24

19

proveyendo continuidad a las actividades criticas durante y posterior a la ocurrencia de un incidente. Se deber considerardiferentes opciones de estrategias para la reanudacin de las actividades y recursos crticos. Siendo la ms apropiada la quedepender de un rango de factores que deben considerar aspectos como el mximo periodo de tiempo tolerable para lainterrupcin de las actividades criticas, los costos de implantacin dispuestos a invertir, y las consecuencias de la irrupcin.

Las estrategias requerirn de recursos como personas, infraestructura, tecnologa, informacin, proveedores,Stakeholders, etc. En cada caso la organizacin debera minimizar la probabilidad de implementar una solucin decontinuidad del negocio que a su vez pudiera ser afectada por el mismo incidente que causa la interrupcin del negocio(British Standars Intitution, 2006). Ellas debern estar diseadas para identificar prioridades y determinar en formarazonable las soluciones a ser seleccionadas en primera instancia o los riesgos a ser encarados en primer lugar. Podramosresumir que existen bsicamente los siguientes tipos de estrategias a implementar:

Estrategias Preventivas:Es previa a cualquier otro tipo de estrategia, ella realizara un anlisis y reduccin de losriesgos a que est expuesta la organizacin. Identificando claramente las amenazas y las vulnerabilidadesexistentes, con lo cual se permitir determinar los riesgos potenciales con su probabilidad y consecuencias, y quenivel la organizacin determinara como aceptable. Bsicamente adoptando medidas que garanticen ladisponibilidad de la informacin para su posible proceso en instalaciones alternativas.

Estrategias de Respuesta: Ellas son esencialmente reactivas y se puede elegir entre varias opciones, como son eldiferir la realizacin de las funciones de negocio, dispersar para que ninguna interrupcin individual en un rea dela organizacin especifica detenga totalmente las operaciones, reubicar las operaciones del negocio durante untiempo de recuperacin, ello es una forma especial de mitigar el impacto como proceso de respuesta a corto plazo,finalmente se podr mencionar el posponer las funciones del negocio al menos hasta que pasen los efectos delincidente, siendo esta una estrategia comn y a menudo aceptable. Las estrategias de dispersin y reubicacin estnntimamente relacionadas y pueden incluso solaparse, cual combinacin elegir requiere la comprensin general delas diversas estrategias de lugares alternativos disponibles.

Estrategias de Recuperacin y Reanudacin: Son aquellas estrategias que permitirn poder volver a operarluego de un incidente, ella debe considerar desde utilizacin de backup, hasta sitios de operacin alternativa que

permitirn la reanudacin en algn grado de las operaciones.

5.2.5. Plan de continuidad del NegocioEl Plan de Continuidad de Negocio (Business Continuity Plan, BCP) es el documento general que agrupa todo el

trabajo realizado para lograr producir una continuidad del negocio frente a un incidente, facilitando la recuperacin de lasactividades. Todos los involucrados en el deberan ser capaces de analizar la informacin de los equipos de respuesta acercadel impacto del incidente, elegir y desarrollar las estrategias adecuadas de entre todas las disponibles en el plan, dirigir lasunidades de negocio para la recuperacin segn las prioridades acordadas y, por ltimo, comunicar los avances al Equipo deGestin de Incidentes. Los componentes y contenidos de un Plan de Continuidad de Negocio variarn segn laorganizacin, y presentarn diferentes grados de detalle basados en la cultura de la organizacin y la complejidad tcnica delas soluciones propuestas. El propsito de un BCP es ofrecer un marco de accin con procesos documentados, para que laorganizacin sea capaz de reiniciar todos sus procesos de negocio dentro de los objetivos de tiempos de recuperacin

propuestos. En s mismo el plan no demuestra que la organizacin posea capacidades de gestin de la continuidad, pero elhecho que exista un plan actualizado en la organizacin sugiere una capacidad efectiva. l debe estar orientado a la accin

por lo tanto debe ser rpido de consultar y no debe incluir documentacin que no sea necesaria ente un incidente, siemprecontendr (documentadamente) los supuestos de gravedad mxima del incidente (en trminos de amplitud, duracin oimpacto sobre el personal sobre el personal) si ellos se sobrepasan se deber transferir la responsabilidad al equipo degestin de incidentes debido a que es casi inevitable que la solucin emane de una decisin estratgica.

