Guia desarrolloplancontinuidadnegocio

Escuela Universitaria de Informática
Universidad Politécnica de Madrid
Guía de Desarrollo de un Plan de
Continuidad de Negocio
Autora: Laura del Pino Jiménez
Director de Tesis: Jorge Ramió Aguirre
Fecha del trabajo original: julio 2007

BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)
Laura del Pino es Ingeniero Técnico en Informática de Sistemas por la Universidad
Politécnica de Madrid. Ha realizado el Curso Superior de Dirección de Seguridad de
la Información del IADE de la Universidad Autónoma y es CISA por la ISACA.
Comenzó a trabajar en Seguridad informática en KPMG como NITSO, National
Information Security Officer, pasando en el año 2000 a formar parte de AZERTIA
como Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesional
en el departamento de Seguridad de INDRA.
NOTA DEL DIRECTOR DE TESIS
Laura realizó su Trabajo Fin de Carrera en la Escuela Universitaria de Informática
EUI de la Universidad Politécnica de Madrid en este tema en el año 2007, ocasión
en la que tuve la grata oportunidad de ser su tutor de tesis, como profesor del
departamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI.
A mediados de 2008 le pedí que hiciese un breve resumen de esa tesis para
publicarlo en Internet como documento de libre distribución, con el objeto de que
fuese una guía práctica y de fácil entendimiento. Este es el feliz resultado de
dicho trabajo.
Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo el
poco tiempo libre que le dejan sus actividades profesionales que desarrolla en
esta importante área de la seguridad de la información.
Madrid, marzo de 2009.

Guía de Desarrollo de Plan de Continuidad de Negocio
Índice
ÍNDICE

Índice
1. INTRODUCCIÓN ....................................................................................................................... 1
2. OBJETO DE LA GUIA ............................................................................................................... 2
3. ANTECEDENTES........................................................................................................................ 3
4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5
5. POR DÓNDE EMPEZAMOS..................................................................................................... 7
6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS............................ 9
6.1 ANÁLISIS DE IMPACTO ................................................................................................... 10
6.1.1 RELACIÓN DE PROCESOS.................................................................................................... 11
6.1.2 RELACIÓN DE APLICACIONES............................................................................................... 11
6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 12
6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS............................................................................... 12
6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN................................................................................... 12
6.2 ANÁLISIS DE RIESGOS................................................................................................... 14
6.2.1 IDENTIFICAR ACTIVOS ......................................................................................................... 15
6.2.2 IDENTIFICAR AMENAZAS...................................................................................................... 16
6.2.3 EVALUAR VULNERABILIDADES ............................................................................................. 17
6.2.4 EVALUACIÓN DEL IMPACTO ................................................................................................. 18
6.2.5 EVALUACIÓN DEL RIESGO ................................................................................................... 18
6.2.6 EVALUAR CONTRAMEDIDAS................................................................................................. 20
7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 22
7.1 SELECCIÓN DE ESTRATEGIAS........................................................................................ 22
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25
8.1 ORGANIZACIÓN DE LOS EQUIPOS.................................................................................. 25
8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS............................................................................... 26
8.1.2 EQUIPO DE RECUPERACIÓN ................................................................................................ 26
8.1.3 EQUIPO LOGÍSTICO............................................................................................................. 26
8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES.................................................. 27
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27
8.2 DESARROLLO DE PROCEDIMIENTOS ............................................................................ 28
8.2.1 FASE DE ALERTA ................................................................................................................ 29
8.2.2 FASE DE TRANSICIÓN ......................................................................................................... 31

