Plan Continuidad Negocio Guía

Escuela Universitaria de Informática

Universidad Politécnica de Madrid

Guía de Desarrollo de un Plan de
Continuidad de Negocio

Autora: Laura del Pino Jiménez

Director de Tesis: Jorge Ramió Aguirre

Fecha del trabajo original: julio 2007

BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)

Laura del Pino es Ingeniero Técnico en Informática de Sistemas por la Universidad
Politécnica de Madrid. Ha realizado el Curso Superior de Dirección de Seguridad de
la Información del IADE de la Universidad Autónoma y es CISA por la ISACA.
Comenzó a trabajar en Seguridad informática en KPMG como NITSO, National
Information Security Officer, pasando en el año 2000 a formar parte de AZERTIA
como Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesional
en el departamento de Seguridad de INDRA.

NOTA DEL DIRECTOR DE TESIS

Laura realizó su Trabajo Fin de Carrera en la Escuela Universitaria de Informática
EUI de la Universidad Politécnica de Madrid en este tema en el año 2007, ocasión
en la que tuve la grata oportunidad de ser su tutor de tesis, como profesor del
departamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI.

A mediados de 2008 le pedí que hiciese un breve resumen de esa tesis para
publicarlo en Internet como documento de libre distribución, con el objeto de que
fuese una guía práctica y de fácil entendimiento. Este es el feliz resultado de
dicho trabajo.

Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo el
poco tiempo libre que le dejan sus actividades profesionales que desarrolla en
esta importante área de la seguridad de la información.

Madrid, marzo de 2009.

Guía de Desarrollo de Plan de Continuidad de Negocio

Índice

ÍNDICE


Índice

1. INTRODUCCIÓN ....................................................................................................................... 1

2. OBJETO DE LA GUIA ............................................................................................................... 2

3. ANTECEDENTES ........................................................................................................................ 3

4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5

5. POR DÓNDE EMPEZAMOS..................................................................................................... 7

6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS ............................ 9

6.1 ANÁLISIS DE IMPACTO ................................................................................................... 10
6.1.1 RELACIÓN DE PROCESOS.................................................................................................... 11
6.1.2 RELACIÓN DE APLICACIONES............................................................................................... 11
6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 12
6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS ............................................................................... 12
6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN ................................................................................... 12
6.2 ANÁLISIS DE RIESGOS ................................................................................................... 14
6.2.1 IDENTIFICAR ACTIVOS ......................................................................................................... 15
6.2.2 IDENTIFICAR AMENAZAS ...................................................................................................... 16
6.2.3 EVALUAR VULNERABILIDADES ............................................................................................. 17
6.2.4 EVALUACIÓN DEL IMPACTO ................................................................................................. 18
6.2.5 EVALUACIÓN DEL RIESGO ................................................................................................... 18
6.2.6 EVALUAR CONTRAMEDIDAS ................................................................................................. 20

7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 22

7.1 SELECCIÓN DE ESTRATEGIAS ........................................................................................ 22

8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25

8.1 ORGANIZACIÓN DE LOS EQUIPOS.................................................................................. 25
8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS ............................................................................... 26
8.1.2 EQUIPO DE RECUPERACIÓN ................................................................................................ 26
8.1.3 EQUIPO LOGÍSTICO ............................................................................................................. 26
8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES.................................................. 27
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27
8.2 DESARROLLO DE PROCEDIMIENTOS ............................................................................ 28
8.2.1 FASE DE ALERTA ................................................................................................................ 29
8.2.2 FASE DE TRANSICIÓN ......................................................................................................... 31


Índice

8.2.3 FASE DE RECUPERACIÓN .................................................................................................... 32
8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 33
8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN .......................................................................... 33

9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34

9.1 PRUEBAS ............................................................................................................................ 34
9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS ...................................................................................... 34
9.2 TIPOS DE PRUEBAS ......................................................................................................... 34
9.2.1. EJERCICIOS TÉCNICOS ................................................................................................... 35
9.2.2. TEST COMPLETO ............................................................................................................ 35
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD ............................................................ 36

ANEXOS ............................................................................................................................................... 37

ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ................................. 38

ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41

ANEXO III – EJEMPLOS DE VULNERABILIDADES .......................................................................... 43

ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS............................................................................... 44

ANEXO V – SITIOS DE INTERÉS........................................................................................................ 45

CASO DE ESTUDIO ............................................................................................................................. 47

ANTECEDENTES ............................................................................................................................. 47
ANÁLISIS DE IMPACTO ................................................................................................................ 48
COMPONENTES DE LOS PROCESOS ...................................................................................... 48
PROCESO PEDIDOS................................................................................................................... 48
PROCESO DE NÓMINAS ............................................................................................................ 50
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS .................................................. 52
ANÁLISIS DE RIESGOS ................................................................................................................ 53
INVENTARIO DE ACTIVOS ......................................................................................................... 53
LISTADO DE AMENAZAS ............................................................................................................ 53
VULNERABILIDADES .................................................................................................................. 54
EVALUACIÓN DE RIESGOS ....................................................................................................... 55
RECOMENDACIONES - CONTRAMEDIDAS .............................................................................. 55
ESTRATEGIA DE RECUPERACIÓN .............................................................................................. 56
DESARROLLO DEL PLAN .............................................................................................................. 57
COMITÉ DE CRISIS ..................................................................................................................... 57
EQUIPO DE RECUPERACIÓN .................................................................................................... 58


Índice

EQUIPO DE COORDINACIÓN LOGÍSTICA................................................................................. 59
EQUIPO DE RELACIONES PÚBLICAS ....................................................................................... 60
EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 61
FASE DE ALERTA ........................................................................................................................... 62
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE ............................................................................ 62
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN ........................................................................................ 62
PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN ............................................................. 62
FASE DE TRANSICIÓN.................................................................................................................. 64
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS ................................... 64
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN ......................................... 64
FASE DE RECUPERACIÓN ............................................................................................................ 65
PROCEDIMIENTO DE RESTAURACIÓN ................................................................................................ 65
PROCEDIMIENTO DE SOPORTE Y GESTIÓN ......................................................................................... 65
FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66
ANÁLISIS DEL IMPACTO .................................................................................................................... 66
ADQUISICIÓN DE NUEVO MATERIAL ................................................................................................... 66
FIN DE LA CONTINGENCIA ................................................................................................................. 66
CONCLUSIONES............................................................................................................................. 67

BIBLIOGRAFÍA..................................................................................................................................... 68


Introducción

1. INTRODUCCIÓN

Dentro de la Gestión de la Seguridad de la Información en una compañía es
importante contar con un plan alternativo que asegure la continuidad de la
actividad del Negocio en caso de que ocurran incidentes graves.

Tradicionalmente, los Planes de Continuidad, denominados Planes de
Contingencia en sus orígenes, están asociados a grandes compañías que
necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa
sus servicios. La realidad es que cualquier compañía puede sufrir un incidente
que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho
incidente, las consecuencias pueden ser más o menos graves.

Esta guía pretende desglosar las actividades necesarias para desarrollar un Plan
de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al
lector a entender cada una de las fases y tareas que componen el Plan.

Es importante destacar que la guía puede servir para desarrollar un Plan de
Continuidad de Negocio tanto en una gran compañía como en una Pyme, aunque
consecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarán
sensiblemente.

1


Objeto de la Guía

2. OBJETO DE LA GUIA

Una de las motivaciones que me ha llevado a desarrollar esta guía es la poca
información que he encontrado que contenga una descripción detallada de las
fases y tareas que componen un Plan de Continuidad. Por ello, los principales
objetivos son:

o Dar a conocer la importancia del Plan de Continuidad de Negocio para
hacer frente a incidentes graves de seguridad en una compañía.

o Desarrollar una Guía completa sobre Continuidad de Negocio, donde se
muestren cada una de las fases que componen el Plan.

o Resumir de forma clara y sencilla cada una de las actividades a desarrollar
dentro de las Fases del Plan de Continuidad.

o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de
Continuidad.