Los pasos claves en el desarrollo de un BCP son los siguientes: nombrar un responsable, definir su alcance y objetivoen sintona con la estrategia de la organizacin y la Poltica de gestin de continuidad del negocio. Crear un equipo idneode planificacin el cual decidir la estructura, formato, componentes y contenido de l, al igual que su interaccin con otros

planes y normativas de la organizacin. Difundir a quien corresponda, acordando un plan constante de pruebas ymantenimiento que garantice su vigencia. Finalmente se debe probar el plan mediante un ensayo sobre papel que lo pongaen accin. Debe estar diseado por mdulos para facilitar la comunicacin a los equipos de las diferentes secciones sea mseficiente, y slo conozcan lo que les compete. Puede cada seccin imprimirse en papel de diferente color para su facilidadde uso y referencia, estando constantemente actualizado y los contactos estn en un apndice independiente a fin de su


20/24

20

facilidad de correccin. Entre las funciones y responsabilidades principales que el debe albergar se encuentran lassiguientes:

Servir de enlace con los servicios de emergencia

Recibir o buscar la informacin de los equipos de respuesta Reportar la informacin al equipo de Gestin de Incidentes Activar a proveedores de servicios de rescate o recuperacin Asignar recursos disponibles

Deben especificarse las circunstancias en las que el equipo debe activarse y determinar que personas tiene dichaautoridad, a pesar de ello al igual PGI debe tener cierto nivel de flexibilidad. Los lugares de reunin deben haber sido

previamente preestablecidos priorizando aquellos que contienen los recursos necesarios. Dentro de los cursos de accin ytareas que debe poseer se encuentran los procedimientos detallados para:

Responder a la Invocacin Como se deben tomar las decisiones Movilizar los recursos

Iniciar la recuperacin de la actividad Recibir informacin de otros equipos Informar el Status al Equipo de Gestin de IncidentesEn general este plan debe ser un ejercicio de planificacin acabado en el cual se incluya necesidades de RRHH,

Instalaciones y suministros, Tecnologa, comunicaciones, datos, Seguridad, Logstica, Transporte, etc. y todo aquello que senecesario para la mantencin de los procesos crticos de la organizacin. (Business Continuity Institute, 2007)22

5.2.6. Planes de Recuperacin, Reanudacin y Restauracin.El objetivo de Plan de recuperacin de desastres (Disaster Recovery Plan, DRP) es el poder contar con un plan de

contingencia que incluye las responsabilidades y facultades detalladas de los miembros del equipo de recuperacin dedesastres. Un DRP establece una gua y provee la certeza razonable de que los recursos y las instalaciones crticas de TIpermanecern disponibles en caso de un desastre. Algunos ejemplos de los objetivos de un DRP de una organizacinpodran ser:

Proteger la organizacin: Proteccin de las instalaciones y recursos del centro de datos para asegurar laestabilidad de la organizacin.

Minimizar el riesgo de demoras: Asegurando que cada recurso est disponible cuando se necesita. Fiabilidad garantizada:Un plan actualizado y probado provee la certeza que los sistemas de soporte y respaldo

trabajarn efectivamente.

Minimizar la toma de decisiones durante un desastre: Durante un desastre la situacin es altamente estresante,la toma de decisiones crticas llega a ser exponencialmente ms compleja como resultado directo del corto perododisponible para reaccionar.

