4. Las organizaciones se enfrentan a un amplio espectro de situaciones que pueden amenazar la
continuidad de las actividades que permiten llevar a cabo el negocio. Algunas amenazas son
provocadas deliberadamente, pero muchas otras surgen como resultado de acontecimientos
internos o externos inesperados. Acontecimientos recientes demuestran que, aunque
relativamente poco probables, dichas amenazas son reales y no pueden pasarse por alto:
Distribución estadística de amenazas a la continuidad de negocio
5. A pesar de los efectos negativos en las organizaciones, muchas empresas aún no
toman medidas para contar con planes que les permitan lograr la Continuidad
del Negocio.
• 72% de todos los negocios tienen alguna de estas condiciones:
– No tienen Plan de Continuidad del Negocio.
– Si lo tienen, nunca lo han probado.
– Su Plan falló cuándo lo probaron.
• Solamente 18% de los datos de usuario final están protegidos. (VERITAS
Disaster Recovery Survey 2004).
6. El BCP y la planeación de contingencia para los sistemas de información son elementos de un sistema de
control interno que se establece para gestionar la disponibilidad de los procesos críticos en el caso de
una interrupción.
La disponibilidad de los datos del negocio es vital para el desarrollo sostenible y/o incluso para la
supervivencia de cualquier organización.
El tipo de negocio determina los tipos de planes en los que el planificador debe concentrarse.
La BCP es un proceso continuo más que un proyecto
Estos planes dirigirán la respuesta a incidentes desde simples emergencias hasta desastres totales.
La meta última del proceso es poder responder a incidentes que puedan impactar en la gente, las
operaciones y la capacidad de entregar bienes y servicios al mercado.
7. Presenta una visión general de los principios de continuidad del negocio y recuperación
ante desastres y específicamente las siguientes áreas.
15. Recuperación de las
capacidades diarias
Respuesta a la emergencia
Toma del control
Toma de decisiones
Reanudación de operaciones críticas
DESASTRE
“Un evento externo o
interno interrumpe uno o
más procesos del negocio”
16. Permitir que un negocio continúe
brindando sus servicios críticos en caso
de una interrupción y que pueda
sobrevivir a una interrupción
desastrosa de sus sistemas de
información.
17. Proceso diseñado para reducir el riesgo de negocio de la organización que surja de una
interrupción no esperada de las funciones/operaciones críticas necesarias para la
supervivencia de la misma.
Algunos ejemplos de estos riesgos corporativos incluyen:
Incapacidad de mantener los servicios críticos al cliente
Daño en la participación de mercado, la imagen, reputación o marca
No poder proteger los activos de la Compañía, incluyendo propiedad
intelectual y personal
Falla de control del negocio
No poder cumplir los requerimientos legales o regulatorios
23. Criticidad de los recursos de información
Participación del personal de SI y los usuarios finales
Análisis de todos los tipos de recursos de información
Tres aspectos claves para el análisis:
• Criticidad de los recursos de información relacionados con los procesos críticos
del negocio
• Período de tiempo de recuperación crítico antes de incurrir en pérdidas
significativas
• Sistema de clasificación de riesgos
24.
25. Lo que la organización está dispuesta a
perder en cantidad de datos
Cuanto tiempo la Organización puede
tolerar la inactividad
26. Es una combinación de medidas preventivas, detectivas y correctivas
Eliminar la
amenaza
completamente
Minimizar la
probabilidad de
que ocurra
Minimizar el
efecto
Identificar las
estrategias de
recuperación
La criticidad de los procesos del negocio y aplicaciones que
soportan los procesos
Coste
Tiempo requerido para la recuperación.
Seguridad
27.
28.
29. Las interrupciones más prolongadas y más costosas, en particular los
desastres que afectan a las instalaciones, requieren recuperación (offsite)
30. Basado en el BIA y la estrategia de recuperación seleccionada por la gerencia
Debería abarcar todos los temas involucrados en la recuperación de un desastre
Debería resolver todos los problemas involucrados en la interrupción del
negocio
31. Estar preparados antes de un
desastre cubriendo todas las
incidencias
Procedimientos de
evacuación
Procedimientos para
declarar desastres
Circunstancias en que se
debe declarar desastre
Clara identificación de
responsabilidades en el plan.