2


Antecedentes

3. ANTECEDENTES

A la velocidad con la que operan los negocios actuales un incidente de unas
pocas horas de duración puede tener un impacto catastrófico en los resultados y
en la imagen de la organización que lo sufra.

La íntima dependencia que existe entre el negocio y los sistemas de información
exige que éstos estén preparados para afrontar las múltiples amenazas que
ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.
El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de
2005 o el Huracán Katrina en agosto de ese mismo año, son dos ejemplos que
vienen a sumarse a sucesos, como los atentados del 11-S del año 2001. Sin
embargo, en no pocas ocasiones no es necesario un desastre de dimensiones
parecidas a las de los mencionados anteriormente para poner en peligro no sólo
la buena marcha del negocio sino su misma supervivencia; eventos como la
irrupción de un virus o la instalación de un parche de seguridad pueden conducir
a la inoperabilidad temporal de los sistemas, la pérdida de información crítica o,
en última instancia, la inutilización de las infraestructuras.

Tipos de incidentes

No sólo las catástrofes ambientales, tales como incendios o inundaciones,
pueden causar daños adversos a una organización. Otros tipos de incidentes,
como los que se detallan a continuación, pueden tener impactos adversos para
una compañía:

• Incidentes serios de seguridad en los sistemas, como delitos
cibernéticos, pérdida de información, robo de información sensible o
su distribución accidental, fallos en los sistemas IT, errores de
operación en los sistemas, etc.

• Daños en las infraestructuras o en los servicios, fallos en el
suministro eléctrico, fallos en el suministro de agua, fallos en las
comunicaciones, huelgas en los servicios de limpieza.

• Fallos en los equipos o en los sistemas, incluyendo fallos en las
fuentes de alimentación, en los equipos de refrigeración.

• Daños deliberados como actos de terrorismo o de sabotaje, guerras,
robos, huelgas, etc.

Los accidentes afectan de forma diferente a cada organización, dependiendo de
su tamaño y de su área de actividad, no siendo el tamaño una característica

3


Antecedentes

fundamental; las pequeñas y medianas organizaciones también pueden verse
seriamente afectadas.

Las consecuencias de estos accidentes sobre las organizaciones que no tienen un
plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las
mismas. Tomemos como ejemplo las siguientes cifras:

• Un 43% de las organizaciones después de un accidente no podrán
continuar sus operaciones viéndose obligadas a cerrar.

• Un 80% tendrán que hacerlo en menos de 13 meses.

• Un 53% de los clientes de estas organizaciones no recuperarán las
pérdidas causadas por los daños derivados.

• Un 50% se verán forzadas a cerrar antes de cinco años después del
desastre.
Fuente: Cámara de Comercio de Londres

A pesar de que los efectos inmediatos de un desastre aparentemente son la
pérdida de beneficios por la parada de actividad puntual y la incapacidad para
proveer servicios críticos, no son éstos los efectos más perniciosos que un
incidente de este tipo provoca.

Otros efectos derivados que pueden causar un gran impacto en la compañía son
la pérdida de reputación de cara a los clientes, o la pérdida de ventaja
competitiva con otras compañías.

4


¿Qué es un Plan de Continuidad de Negocio?

4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO?

Un Plan de Continuidad de Negocio se compone de varias fases que comienzan
con un análisis de los procesos que componen la organización. Este análisis
servirá para priorizar qué procesos son críticos para el negocio y establecer una
política de recuperación ante un desastre. Por cada proceso se identifican los
impactos potenciales que amenazan la organización, estableciendo un plan que
permita continuar con la actividad empresarial en caso de una interrupción.

Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,
está orientado al mantenimiento del negocio de la organización, con lo que
priorizará las operaciones de negocio críticas necesarias para continuar en
funcionamiento después de un incidente no planificado.

En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas
clave:

• ¿Cuáles son los recursos de información relacionados con los procesos
críticos del negocio de la compañía?

• ¿Cuál es el período de tiempo de recuperación crítico para los recursos
de información en el cual se debe establecer el procesamiento del negocio
antes de que se experimenten pérdidas significativas o aceptables?

Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que
se toman durante un período en que los errores pueden resultar mayores. El Plan
establecerá, organizará y documentará los riesgos, responsabilidades, políticas y
procedimientos, acuerdos con entidades internas y externas.

La activación de un Plan de Continuidad debería producirse solamente en
situaciones de emergencia y cuando las medidas de seguridad hayan fallado.

BENEFICIOS

• Identifica los diversos eventos que podrían impactar sobre la continuidad
de las operaciones y su impacto financiero, humano y de reputación sobre
la organización.

• Obliga a conocer los tiempos críticos de recuperación para volver a la
situación anterior al desastre sin comprometer al negocio.

• Previene o minimiza las pérdidas para el negocio en caso de desastre.

• Clasifica los activos para priorizar su protección en caso de desastre.

• Aporta una ventaja competitiva frente a la competencia.
5


¿Qué es un Plan de Continuidad de Negocio?

• Fomenta e implica a los recursos humanos de la compañía en las
actividades de continuidad.

¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN?

Una pregunta que podemos hacernos es si el tamaño de una organización
determina la necesidad o no de tener un Plan de Continuidad. Se puede
responder a esta pregunta diciendo que NO. Si una organización es muy grande,
con beneficios millonarios, con grandes edificios y gran número de empleados, o
si se trata de una persona trabajando en una pequeña oficina con 5 empleados,
ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los
pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos
casos sería más vital desarrollar un Plan de Recuperación de Negocio para los
pequeños negocios que para las grandes corporaciones.

6


¿Por Dónde Empezamos?

5. POR DÓNDE EMPEZAMOS
Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por
obtener un conocimiento de la compañía: sus productos/servicios, sus objetivos
empresariales, procesos internos, etc.

No es lo mismo un Plan de Continuidad para una empresa de servicios de
Internet que para una empresa fabricante de juguetes. Aunque en ambos casos
el objetivo será el de seguir dando servicio a sus clientes, las actividades y
procesos sobre las que se soporta la empresa tendrán diferentes prioridades de
recuperación ante una contingencia grave.

El propósito general de un Plan de recuperación es obtener un mapa de
acciones que reduzcan “la toma de decisiones” durante las operaciones de
recuperación, restaure los servicios críticos rápidamente y permita un normal
funcionamiento de los sistemas y procesos lo antes posible, minimizando costes
y aumentando la efectividad.

Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:

Figura 1. Diagrama de Fases del Plan de Continuidad

7


¿Por Dónde Empezamos?

FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS

Se trata de obtener un conocimiento de los objetivos de negocio y de los
procesos que se consideran críticos para el funcionamiento de la compañía. Una
vez identificados los procesos críticos, se analizarán cuáles son los riesgos
asociados a dichos procesos para identificar cuáles son las causas potenciales
que pueden llegar a interrumpir un negocio.

FASE II – SELECCIÓN DE ESTRATEGIAS

Esta fase tiene dos objetivos:

• Por un lado, valorar las diferentes alternativas y estrategias de respaldo en
función de los resultados obtenidos en la fase anterior, para seleccionar la
más adecuada a las necesidades de la compañía.

• Por otro lado, corregir las vulnerabilidades detectadas en los procesos
críticos de negocio identificadas en el Análisis de Riesgos.

FASE III- DESARROLLO DEL PLAN

Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e
implantarla dentro de la compañía. En esta fase se desarrollan los
procedimientos y planes de actuación para las distintas áreas y equipos, y se
organizan los equipos que intervienen en cada fase del Plan.

FASE IV – PRUEBAS Y MANTENIMIENTO

Una parte importante del Plan de Continuidad, es conocer que realmente
funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la
prueba del Plan, para afinarlo según los resultados. Además, en esta última fase
se definirán los procedimientos de mantenimiento del Plan.

8


FASE I. Análisis del Negocio y Evaluación de Riesgos

6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS
Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es
conocer y entender cuáles son los procesos de negocio que son esenciales dentro
de la compañía en la que se va a desarrollar el Plan, con el objetivo de asegurar
la continuidad de la actividad en caso de contingencia. Para ello debemos
empezar por responder a cuestiones tales como:

• ¿Cuáles son las actividades más importantes para la compañía?