Índice
8.2.3 FASE DE RECUPERACIÓN .................................................................................................... 32
8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 33
8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN.......................................................................... 33
9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34
9.1 PRUEBAS............................................................................................................................ 34
9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS...................................................................................... 34
9.2 TIPOS DE PRUEBAS ......................................................................................................... 34
9.2.1. EJERCICIOS TÉCNICOS ................................................................................................... 35
9.2.2. TEST COMPLETO............................................................................................................ 35
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD ............................................................ 36
ANEXOS ............................................................................................................................................... 37
ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ................................. 38
ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41
ANEXO III – EJEMPLOS DE VULNERABILIDADES.......................................................................... 43
ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS............................................................................... 44
ANEXO V – SITIOS DE INTERÉS........................................................................................................ 45
CASO DE ESTUDIO............................................................................................................................. 47
ANTECEDENTES............................................................................................................................. 47
ANÁLISIS DE IMPACTO ................................................................................................................ 48
COMPONENTES DE LOS PROCESOS ...................................................................................... 48
PROCESO PEDIDOS................................................................................................................... 48
PROCESO DE NÓMINAS ............................................................................................................ 50
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS .................................................. 52
ANÁLISIS DE RIESGOS ................................................................................................................ 53
INVENTARIO DE ACTIVOS ......................................................................................................... 53
LISTADO DE AMENAZAS............................................................................................................ 53
VULNERABILIDADES.................................................................................................................. 54
EVALUACIÓN DE RIESGOS ....................................................................................................... 55
RECOMENDACIONES - CONTRAMEDIDAS.............................................................................. 55
ESTRATEGIA DE RECUPERACIÓN .............................................................................................. 56
DESARROLLO DEL PLAN .............................................................................................................. 57
COMITÉ DE CRISIS ..................................................................................................................... 57
EQUIPO DE RECUPERACIÓN.................................................................................................... 58

Índice
EQUIPO DE COORDINACIÓN LOGÍSTICA................................................................................. 59
EQUIPO DE RELACIONES PÚBLICAS ....................................................................................... 60
EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 61
FASE DE ALERTA ........................................................................................................................... 62
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE............................................................................ 62
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN........................................................................................ 62
PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN ............................................................. 62
FASE DE TRANSICIÓN.................................................................................................................. 64
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS................................... 64
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN ......................................... 64
FASE DE RECUPERACIÓN ............................................................................................................ 65
PROCEDIMIENTO DE RESTAURACIÓN ................................................................................................ 65
PROCEDIMIENTO DE SOPORTE Y GESTIÓN......................................................................................... 65
FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66
ANÁLISIS DEL IMPACTO .................................................................................................................... 66
ADQUISICIÓN DE NUEVO MATERIAL ................................................................................................... 66
FIN DE LA CONTINGENCIA................................................................................................................. 66
CONCLUSIONES............................................................................................................................. 67
BIBLIOGRAFÍA..................................................................................................................................... 68

Introducción
1
1. INTRODUCCIÓN
Dentro de la Gestión de la Seguridad de la Información en una compañía es
importante contar con un plan alternativo que asegure la continuidad de la
actividad del Negocio en caso de que ocurran incidentes graves.
Tradicionalmente, los Planes de Continuidad, denominados Planes de
Contingencia en sus orígenes, están asociados a grandes compañías que
necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa
sus servicios. La realidad es que cualquier compañía puede sufrir un incidente
que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho
incidente, las consecuencias pueden ser más o menos graves.
Esta guía pretende desglosar las actividades necesarias para desarrollar un Plan
de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al
lector a entender cada una de las fases y tareas que componen el Plan.
Es importante destacar que la guía puede servir para desarrollar un Plan de
Continuidad de Negocio tanto en una gran compañía como en una Pyme, aunque
consecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarán
sensiblemente.

Objeto de la Guía
2
2. OBJETO DE LA GUIA
Una de las motivaciones que me ha llevado a desarrollar esta guía es la poca
información que he encontrado que contenga una descripción detallada de las
fases y tareas que componen un Plan de Continuidad. Por ello, los principales
objetivos son:
o Dar a conocer la importancia del Plan de Continuidad de Negocio para
hacer frente a incidentes graves de seguridad en una compañía.
o Desarrollar una Guía completa sobre Continuidad de Negocio, donde se
muestren cada una de las fases que componen el Plan.
o Resumir de forma clara y sencilla cada una de las actividades a desarrollar
dentro de las Fases del Plan de Continuidad.
o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de
Continuidad.