Clara identificación de
personas y funciones en el
plan
Clara identificación de
información de los contratos
Explicación paso a paso de la
recuperación
Clara identificación de
recursos necesarios
Aplicación paso por paso de
la etapa de recuperación
32.
33. Equipo de respuesta a incidentes
Equipo de atención de emergencias
Equipo de determinación de los daños
Equipo de administración de la emergencia
Equipo de almacenamiento externo
Equipo de software
Equipo de aplicaciones
Equipo de seguridad
Equipo de operaciones de emergencia
Equipo de recuperación de red
Equipo de Comunicaciones
Equipo de Entrenamiento
Equipo deTransporte
Equipo de Hardware de Usuario
Equipo de preparación de datos y registros
Equipo de soporte administrativo
Equipo de suministros
Equipo de salvamento
Equipo de reubicación
Equipo de Coordinación
Equipo de Asuntos Legales
Equipo de prueba de recuperación
34. Se debe contar con un plan integral asegurando:
- Todos los aspectos se cubran.
- Los recursos comprometidos se utilicen de la manera más efectiva y exista la
confianza de que, a través de su aplicación, la organización sobreviva a una
interrupción.
Aún si se manejaran procesos similares de la misma organización en un lugar
geográfico diferente, las soluciones de BCP y DRP pueden ser diferentes para
escenarios diferentes.
Debe también estar alineado con la estrategia de la organización
35.
36. Los componentes de este plan incluyen:
Personal clave para toma de decisiones
- Información de contacto
Respaldo de los suministros requeridos
- Configuración de las instalaciones
- Mesas, sillas, teléfonos…
Métodos de recuperación de desastres para redes de telecomunicaciones
Personal Clave para la toma de decisiones
Lista de prioridades
de contactos
Teléfonos y direcciones de
personas críticas a
contactar
Teléfonos y
direcciones de
representantes
de los equipos y
software
Teléfonos de
suministradores de
equipos y servicios
37. Efectivo
(BCP)
Plan de
Continuidad de
negocio (BCP) Plan de
Recuperación
de Negocio
(BRP)
Plan de
Continuidad de
Operaciones
(COOP)
Plan de Soporte
de Continuidad
Plan de
Contingencia
T.I.
Plan de
Comunicación
de Crísis
Plan de
Respuestas a
incidentes
Plan de
Recuperación
del desastre
(DRP)
Plan de
Emergencia de
ocupantes
(OEP)
38. Para las fases de planificación, implementación y evaluación se debe acordar:
Metas/requerimientos/productos de cada fase
Instalaciones alternativas para las tareas y operaciones
Recursos de información crítica a instalar
Personas responsables de su ejecución
Recursos disponibles para Plan de ejecución
Cronograma de actividades y prioridades
39.
40.
41.
42.
43. Preparar análisis de impacto del negocio
Identificar y clasificar sistemas y recursos (críticos)
Escoger estrategias apropiadas para la recuperación
Desarrollar un plan detallado para recuperar instalaciones (TIC)
Desarrollar un plan detallado para las funciones críticas
Probar los planes
Mantener actualizados los planes
44. Pruebas del Plan
Especificaciones para Auditar
Medir la habilidad y capacidad del lugar de respaldo
Evaluar la capacidad de recuperación de registros vitales
Evaluar estado y cantidad de equipos y suministros en el lugar de recuperación
Medir el desempeño general de actividades operativas y de sistemas
relacionados con el negocio.
Verificar si el plan es completo y preciso
Evaluar el desempeño del personal involucrado
Evaluar el entrenamiento y conocimiento del personal que no pertenece al
negocio
Evaluar la coordinación entre equipo continuidad y proveedores externos