• ¿Cómo afectaría económicamente una interrupción de los servicios a medida
que va pasando el tiempo sin reanudar el servicio?

• ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el
tiempo?

• ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en
graves pérdidas?

Las actividades/procesos que se clasifican como esenciales dentro de una
compañía suelen ser en su mayoría los Operacionales. Estos procesos interactúan
directamente con los clientes o con otras organizaciones externas a la compañía
(Dpto. de Ventas, Dpto. Atención al Cliente, etc.). También es posible, que estos
procesos dependan de otros internos, que también deben ser analizados.

Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias
de continuidad, vamos a utilizar dos mecanismos de análisis:

Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá
identificar la urgencia de recuperación de cada función de negocio, determinando
el impacto en caso de interrupción. Esta información nos permitirá seleccionar
cuál es la estrategia más adecuada.

Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y
analizar los diferentes factores de riesgo que potencialmente podrán afectar a las
actividades que queremos proteger. La evaluación de riesgos supone imaginarse
lo que puede ir mal y a continuación estimar el impacto que supondría para la
organización. Se ha de tener en cuenta la probabilidad de que sucedan cada uno
de los problemas posibles. De esta forma se pueden priorizar los problemas y su
coste potencial desarrollando un plan de acción adecuado.

9



6.1 ANÁLISIS DE IMPACTO

El Análisis de Impacto es esencial para establecer una estrategia de
recuperación, que en principio dará continuidad a las actividades críticas y
posteriormente al resto, si es posible.

El nivel de criticidad de una actividad dentro de la compañía se mide en función
de lo dependiente de ella, que es la organización y de lo que repercutiría su
indisponibilidad. En términos económicos esta valoración sería responder a la
pregunta de cuánto perdería la organización si la actividad/proceso no estuviera
disponible.

Dentro del Análisis de Impacto podemos distinguir las siguientes actividades:

• Obtención de la Relación de Procesos: Establecer los procesos de
negocio que se realizan en la compañía.

• Obtención de la Relación de Aplicaciones: Establecer la relación de
aplicaciones que soportan los procesos de la compañía.

• Relación de Departamentos y Usuarios: Se identifican los
departamentos que hay en la empresa y el nombre de las personas que la
componen y que intervienen en los procesos.

• Determinar cuáles son los Procesos Críticos: Pueden darse dos
valoraciones, una basada en la importancia para la compañía de los
procesos cuya ausencia tendría un impacto alto en la actividad de la
compañía (valoración cualitativa). La otra, se referiría a las pérdidas
económicas por período debido a la ausencia de los procesos (valoración
cuantitativa).

• Período Máximo de Interrupción: El acumulado de pérdidas suele ir
creciendo linealmente a medida que pasan los días y las actividades están
interrumpidas. No obstante, a partir de un momento que denominaremos
Período Máximo de Interrupción, las pérdidas sufren un aumento
significativo y las funciones no podrían ser reasumidas.

En los casos en que la organización tenga varias sedes, será necesario establecer
un alcance geográfico.

En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las
partes que componen el Análisis de Impacto. La recogida de esta información
permitirá evaluar las necesidades de la organización en materia de continuidad,
por lo que es importante que la información sea lo más completa posible.

10



6.1.1 RELACIÓN DE PROCESOS

Para obtener la información sobre los procesos y las aplicaciones que los
gestionan, es esencial la participación de las personas responsables de los
mismos dentro de la compañía, y de aquellos trabajadores que conocen en
profundidad los mismos. Para ello pueden utilizarse entrevistas personales y
cuestionarios que nos acercarán a los procesos críticos del negocio.

Podemos dividir los procesos en operativos y procesos de soporte. Los procesos
operativos son aquellos que guardan una relación directa con el cliente
(comercial, facturación, almacenaje, atención al cliente, etc.). Los procesos de
soporte, serían aquellos que facilitan los “recursos” para poder realizar los
procesos operativos (recursos humanos, gestión financiera, etc.)

6.1.2 RELACIÓN DE APLICACIONES

En este apartado debe recogerse el inventario de los recursos tecnológicos que
soportan los procesos de la compañía, a fin de identificar aquellos que den
soporte directo a los servicios críticos.

Los tipos de recursos que se deben analizar son:

• Hardware, identificando cada uno de los elementos hardware que soportan
los sistemas de información de la compañía.

• Software Base, recogiendo todos aquellos componentes de software, incluido
todos los asociados al sistema operativo, indispensables para el
funcionamiento y optimización del Sistema de Información de la compañía.

• Software de Aplicaciones, inventariando las aplicaciones de gestión que son
utilizadas en la empresa.

• Sistemas de Infraestructura, considerando aquellos elementos o
componentes que sin disponer de una tecnología enfocada propiamente al
tratamiento de la información sí son requeridos para garantizan la
operatividad del servicio.

11



6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS

Los procesos de la compañía están gestionados por departamentos/usuarios.
Dentro del inventario de procesos es necesario conocer el personal involucrado
en los mismos. Esta información puede obtenerse en las mismas entrevistas
donde se recoge la información de los procesos existentes y de los elementos
(hardware, software, etc.) que lo componen.

6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS

Esta tarea supone evaluar los impactos económicos y operacionales sobre el
negocio en caso de no disponer de la función analizada. La valoración de
pérdidas no es una cuestión sencilla, ya que pueden concurrir aspectos
intangibles, tales como la imagen de la organización ante sus clientes. Algunos
criterios que pueden ayudar a valorar las eventuales pérdidas pueden ser:

• Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que
no tengan alternativa manual o cuyo tratamiento manual suponga una
pérdida de eficiencia importante.

• Ingresos dejados de percibir.

• Penalizaciones por incumplimiento de contratos con clientes.

• Sanciones administrativas por incumplimiento de leyes debido a la falta
de control en situación de desastre (exposición de datos personales,
incumplimiento de normativa internacional como la Ley Sarbanes Oxley,
etc.).

• Gastos financieros.

Para simplificar esta valoración de los procesos podemos establecer una
clasificación numérica, asignando mayor prioridad (p.e. 1) a aquellos procesos
que se consideren más críticos y menor prioridad (p.e. 3) a aquellos que se
consideren menos críticos.

6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN

Una vez que obtenemos la visión del negocio, de los procesos que lo componen y
de la criticidad de cada uno de ellos, debemos establecer los tiempos de
recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al
negocio tras un incidente o contingencia grave con las menores pérdidas
económicas posibles para la compañía, deben estimarse para cada uno de los

12



procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas
económicas afectarían de forma grave a la compañía (Tiempo máximo de
interrupción). Esta estimación es importante de cara a seleccionar la estrategia
de respaldo adecuada a las necesidades de recuperación.

Pueden existir procesos en los que el tiempo de recuperación es muy pequeño
(horas), por ejemplo el servicio de banca electrónica de un banco, y otros
procesos como la facturación a clientes en una empresa de servicios, pueden
tener un periodo de recuperación mayor (días o semanas).

TIEMPO MÁXIMO DE INTERRUPCIÓN

MINUTOS HORAS DIAS SEMANAS MESES

TIEMPO DE RECUPERACIÓN OBJETIVO PERDIDAS ECOÓMICAS GRAVES
Figura 2. Tiempos de Recuperación

En definitiva, el Análisis de Criticidad nos da una visión de los procesos,
actividades y recursos a proteger con la prioridad de recuperación de cada uno
de ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.

13



6.2 ANÁLISIS DE RIESGOS

El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades
actuales que por su situación o su importancia pueden poner en marcha, antes
de lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debe
centrarse en los procesos/actividades del negocio que se han considerado
críticos, aunque también puede extenderse a aquellos que no lo son.

La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación
estimar el coste que supondría. Se ha de tener en cuenta la probabilidad de que
sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar
los problemas y su coste potencial desarrollando un plan de acción adecuado.