Antecedentes
3
3. ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unas
pocas horas de duración puede tener un impacto catastrófico en los resultados y
en la imagen de la organización que lo sufra.
La íntima dependencia que existe entre el negocio y los sistemas de información
exige que éstos estén preparados para afrontar las múltiples amenazas que
ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.
El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de
2005 o el Huracán Katrina en agosto de ese mismo año, son dos ejemplos que
vienen a sumarse a sucesos, como los atentados del 11-S del año 2001. Sin
embargo, en no pocas ocasiones no es necesario un desastre de dimensiones
parecidas a las de los mencionados anteriormente para poner en peligro no sólo
la buena marcha del negocio sino su misma supervivencia; eventos como la
irrupción de un virus o la instalación de un parche de seguridad pueden conducir
a la inoperabilidad temporal de los sistemas, la pérdida de información crítica o,
en última instancia, la inutilización de las infraestructuras.
Tipos de incidentes
No sólo las catástrofes ambientales, tales como incendios o inundaciones,
pueden causar daños adversos a una organización. Otros tipos de incidentes,
como los que se detallan a continuación, pueden tener impactos adversos para
una compañía:
• Incidentes serios de seguridad en los sistemas, como delitos
cibernéticos, pérdida de información, robo de información sensible o
su distribución accidental, fallos en los sistemas IT, errores de
operación en los sistemas, etc.
• Daños en las infraestructuras o en los servicios, fallos en el
suministro eléctrico, fallos en el suministro de agua, fallos en las
comunicaciones, huelgas en los servicios de limpieza.
• Fallos en los equipos o en los sistemas, incluyendo fallos en las
fuentes de alimentación, en los equipos de refrigeración.
• Daños deliberados como actos de terrorismo o de sabotaje, guerras,
robos, huelgas, etc.
Los accidentes afectan de forma diferente a cada organización, dependiendo de
su tamaño y de su área de actividad, no siendo el tamaño una característica

Antecedentes
4
fundamental; las pequeñas y medianas organizaciones también pueden verse
seriamente afectadas.
Las consecuencias de estos accidentes sobre las organizaciones que no tienen un
plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las
mismas. Tomemos como ejemplo las siguientes cifras:
• Un 43% de las organizaciones después de un accidente no podrán
continuar sus operaciones viéndose obligadas a cerrar.
• Un 80% tendrán que hacerlo en menos de 13 meses.
• Un 53% de los clientes de estas organizaciones no recuperarán las
pérdidas causadas por los daños derivados.
• Un 50% se verán forzadas a cerrar antes de cinco años después del
desastre.
Fuente: Cámara de Comercio de Londres
A pesar de que los efectos inmediatos de un desastre aparentemente son la
pérdida de beneficios por la parada de actividad puntual y la incapacidad para
proveer servicios críticos, no son éstos los efectos más perniciosos que un
incidente de este tipo provoca.
Otros efectos derivados que pueden causar un gran impacto en la compañía son
la pérdida de reputación de cara a los clientes, o la pérdida de ventaja
competitiva con otras compañías.

¿Qué es un Plan de Continuidad de Negocio?
5
4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO?
Un Plan de Continuidad de Negocio se compone de varias fases que comienzan
con un análisis de los procesos que componen la organización. Este análisis
servirá para priorizar qué procesos son críticos para el negocio y establecer una
política de recuperación ante un desastre. Por cada proceso se identifican los
impactos potenciales que amenazan la organización, estableciendo un plan que
permita continuar con la actividad empresarial en caso de una interrupción.
Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,
está orientado al mantenimiento del negocio de la organización, con lo que
priorizará las operaciones de negocio críticas necesarias para continuar en
funcionamiento después de un incidente no planificado.
En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas
clave:
• ¿Cuáles son los recursos de información relacionados con los procesos
críticos del negocio de la compañía?
• ¿Cuál es el período de tiempo de recuperación crítico para los recursos
de información en el cual se debe establecer el procesamiento del negocio
antes de que se experimenten pérdidas significativas o aceptables?
Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que
se toman durante un período en que los errores pueden resultar mayores. El Plan
establecerá, organizará y documentará los riesgos, responsabilidades, políticas y
procedimientos, acuerdos con entidades internas y externas.
La activación de un Plan de Continuidad debería producirse solamente en
situaciones de emergencia y cuando las medidas de seguridad hayan fallado.
BENEFICIOS
• Identifica los diversos eventos que podrían impactar sobre la continuidad
de las operaciones y su impacto financiero, humano y de reputación sobre
la organización.
• Obliga a conocer los tiempos críticos de recuperación para volver a la
situación anterior al desastre sin comprometer al negocio.
• Previene o minimiza las pérdidas para el negocio en caso de desastre.
• Clasifica los activos para priorizar su protección en caso de desastre.
• Aporta una ventaja competitiva frente a la competencia.