Proveer un sentido de seguridad: El conocimiento y la certeza de que se cuenta con alternativas para lacontinuacin de las operaciones trasmite confianza a los empleados, al equipo de administracin, a los clientes, alos aseguradores as como a los inversionistas.

El DRP se aplica a grandes trastornos, por lo general fsicos que provocan la denegacin del acceso a la infraestructurade instalaciones primaria durante un perodo prolongado. Es un plan que concentra la informacin del sistema en formaespecfica destinada a restablecer la operatividad del sistema de destino, aplicacin o instalacin de infraestructura

22Business Continuity Institute. 2007. Gua para instaurar Buenas Prcticas Globales en Gestin de continuidad del Negocio. Madrid , Spain : ISMS Spain,2007. Pg. 79-81


21/24

21

informtica en un sitio alternativo despus de una emergencia. El DRP puede ser apoyado por la contingencia mltiplessistemas de informacin para hacer frente a los planes de recuperacin de impacto sistemas individuales una vez que elcentro alternativo se ha establecido. Una gestin de la recuperacin de desastres puede apoyar un plan de BCP o en larecuperacin de los sistemas de apoyo para las funciones de la misin de negocios o funciones de la misin esencial en unaubicacin alternativa. El DRP slo se refiere a las interrupciones de los sistemas de informacin que requieren unareubicacin. (NIST, May, 2010)23. Los pasos para el desarrollo de su proceso DRP son:

Identificacin de las prioridades, responsabilidades y objetivos de la organizacin, cuando se hace frente alimpacto de un desastre.

Establecimiento del equipo de recuperacin de desastres para los sistemas de informacin y diseo de losprocedimientos para notificacin de emergencias.

Especificacin de los requerimientos de procesamiento crticos de IT, con el objetivo de mantener la continuidaddel negocio.

Creacin de estrategias de recuperacin para los diferentes recursos crticos, tales como instalaciones alternas,equipos, enlaces de comunicaciones, sistemas y suministros en general.

Comunicacin y prueba de los procedimientos del DRP. Identificacin e inversin en una localidad alterna deprocesamiento de datos.

Documentacin de los procedimientos de instalacin /restauracin para las aplicaciones crticas y los sistemasoperativos en uso. La organizacin se beneficiar de la informacin contenida en el manual.

La actualizacin y el ajuste del DRP es una actividad obligada despus de haber efectuado las pruebas.Los Planes de Recuperacin de Desastres en Aplicaciones TI se han vuelto cada vez ms importantes a medida que las

tecnologas de la informacin han ganado importancia en el desarrollo y soporte de los procesos de negocios. Una crecienteconciencia, lograda muchas veces a partir de experiencias desafortunadas, se ha estado desarrollando sobre el impacto delmal funcionamiento de los sistemas informticos. ste puede limitar severamente la capacidad de proveer servicios y

productos, afectando a las ventas, la satisfaccin del cliente, el comportamiento de los accionistas, las relaciones pblicas yla imagen corporativa, y daando por consiguiente la rentabilidad

5.3. CHECK (Revisar)En todo proceso de gestin es de vital importancia el lograr producir un control y este se logra mediante la aplicacin

de controles, que permitan evalar si el rendimiento de los procesos es o no el correcto, corrige la poltica, objetivos,procedimientos o lo que sea necesario e informa de los resultados de la gestin para su revisin.

5.3.1. Plan de Ejercitacin y PruebasUna buena documentacin no es garanta que la planificacin de continuidad del negocio va a responder segn lo

previsto. La experiencia muestra en repetidas ocasiones que los programas de entrenamiento y pruebas peridicas sonherramientas muy valiosas para conseguir una recuperacin eficaz. Los programas de ejercitacin, entrenamiento y pruebasson una forma sencilla de mantener actualizados los planes en un nivel adecuado. Un plan de de este tipo debe contar comomnimo tres elementos:

Revisiones Peridicas: Ellas deben comprobar si siguen validas las premisas de partida sobre las que seconstruyo el plan, si se han transformado en crticas funciones del negocio que antes no lo eran, estn aundisponibles los recursos de recuperacin planificados, son aun apropiados los umbrales de recuperacin, etc. Engeneral significa un constante replanteamiento de la situacin operacional y las medidas tomadas en relacincon la continuidad del negocio.