En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha de
contestar, con la mayor fiabilidad posible, a las siguientes preguntas:

¿Qué se intenta proteger?

¿Cuál es su valor para uno o para la organización?

¿Frente a qué se intenta proteger?

¿Cuál es la probabilidad de un ataque?

ESQUEMA DEL ANÁLISIS DE RIESGOS

Figura 3. Esquema Análisis de Riesgos

14



Existen diferentes metodologías de Análisis de Riesgos:

• MARION

• OCTAVE

• MAGERIT

Para el desarrollo de esta guía no se ha seleccionado ninguna metodología
concreta, sino que se realiza una descripción general de los pasos que componen
un Análisis de Riesgos.

6.2.1 IDENTIFICAR ACTIVOS

Para cada uno de los procesos críticos de la compañía es necesario realizar un
inventario de los activos involucrados en el proceso. Los activos se definen como
los recursos de una compañía que son necesarios para la consecución de sus
objetivos de negocio. Ejemplos de activos de una compañía pueden ser:

• Información

• Equipamiento

• Conocimiento

• Sistemas

Nota: en el apartado anterior, se ha obtenido gran parte de esta información,
sobre los activos que componen los procesos críticos.

Cada activo de la compañía tendrá unos costes asociados. En algunos casos
estos costes pueden ser cuantificados con un valor económico (activos tangibles)
como el software o el hardware, y en otros casos es más complicado cuantificar
el activo con valores monetarios (activos intangibles) tales como el prestigio o la
confianza de los clientes.

El proceso de elaborar un inventario de activos es uno de los aspectos
fundamentales de un correcto análisis de riesgos. En este inventario se
identificará claramente su propietario y su valor para la organización, así como
su localización actual.

A continuación se incluye un esquema con la relación existente entre los
diferentes elementos que intervienen en el Análisis de Riesgos.

15



Figura 4. Componentes del Análisis de Riesgos

6.2.2 IDENTIFICAR AMENAZAS

Una amenaza se define como un evento que puede desencadenar un incidente en
la organización, produciendo daños materiales o pérdidas inmateriales en sus
servicios.

A la hora de analizar los riesgos hay que evaluar las distintas amenazas que
pueden provenir de las más diversas fuentes. Entre éstas se incluyen los
agresores malintencionados, las amenazas no intencionadas y los desastres
naturales.

La siguiente ilustración clasifica las distintas amenazas a los sistemas.

Figura 5. Clasificación General de Amenazas

16



Dependiendo de la organización y el proceso analizado, serán aplicables distintos
tipos de amenazas. Las amenazas tendrán una probabilidad de ocurrencia
que dependerá de la existencia de una vulnerabilidad que pueda ser explotada,
para materializarse en un incidente. Por ejemplo una amenaza del tipo de
desastre natural como es un terremoto, tendrá una mayor probabilidad de
ocurrencia en una empresa con oficinas en Japón, donde los terremotos ocurren
con mayor frecuencia, que en España. Por lo tanto, a priori podemos decir que el
riesgo de daño por terremoto en una compañía situada en Japón es mayor que el
de una compañía situada en España.

A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta más
complicado valorar las amenazas humanas (ataques maliciosos, robos de
información, etc.), que las amenazas naturales. En el componente humano
existen dos factores a tener en cuenta:

AMENAZA= CAPACIDAD X MOTIVACIÓN

La motivación es una característica humana que es difícil de valorar, pero que sin
embargo es un factor a considerar: empleados descontentos, ex-empleados, etc.

En el anexo II se recogen algunos ejemplos de posibles amenazas.

Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a
la organización de forma grave y valorar la probabilidad de que se conviertan en
un incidente real.

6.2.3 EVALUAR VULNERABILIDADES

Las vulnerabilidades son debilidades que pueden ser explotadas para convertir
una amenaza en un riesgo real que puede causar daños graves en una
compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es
una condición o un conjunto de condiciones que pueden permitir a una amenaza
afectar a un activo.

En el anexo III se recogen algunos ejemplos de vulnerabilidades.

Para identificar las vulnerabilidades que pueden afectar a una compañía debemos
responder a la pregunta: ¿Cómo puede ocurrir una amenaza?

Para responder a esta pregunta ponemos como objetivo la amenaza y definimos
las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro
de la compañía puede darse esa circunstancia; es decir, si el nivel de protección
es suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra

17



Amenaza es que nos roben datos estratégicos de la compañía, podemos
establecer, entre otros, los siguientes escenarios:

ESCENARIOS NIVEL DE PROTECCIÓN

1. Entrada no autorizada a los datos ¿Existe un control de acceso a los datos?
a través del sistema informático.

2. Robo de datos de los dispositivos ¿Están los dispositivos de
de almacenamiento magnético. almacenamiento protegidos y
controlados de forma adecuada?

3. Robo de datos mediante accesos ¿Existen perfiles adecuados de acceso a
no autorizados. los datos?

Figura 6. Cuadro de Escenarios

Si no se responde afirmativamente a las preguntas de la columna derecha, es
que existen vulnerabilidades que podrían utilizarse de forma que la amenaza se
convierta en un incidente real, y causar daños importantes en la compañía.

6.2.4 EVALUACIÓN DEL IMPACTO

Los incidentes causan un impacto dentro de la organización, que también
deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del
impacto puede realizarse de forma cuantitativa, estimando las pérdidas
económicas, o de forma cualitativa, asignando un valor dentro de una escala
(p.e. alto, medio, bajo).

Por ejemplo, el robo de información confidencial de la compañía puede causar un
impacto alto si ésta cae en malas manos.

En otro caso, podemos estimar las pérdidas económicas de equipos tangibles
valorando el coste de reposición y puesta en marcha.

6.2.5 EVALUACIÓN DEL RIESGO

Riesgo es la posibilidad de que se produzca un impacto determinado en la
organización. El riesgo calculado es simplemente un indicador ligado al par de

18



valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la
relación entre el activo y la amenaza a la que el riesgo calculado se refiere.

PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD

RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO

El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A
continuación se muestra un ejemplo de una matriz de probabilidad/impacto:

RIESGO RIESGO RIESGO
ALTO

MEDIO ALTO ALTO
PROBABILIDADD

MEDIO

BAJO MEDIO ALTO

BAJO

BAJO BAJO MEDIO

BAJO MEDIO ALTO

IMPACTO
Figura 7. Matriz de Riesgos

Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades)
y el impacto sobre la compañía sea también bajo, estaremos en un nivel de
riesgo bajo.

Sin embargo, si existen vulnerabilidades que aumenten la probabilidad de
ocurrencia o el impacto del incidente sea alto para la compañía, estaremos en
unos niveles de riesgo medio-alto.

A modo de ejemplo se muestra la siguiente tabla:

19



DESCRIPCIÓN PROBAB IMPACTO RIESGO

Terremoto en ciudades situadas fuera de
BAJA MEDIO BAJO
fallas sísmicas
Terremoto en ciudades situadas sobre fallas
ALTA MEDIO ALTO
sísmicas
Robo de información confidencial compañía
BAJA ALTO MEDIO
con control de acceso lógico
Robo de información confidencial compañía
ALTA ALTO ALTO
sin control de acceso lógico

Una vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos.
Se pueden tomar diferentes caminos:

• Transferir el riesgo a través de seguros o subcontratando la gestión del
riesgo a terceras empresas.
• Aceptar el riesgo (posicionamiento aprobado por la dirección de la
compañía).
• Reducir el riesgo con controles que los mitiguen.
• Eliminar el riesgo (eliminando la causa o el foco del riesgo).

6.2.6 EVALUAR CONTRAMEDIDAS

Para reducir riesgos se utilizan los denominados controles o medidas de
seguridad. Podemos clasificar los controles en:

• Controles preventivos
o Identifican potenciales problemas antes de que ocurran
o Previenen errores, omisiones o actos maliciosos.

Ejemplos:
• Realizar copias de seguridad de los archivos.
• Contratar seguros para los activos.
• Establecer procedimientos / políticas de seguridad.
• Establecer control de acceso a la información.
• Establecer control de acceso físico.

• Controles detectivos

o Identifican y “reportan” la ocurrencia de un error, omisión o acto
malicioso ocurrido.

20



Ejemplos:

• Monitorización de eventos.
• Auditorías internas.
• Revisiones periódicas de procesos.
• Sensores de humo.
• Detección de virus (Antivirus).

• Controles Correctivos

o Minimizan el impacto de una amenaza.
o Solucionan errores detectados por controles detectivos.
o Identifican la causa de los problemas con el objeto de corregir
errores producidos.
o Modifican los procedimientos para minimizar futuras ocurrencias del
problema.

Ejemplos:
• Parches de seguridad.
• Corrección de daños por virus.
• Recuperación de datos perdidos.

Las medidas seleccionadas para mitigar riesgos deben mantener una proporción
entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan
(evaluación del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible
que se produzcan incidentes que hagan necesaria su ejecución. Por ello, es
importante que la compañía conozca sus riesgos y ponga las medidas adecuadas
para corregir el mayor número de vulnerabilidades que puedan provocar un
incidente grave.

La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de
gestión de riesgos de la organización y en función de la evolución del negocio
(crecimiento), de cambios importantes en la organización (procesos internos),
nuevas obligaciones legales, etc.

21


FASE II. Estrategia de Respaldo

7. FASE II. ESTRATEGIA DE RESPALDO

En esta fase se seleccionarán los métodos operativos alternativos que se van a
utilizar en el caso de que ocurra un incidente que provoque una interrupción en
la organización. El método seleccionado deberá garantizar la restauración de los
procesos afectados en los tiempos determinados por el Análisis de Impacto.

7.1 SELECCIÓN DE ESTRATEGIAS

Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada
una de estas estrategias tiene unos parámetros de tiempo, disponibilidad y
costes asociados que serán más o menos apropiados dependiendo de las
funciones de negocio.

A continuación se describen diferentes estrategias para reubicación funcional:

• No hacer nada: Este tipo de actuación podría utilizarse en aquellas
funciones o actividades que se han clasificado como “no urgentes” en el
Análisis de Impacto. En este tipo de estrategia se asume el riesgo.

• Utilización de espacios propios: Espacios existentes en la compañía
tales como salas de formación, cafeterías, etc. Este tipo de estrategia
requiere una planificación minuciosa.

• Reutilización de recursos: Reubicación de personal con funciones no
urgentes en tareas que requieren una mayor prioridad. En este caso se
debe poner cuidado en convertir la función no urgente en urgente por ser
desatendida durante demasiado tiempo.

• Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde
ubicaciones exteriores a la compañía mediante conexión remota.

• Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos
unidades de negocio de la propia compañía diferentes) con características
de equipamiento/espacio similares que permitiría a cada una de las partes
recuperar funciones en la otra localización. En este caso es importante
definir las condiciones de uso y la realización de pruebas periódicas para
asegurar las condiciones pactadas.

• Sitio alternativo subcontratado a terceros: Contratación con
compañías especializadas de espacios alternativos para la recuperación de
la actividad. En este caso hay que asegurar que estas compañías pueden

22



proporcionar unos tiempos de recuperación acordes con las necesidades
de la organización. Este tipo de compañías pueden proporcionar diferentes
de soluciones:

o Espacio dedicado: Se garantiza la disponibilidad inmediata del
espacio. En contrapartida este servicio es más caro que otras
alternativas.
o Espacio compartido: Se comparte el espacio con otras compañías.
Es más barato que un centro dedicado.
o Espacios móviles: Se pueden utilizar rápidamente, pero tienen un
espacio limitado.
o Módulos prefabricados: Pueden tardar unos días en estar
disponibles para su uso.

• Localizaciones diversas: Se traslada la operación pero no el personal.

• Centro replicado: Solución que permite trasladar de forma inmediata la
operación y continuar la actividad de forma inmediata. También puede
denominarse “centro espejo”. Esta solución es normalmente la más cara,
pero también la mejor solución en el caso de que se necesite una
recuperación muy rápida de la operación.

A continuación se muestra una tabla que recoge la relación entre el Tiempo
Objetivo de recuperación y la solución de continuidad más adecuada a este
Objetivo:

TIEMPO OBJETIVO DE
INTERNAS CONTRATADO
RECUPERACIÓN

MESES Reconstrucción / ----
Realojamiento

SEMANAS Edificios prefabricados On- Contratación de unidades
Site móviles o prefabricados

DIAS Recuperación “in situ” Subcontratación de procesos en
oficinas móviles
Trabajo en casa

HORAS Localizaciones diversas con Re-localización de un grupo de
empleados formados personas

INMEDIATO Localizaciones diversas para Cambio de funcionamiento a un
la misma función centro de respaldo subcontratado

Figura 8. Tabla de Estrategias de Recuperación

Fuente: Business Continuity Institute.

23



De todas las alternativas existentes hay que elegir la más adecuada en cada
caso. Dependerá de las necesidades de cada compañía, en cuanto a tiempos de
recuperación, costes económicos, recursos, etc.

Además deberá considerarse otros factores como:

• Ubicación y superficie requerida

o Espacio suficiente

o Zonas acondicionadas para acoger a personal

• Recursos técnicos necesarios:

o Hardware

o Software

o Comunicaciones

o Datos de respaldo

• Recursos humanos requeridos

o Recursos materiales y de infraestructura

o Servicios auxiliares necesarios

o Tiempos de activación

o Coste

Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayor
será el coste de la solución. Por ello es conveniente realizar un análisis con
tiempos de recuperación adecuados y adaptados a la realidad de la compañía.

Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como
respaldo en caso de interrupción del negocio, pasaremos a desarrollar todos los
procedimientos, funciones y actividades que permitirán restablecer los procesos
de negocio en unos plazos razonables.

24


Fase III. Desarrollo del Plan de Continuidad

8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD

Hasta este momento hemos obtenido:

• Conocimiento de los procesos de la compañía, valorando cuáles son
críticos para el funcionamiento del negocio.

• Valoración de los riesgos que pueden afectar al negocio y que pueden
disparar el Plan de Continuidad de Negocio.

• Estrategia de Continuidad más adecuada para el negocio.

A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Para ello
definiremos:

• Los equipos necesarios para el desarrollo del Plan.

• Las responsabilidades y funciones de cada uno de los equipos.

• Las dependencias orgánicas entre los diferentes equipos.

• El desarrollo de los procedimientos de alerta y actuación ante eventos que
puedan activar el Plan.

• Los procedimientos de actuación ante incidentes.

• La estrategia de vuelta a la normalidad.

8.1 ORGANIZACIÓN DE LOS EQUIPOS

Los equipos de emergencia están formados por el personal clave necesario en la
activación y desarrollo del Plan de Continuidad. Cada equipo tiene unas funciones
y procedimientos que tendrán que desarrollar en las distintas fases del Plan.

Aunque la composición y número de equipos puede variar según el tipo de
estrategia de recuperación, a continuación se muestran algunos ejemplos de los
equipos que pueden formar parte del Plan:

• Comité de Crisis: Encargado de dirigir las acciones durante la
contingencia y recuperación.

• Equipo de Recuperación: Su función es restablecer todos los sistemas
necesarios (voz, datos, comunicaciones, etc.).

• Equipo Logístico: Responsable de toda la logística necesaria en el
esfuerzo de recuperación.

• Equipo de las Unidades de Negocio: Encargados de la realización de
pruebas que verifiquen la recuperación de los sistemas críticos.

25



• Equipo de Relaciones Públicas: Encargado de las comunicaciones a los
medios de comunicación y clientes.

El personal asignado a cada uno de los equipos puede variar dependiendo del
tamaño de la organización y de la estrategia de recuperación seleccionada. Una
persona puede pertenecer a más de un equipo, siempre y cuando no existan
incompatibilidades en las tareas a realizar.