23NIST. May, 2010. Contingency Planning Guide for Federal Informacin Systems. Gaithersburg,USA : National Intitute of Standars and Technology, ,May, 2010. NIST 800-34 Rev1. Capitulo 2


22/24

22

Ejercicios de Entrenamiento:Ellos deben a lo menos ser realizados en forma anual, similar a la revisin deprocedimientos de respuesta y recuperacin. A estas sesiones deben asistir los componentes de cada equipo derecuperacin, incluyendo a los suplentes. La finalidad de estas sesiones es familiarizarse con las estrategias y

procedimientos existentes en la planificacin.

Pruebas Tcnicas: Gran parte del xito y buen funcionamiento dela planificacin se basa en el buenfuncionamiento de la tecnologa. Es por ello que algunas secciones de la planificacin requieren pruebas reales

para asegurar un funcionamiento de acuerdo a lo previsto. Recomendndose pruebas a lo menos anuales dedeterminados elementos tecnolgicos ello basado en experiencias de muchos casos reales de recuperacin.Esencialmente los elementos ms sensibles a verificar son los siguientes: Restauracin y verificacin deBackup, Conmutacin de Networking tanto de voz como de data, verificacin de disponibilidad desuministradores de elementos crticos, recuperacin de elementos custodiados en almacenamiento externoutilizando la logstica descrita en la planificacin, efectuar algunas transacciones y procesos reales utilizandolos recursos y registros alternativos descritos en la planificacin, y realizacin de pruebas de funcionamiento detodo aquel elemento tecnolgico considerado como critico para la ejecucin de la continuidad del negocio.

Es aconsejable establecer un programa anual de que contemple ejercitacin de estos tres elementos para asegurar suejecucin. Despus de cada revisin o ejercicio, los diversos componentes del plan deben ser actualizados, si corresponde

con las experiencias obtenidas de los mismos. (Gaspar, 2006)

5.3.2. Plan de Auditorias (Revisin de Gerencia)Una auditora en informtica se encarga de la evaluacin y verificacin de las polticas, controles, procedimientos y en

general de todos los recursos dedicados al manejo de la informacin, mediante la aplicacin de una metodologa que debede ejecutarse con formalidad y oportunidad. Por lo tanto un plan de auditorias en una forma estructura y metodologa deverificacin del grado de acercamiento entre las acciones tomadas y los objetivos planteados en la Poltica de Continuidaddel Negocio. Los auditores tienen como meta el actuar como puntos de control y de confianza para la alta direccin o losdueos de la empresa, adems debe ser el facilitador de soluciones o lo relacionado con la implantacin de un BCM,siempre conduciendo a la organizacin hacia la optimizacin del uso de los recursos. El plan de auditora es la gua para laejecucin de las actividades del auditor, el cual debe ser aprobado por el Comit de Auditora de la empresa o por el msalto nivel de la organizacin.

La ejecucin del plan de auditora se puede llevar a cabo en forma interna, mediante el outsourcing o cosourcing24deservicios, para lo cual se debe buscar un equipo multidisciplinario con experiencia en el desarrollo de la actividad deauditora interna de manera integral. Debe poseer una calendarizacin y lo ms importante generar los informes necesarios,y comprensibles que produzcan una correcta retroalimentacin que sirva para mejorar el proceso de implementacin de un

plan de continuidad del negocio. (Rehage, y otros, 2008)

5.4. ACT (Actuar)Viene dado el proceso posterior a la evaluacin de la g

156183597 Gestion de Continuidad Del Negocio

Documents

Transcript of 156183597 Gestion de Continuidad Del Negocio