8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS

El objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en la
dirección de la situación. Este Comité debe tomar las decisiones “clave” durante
los incidentes, además de hacer de enlace con la dirección de la compañía,
manteniéndoles informados de la situación regularmente.

Las principales tareas y responsabilidades de este comité son:

• Análisis de la situación.

• Decisión de activar o no el Plan de Continuidad.

• Iniciar el proceso de notificación a los empleados a través de los diferentes
responsables.

• Seguimiento del proceso de recuperación, con relación a los tiempos
estimados de recuperación.

8.1.2 EQUIPO DE RECUPERACIÓN

El equipo de recuperación es responsable de establecer la infraestructura
necesaria para la recuperación. Esto incluye todos los servidores, PC’s,
comunicaciones de voz y datos y cualquier otro elemento necesario para la
restauración de un servicio.

8.1.3 EQUIPO LOGÍSTICO

Este equipo es responsable de todo lo relacionado con las necesidades logísticas
en el marco de la recuperación, tales como:

• Transporte de material y personas (si es necesario) al lugar de
recuperación.

26



• Suministros de oficina.

• Comida.

• Reservas de hotel, si son necesarias.

• Contacto con los proveedores.

Este equipo debe trabajar conjuntamente con los demás, para asegurar que
todas las necesidades logísticas sean cubiertas.

8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES

Se trata de canalizar la información que se realiza al exterior en un solo punto
para que los datos sean referidos desde una sola fuente. Sus funciones
principales son:

• Elaboración de comunicados para la prensa.

• Comunicación con los clientes.

Uno de los valores más importantes de una compañía son sus clientes, por lo que
es importante mantener informados a los mismos, estableciendo canales de
comunicación.

8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO

Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas y comenzar a
funcionar.

Cada equipo deberá configurar las diferentes pruebas que deberán realizar para
los sistemas.

27



8.2 DESARROLLO DE PROCEDIMIENTOS

Una vez que hemos definido los equipos y se han establecido las funciones que
debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que
van a seguir, y su actuación en cada una de las fases de activación del Plan de
Continuidad.

- FASE DE ALERTA
• Procedimiento de notificación del desastre.

• Procedimiento de lanzamiento del Plan

• Procedimiento de notificación de la puesta en marcha del Plan a los
equipos implicados.

- FASE DE TRANSICIÓN

• Procedimiento de concentración de equipos.

• Procedimiento de traslado y puesta en marcha de la recuperación.

- FASE DE RECUPERACIÓN

• Procedimientos de restauración.

• Procedimientos de soporte y gestión.

- FASE DE VUELTA A LA NORMALIDAD

• Análisis del impacto.

• Procedimientos de vuelta a la normalidad.

En el siguiente esquema podemos ver las fases que componen el Plan de
Continuidad de Negocio:

28



Figura 9. Fases y Actividades del Plan de Continuidad

8.2.1 FASE DE ALERTA

La Fase de Alerta define los procedimientos de actuación ante las primeras
etapas de un suceso que implique la pérdida parcial o total de uno o varios
servicios críticos. Dividiremos esta fase en tres partes:

Notificación: Define cómo y quién debe ser informado en primera instancia de
lo ocurrido.

Evaluación: Análisis de la situación y valoración inicial de los daños. Definición
de estrategias.

Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al
alcance de los daños.

Notificación

Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos los
casos que resultan de suponer que cualquier persona pueda dar aviso de un
incidente, vamos a suponer que la persona que descubre la contingencia será un
empleado o cualquier otra persona próxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa de
concienciación, en el que se informe debidamente al personal de cómo actuar
ante estos casos y a quién comunicar lo ocurrido.

29



EVENTO ACCIÓN
1 Situación de contingencia/incidente Aviso inmediato con el máximo detalle
detectado por algún empleado de la posible al Responsable de Personal de turno
compañía. (Fuego, inundación, virus, etc.). o a Seguridad.

2 Aviso a la persona de contacto del Comité de
El responsable de turno o de seguridad Crisis.
conoce que ha sucedido una contingencia. Aviso a los equipos de emergencia (si
procede).

Figura 10. Cuadro Fase de Notificación

Evaluación

Una vez que un miembro del Comité de Crisis es contactado e informado del
incidente, procederá a evaluar la situación con la recopilación de la mayor
información posible. El Comité informará a los responsables de los distintos
equipos de lo ocurrido y de la situación en ese momento para que permanezcan
en situación de espera, hasta que se tome la decisión de disparar el Plan o iniciar
otro tipo de estrategia.

EVENTO ACCIÓN
3 Conocimiento por algún miembro del El equipo del Comité se reunirá en un lugar
Comité de incidente ocurrido. acordado previamente y evaluará la
situación. Este Comité deberá tomar la
decisión de activar o no el Plan de
Continuidad.
Será necesario informar de la situación a los
siguientes responsables:
• Responsable de Seguridad.
• Comité de Dirección de la Empresa.
• Relaciones Públicas.
• Equipo de Recuperación.
• Responsable de los Equipos.

Figura 11. Cuadro Fase de Evaluación

Ejecución del Plan

Una vez que el Comité de Crisis ha decidido poner en marcha el Plan de
Recuperación, debe de iniciarse el árbol de llamadas (En el Anexo IV se incluye
un ejemplo de un árbol de llamadas) para comunicar a los Responsables y

30



componentes de cada equipo la situación de inicio de las actividades del Plan
para comenzar los procedimientos de actuación de cada uno de ellos. Deberá
informarse también al Comité de Dirección.

EVENTO ACCIÓN

4 Consideración por parte del Comité de Iniciar el árbol de llamadas.
Crisis y ejecución del Plan.
Informar al Comité de Dirección.

5 Paso a la Fase de Transición.

Figura 10. Cuadro Fase de Lanzamiento del Plan

8.2.2 FASE DE TRANSICIÓN

La Fase de Transición es la fase previa a la de recuperación de los sistemas. Es
importante que en esta fase exista una coordinación entre los diferentes equipos
y equipos de logística, ya que son éstos los encargados de que todo esté
disponible para comenzar la recuperación en el menor tiempo posible.

Podemos dividir la fase de transición en dos partes principalmente:

• Procedimientos de concentración y traslado de personas y equipos.

• Procedimientos de puesta en marcha del centro de recuperación.

Ambos procedimientos son la base del proceso de recuperación de los sistemas.
Si esta parte falla, no será posible comenzar la recuperación, y por tanto el Plan
de Continuidad fallará.

A continuación pasamos a describir de manera detallada cada uno de los
procedimientos y equipos que deben interactuar en esta fase de transición.

Procedimientos de concentración y traslado de material y personas

Dependiendo de la solución final que se decida como estrategia de respaldo, este
procedimiento puede variar. Realizaremos una descripción general de los
procedimientos, que podrá completarse una vez que se tome una solución
definitiva.

Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión. En el caso de que la emergencia se declare en horas de
trabajo, se tomará como punto de encuentro los lugares designados en el Plan de
Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de
reunión será el designado como centro de respaldo, o cualquier otro designado
por el Comité de Dirección de Crisis.

31



Además del traslado de personas al centro de recuperación (si es necesario) hay
que realizar una importante labor de coordinación para el traslado de todo el
material necesario para poner en marcha el centro de recuperación (cintas de
backup, material de oficina, documentación, ...)

Procedimientos de puesta en marcha del centro de recuperación

Una vez concentrados los distintos equipos que van a intervenir en la
recuperación, y con todos los elementos necesarios disponibles para comenzar la
recuperación, hay que poner en marcha este centro, estableciendo la
infraestructura necesaria, tanto de software como de comunicaciones, etc.

8.2.3 FASE DE RECUPERACIÓN

Una vez que hemos establecido las bases para comenzar la recuperación, se
procederá a la carga de datos y a la restauración de los servicios críticos. Este
proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para
cumplir con los plazos fijados.

Podemos dividir esta fase en dos:

• Procedimientos de Restauración

• Procedimientos de Gestión y Soporte

Procedimientos de Restauración

Estos procedimientos se refieren a las acciones que se llevan a cabo para
restaurar los sistemas críticos.

Procedimientos de soporte y gestión

Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar
un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el
negocio con las máximas garantías de éxito. Los integrantes del equipo de
unidades de negocio serán los encargados de comprobar y verificar el correcto
funcionamiento de los procesos.

32



8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA

Una vez con los procesos críticos en marcha y solventada la contingencia,
debemos plantearnos las diferentes estrategias y acciones para recuperar la
normalidad total de funcionamiento. Para ello vamos a dividir esta fase en
diferentes procedimientos:

• Análisis del impacto.

• Procedimientos de vuelta a la normalidad

Análisis del impacto

El análisis de impacto pretende realizar una valoración detallada de los equipos e
instalaciones dañadas para definir la estrategia de vuelta a la normalidad.

Procedimientos de vuelta a la normalidad

Una vez determinado el impacto deben establecerse los mecanismos que en la
medida de lo posible lleven a recuperar la normalidad total de funcionamiento.
Estas acciones incluyen las necesidades de compra de nuevos equipos,
mobiliario, material, etc.

8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN

Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberá
realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de
los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con las
que se encontraron, etc.

Toda esta información servirá para valorar si el Plan ha funcionado según lo
planeado, así como conocer los posibles fallos, y en su caso, tenerlos en cuenta
para la adecuación del mismo.

33


Fase IV. Pruebas y Mantenimiento

9. FASE IV. PRUEBAS Y MANTENIMIENTO

9.1 PRUEBAS

9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS

El Plan de Continuidad no se considerará válido hasta que no se haya superado
satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones
adoptadas.

El Plan de Pruebas diseñado tiene como objetivos:

• Evaluar la capacidad de respuesta ante una situación de desastre que afecte a
los recursos de la compañía.

• Probar la efectividad y los tiempos de respuesta del Plan para comprobar que
están alineados con la definición realizada en el diseño.

• Identificar las áreas de mejora en el diseño y ejecución del Plan.

• Comprobar si los procedimientos desarrollados son adecuados para soportar
la recuperación de las operaciones de negocio.

• Evaluar si los participantes del ejercicio están suficientemente familiarizados
con la operativa en situación de contingencia.

• Concienciación y formación para los empleados a través de la realización de
pruebas.

9.2 TIPOS DE PRUEBAS

Las pruebas de un Plan de Continuidad deben tener dos características
principales:

Realismo: La utilidad de las pruebas se reduce con la selección de escenarios
irreales. Por ello es importante reproducir escenarios que proporcionen un nivel
de entrenamiento adecuado a las situaciones de riesgo.

Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lo
menos posible en el negocio, es decir, que si se programa una prueba que

34



suponga una parada de los sistemas de información, debe realizarse una ventana
de tiempo que impacte lo menos posible para el negocio.

En algunos casos puede resultar complicado realizar una prueba completa del
Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa
de pruebas planificado para garantizar que todos los aspectos de los planes y
personal se han ensayado durante un período de tiempo.

9.2.1 EJERCICIOS TÉCNICOS

Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y
operativos, el uso de equipos de hardware, software y posibles centros y
métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de
elementos verificados durante un ejercicio de simulación son:

- Procedimientos de emergencia.
- Métodos alternativos.
- Líneas de telecomunicaciones de backup.
- Procedimientos de notificación Vendedores / Clientes.
- Capacidad y rendimiento del hardware.
- Portabilidad del software.
- Accesibilidad al centro de respaldo.
- Movilización de los equipos de trabajo.
- Recuperación de ficheros y documentación almacenados en lugar externo.
- Recuperación de datos.

9.2.2 TEST COMPLETO

Los ejercicios de test son ejercicios planificados que implican la restauración real
de la capacidad de proceso en un centro alternativo. Generalmente, los procesos
en producción no son interrumpidos, pero puede planificarse su restauración y
validación en el centro alternativo. Normalmente, este tipo de prueba requiere la
participación de toda la organización de continuidad del negocio, incluyendo
usuarios, personal técnico y de operaciones.

35



9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD

Por la propia dinámica de negocio, se van incorporando nuevas soluciones a los
Sistemas de Información y los activos informáticos van evolucionando para dar
respuesta a las necesidades planteadas.

La correcta planificación del mantenimiento del Plan de Continuidad evitará que
quede en poco tiempo obsoleto y que en caso de contingencia no pueda dar
respuesta a las necesidades.

36


ANEXOS

ANEXOS

37


Anexo I – Cuadros de Recogida de Datos Análisis de Impacto

ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO

o CUADRO DE PROCESOS

En este cuadro se recogen los procesos y subprocesos que componen la
organización donde se va a desarrollar el Plan de Continuidad.

Frecuencia
Breve Persona
Proceso Subproceso (Diario/Semanal
descripción responsable
Mensual)

o SISTEMAS QUE SOPORTAN EL PROCESO

En este cuadro se recogen los sistemas que soportan el proceso analizado.

Tipo de
Nº de
Nombre Sistema
Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
aplicación
Mainframe)

Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el sistema
2 – La organización/departamento no puede funcionar parcialmente sin el sistema
3 - La organización/departamento puede funcionar sin el sistema

38



o RECURSOS HARDWARE DEL PROCESO

En este apartado se recogen los componentes hardware que soportan los
procesos.

Detalles del
Tipo de hardware Distribuidor Criticidad Localización
Modelo/Configuración

Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el hardware
2 – La organización/departamento no puede funcionar parcialmente sin el hardware
3 - La organización/departamento puede funcionar sin el hardware

o OTROS ACTIVOS

En este apartado se recogen todos aquellos activos (comunicaciones, datos,
infraestructura, etc.), que forman parte del proceso y que son necesarios para
dar continuidad al mismo en caso de interrupción.

Descripción Tipo Criticidad Localización

Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el activo
2 – La organización/departamento no puede funcionar parcialmente sin el activo
3 - La organización/departamento puede funcionar sin el activo

39



o TIEMPO MÁXIMO DE INTERRUPCIÓN

Para cada uno de los procesos, se determinará el tiempo máximo de
interrupción, especificando cuántos días puede permanecer el proceso sin incurrir
en pérdidas económicas graves.

Proceso Necesidades de Recuperación Criticidad

Necesidad de Recuperación: Día 0 : Recuperación inmediata

Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente.

Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes.

Más 30 días: El proceso pude esperar más de 30 días a ser recuperado.

40


ANEXO II - Listado de Amenazas

ANEXO II - LISTADO DE AMENAZAS

AMENAZAS
DESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAÑOS ACCIDENTALES
Fuego fortuito
Inundaciones
Fallo del aire acondicionado
Exceso de humedad
Humo, gases tóxicos
Subida de tensión
Fallo de suministro eléctrico
Fallo de la UPS
Accidentes del personal
Capacidad inadecuada de las comunicaciones
Fallo/degradación del hardware
Fallo/degradación de las comunicaciones
Errores de operación
Fallos en las copias de seguridad
Fallos de los sistemas de autenticación/autorización
Pérdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Explosivos
Fuego intencionado
Accesos no autorizados al edificio
Actos de vandalismo
Radiaciones electromagnéticas
Robos intencionados
Manipulación de datos/software
Manipulación de hardware
Uso de software por personal no autorizado
Acceso no autorizados a datos de la compañía
Software malicioso
Robo de equipos
Robo de documentos

41


ANEXO II - Listado de Amenazas

Robo de software
Descarga de software no controlada
Interceptación de las líneas de comunicación
Manipulación de las líneas de comunicación
Abuso de privilegios de acceso
Introducción de virus en los sistemas
Troyanos
Ataques por ingeniería social
Bombas lógicas
Ataques de denegación de servicio
Errores intencionados
Copias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupción de datos
Incumplimientos legales intencionados

42


ANEXO III – Ejemplos de Vulnerabilidades

ANEXO III – EJEMPLOS DE VULNERABILIDADES

VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro eléctrico inapropiado
Mantenimiento inapropiado del servicio técnico
Ausencia de mantenimiento
Educación inadecuada del personal en virus y malware
Políticas de firewall inadecuadas
Política de seguridad de la información inadecuada
Ausencia de política de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extinción automática de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuración eficiente y efectiva
Ausencia de mecanismos de identificación y autenticación
Ausencia de política de restricción de personal para uso licencias de software
Ubicación física en un área susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisión de datos
confidenciales
Protección física de equipos inadecuada
Personal sin formación adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definición de privilegios de acceso inadecuada
Ausencia de un Plan de recuperación de incidentes

43


Anexo IV – Ejemplo Árbol de Llamadas

ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS

Comité de Crisis

Comité de
Dirección

Equipo de Equipo de Equipo de Equipo de
Recuperación Coordinación Seguridad Relaciones
Logística Públicas

Equipo de Unidades
de Negocio

44


Anexo V – Sitios de Interés

ANEXO V – SITIOS DE INTERÉS

http://www.contingencyplanning.com/ - Revista de Continuidad de Negocio
http://www.globalcontinuity.com/ - Portal de Business Continuity Plan

http://www.thebci.org/pas56.htm - Business Continuity Institute

http://www.disaster-recovery-guide.com/ - Información y guías sobre
Continuidad

http://www.nist.org/ - Mejores prácticas en Seguridad Informática

http://www.iss.net/ - Base de datos de vulnerabilidades X-Force

http://nvd.nist.gov/ - Base de datos de vulnerabilidades del NIST

http://www.securityfocus.com/ - Base de datos de vulnerabilidades

http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de
Servicios de Continuidad de Negocio

http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -
Proveedor de Servicios de Continuidad de Negocio

45


CASO DE ESTUDIO

46


Caso de Estudio

CASO DE ESTUDIO

ANTECEDENTES

Zapasol S.A. es una compañía que fabrica zapatos con materiales reciclados.
Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de
fabricación, una en Valencia y otra en Albacete distante 200 kilómetros. El éxito
de venta de este tipo de zapatos les ha llevado a mercados internacionales,
importando a más de 20 países.

Dentro de la propia fábrica cuentan con un pequeño departamento de informática
formado por 4 empleados que se encargan de la gestión de todo lo relacionado
con comunicaciones, software, hardware, bases de datos. Este departamento y
su centro de proceso de datos se encuentran en Valencia.

El rápido desarrollo y expansión de esta compañía ha resultado en un
crecimiento tecnológico importante en los procesos de soporte, tales como
facturación, nóminas, atención al cliente, etc. Sin embargo, las medidas de
seguridad no han acompañado de igual forma a este crecimiento. A continuación
se describe brevemente cuál es la situación actual en cuanto a seguridad de la
compañía:

• No existe una política de seguridad en la compañía.
• Sólo hay antivirus en algunos equipos, en otro no se ha instalado.
• No se realizan copias de seguridad de la información.
• Existe control de acceso a los equipos, pero los usuarios comparten
contraseñas.
• Los servidores se encuentran en una sala sin ninguna medida de
protección física.
• ….

Como parte de los proyectos a acometer durante el año 2007, el Director de
Informática de Zapasol S.A. ha propuesto la realización de un Plan de
Continuidad de Negocio, para configurar una estrategia de recuperación ante
cualquier evento grave que haga peligrar el negocio de la empresa.

47


Caso de Estudio

ANÁLISIS DE IMPACTO

Para desarrollar este Plan, el director de informática ha encargado a Luis (otro de
los empleados del departamento de informática) que realice un inventario de los
procesos críticos de la compañía, estableciendo los tiempos de recuperación de
los mismos, antes de incurrir en pérdidas graves. Para ello, Luis se ha
entrevistado con los responsables de los procesos obteniendo la siguiente
información:

Frecuencia
Proceso Subproceso Breve descripción (Diario/Semanal Responsable
Mensual)

Diario
Pedidos -- Se encarga de recibir todos Inés Burgos
los pedidos de los distintos
clientes y de gestionar su
envío en los plazos y
condiciones establecidas

Atención al --- Recogida y Gestión de Diario Ángela Cano
Cliente incidentes

Recursos -- Selección y formación del Según Marta Álvarez
Humanos personal de la compañía necesidad

Nóminas -- Generación y Pago de las Mensual Laura Cuesta
Nóminas de los empleados

Stock --- Control y Gestión del stock de Diario Antonio
zapatos en los almacenes Romero

Nota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas)

COMPONENTES DE LOS PROCESOS

A continuación se describen cada uno de los componentes Hardware, Software,
Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.

PROCESO PEDIDOS

• Sistemas del proceso de Pedidos:

48


Caso de Estudio

Tipo de Nº de
Nombre
Sistema Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
Mainframe) aplicación
--- ----
Correo 2 Servidor de 4
Electrónico Correo

Gestión Aplicación 1 4 ----
Pedidos para la
Gestión de
pedidos

• Hardware del proceso de Pedidos:

Tipo de Detalles del
Distribuidor Criticidad Localización
Hardware Modelo/Configuración

Servidor de PowerEdgeTM 1900 Dell 3 Centro proceso
Correo Servidor en torre de datos Valencia
núcleo cuádruple con 2
sockets

PC’s Procesador Dell 2 Centros de
Intel® CoreTM 2 Duo Valencia y
E6000 Albacete

Chipset Q965 ICH8DO
compatible con Active
Management Technology
(iAMT 2.1) de Intel®

Solución LAN Gigabit
Ethernet de Intel®

Aplicaciones Servidor en torre de datos Valencia
sockets

• Otros Activos del proceso:


Línea RDSI de Comunicaciones 1 Centros de trabajo
comunicaciones

49


Caso de Estudio

Impresoras Hardware 2 Centros de trabajo

Centralita de Comunicaciones 3 Centros de trabajo
Comunicaciones

PROCESO DE NÓMINAS

• Sistemas del proceso de Nóminas:

Tipo de Nº de
Nombre
Sistema Equipos Responsa- Contacto
del Descripción Criticidad
(PC/Servidor/ con la ble Técnicos
Sistema
Mainframe) aplicación
3 Laura -----
Aplicación Programa Servidor / 3
Cuesta
Nóminas que se PC’s
encarga de
realizar el
cálculo de las
nóminas
2 Angel Perez Soporte
Windows Sistema PC’s 20
Windows
Operativo

• Hardware del proceso de Nóminas:

Tipo de Detalles del
Distribuidor Criticidad Localización
Hardware Modelo/Configuración

aplicaciones Servidor en torre de datos Valencia
sockets

PC’s Procesador Dell 2 Centros de
Intel® CoreTM 2 Duo Valencia y
E6000 Albacete

Chipset Q965 ICH8DO
compatible con Active
Management Technology
(iAMT 2.1) de Intel®

Solución LAN Gigabit
Ethernet de Intel®

50


Caso de Estudio

• Otros Activos del proceso


Impresoras Hardware 2 Centros de trabajo

51


Caso de Estudio

TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS

Necesidades de
Proceso Criticidad
Recuperación

PEDIDOS En 2-3 días 1

El proceso de Pedidos es clave para la organización, ya que si no se pueden
gestionar los pedidos de los clientes la empresa no puede dar servicio y por lo
tanto incurrirá rápidamente en pérdidas. Por ello es importante que este proceso
se recupere lo antes posible.

Necesidades de
Proceso Criticidad
Recuperación

NOMINAS En 15-30 días 3

Aunque el proceso de Nóminas es importante, la compañía puede esperar
semanas a que se restablezca y crear procedimientos alternativos como por
ejemplo, repetir el último pago de nómina a los trabajadores y realizar las
compensaciones correspondientes, cuando estén disponibles de nuevo los
sistemas.

52

Plan Continuidad Negocio Guía

Plan Continuidad Negocio Guía

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Plan Continuidad Negocio Guía

Similaire à Plan Continuidad Negocio Guía (20)

Dernier

Dernier (13)

Plan Continuidad Negocio Guía