¿Qué es un Plan de Continuidad de Negocio?
6
• Fomenta e implica a los recursos humanos de la compañía en las
actividades de continuidad.
¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN?
Una pregunta que podemos hacernos es si el tamaño de una organización
determina la necesidad o no de tener un Plan de Continuidad. Se puede
responder a esta pregunta diciendo que NO. Si una organización es muy grande,
con beneficios millonarios, con grandes edificios y gran número de empleados, o
si se trata de una persona trabajando en una pequeña oficina con 5 empleados,
ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los
pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos
casos sería más vital desarrollar un Plan de Recuperación de Negocio para los
pequeños negocios que para las grandes corporaciones.

¿Por Dónde Empezamos?
5. POR DÓNDE EMPEZAMOS
Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por
obtener un conocimiento de la compañía: sus productos/servicios, sus objetivos
empresariales, procesos internos, etc.
No es lo mismo un Plan de Continuidad para una empresa de servicios de
Internet que para una empresa fabricante de juguetes. Aunque en ambos casos
el objetivo será el de seguir dando servicio a sus clientes, las actividades y
procesos sobre las que se soporta la empresa tendrán diferentes prioridades de
recuperación ante una contingencia grave.
El propósito general de un Plan de recuperación es obtener un mapa de
acciones que reduzcan “la toma de decisiones” durante las operaciones de
recuperación, restaure los servicios críticos rápidamente y permita un normal
funcionamiento de los sistemas y procesos lo antes posible, minimizando costes
y aumentando la efectividad.
Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:
Figura 1. Diagrama de Fases del Plan de Continuidad
7

¿Por Dónde Empezamos?
8
FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS
Se trata de obtener un conocimiento de los objetivos de negocio y de los
procesos que se consideran críticos para el funcionamiento de la compañía. Una
vez identificados los procesos críticos, se analizarán cuáles son los riesgos
asociados a dichos procesos para identificar cuáles son las causas potenciales
que pueden llegar a interrumpir un negocio.
FASE II – SELECCIÓN DE ESTRATEGIAS
Esta fase tiene dos objetivos:
• Por un lado, valorar las diferentes alternativas y estrategias de respaldo en
función de los resultados obtenidos en la fase anterior, para seleccionar la
más adecuada a las necesidades de la compañía.
• Por otro lado, corregir las vulnerabilidades detectadas en los procesos
críticos de negocio identificadas en el Análisis de Riesgos.
FASE III- DESARROLLO DEL PLAN
Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e
implantarla dentro de la compañía. En esta fase se desarrollan los
procedimientos y planes de actuación para las distintas áreas y equipos, y se
organizan los equipos que intervienen en cada fase del Plan.
FASE IV – PRUEBAS Y MANTENIMIENTO
Una parte importante del Plan de Continuidad, es conocer que realmente
funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la
prueba del Plan, para afinarlo según los resultados. Además, en esta última fase
se definirán los procedimientos de mantenimiento del Plan.

FASE I. Análisis del Negocio y Evaluación de Riesgos
9
6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS
Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es
conocer y entender cuáles son los procesos de negocio que son esenciales dentro
de la compañía en la que se va a desarrollar el Plan, con el objetivo de asegurar
la continuidad de la actividad en caso de contingencia. Para ello debemos
empezar por responder a cuestiones tales como:
• ¿Cuáles son las actividades más importantes para la compañía?
• ¿Cómo afectaría económicamente una interrupción de los servicios a medida
que va pasando el tiempo sin reanudar el servicio?
• ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el
tiempo?
• ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en
graves pérdidas?
Las actividades/procesos que se clasifican como esenciales dentro de una
compañía suelen ser en su mayoría los Operacionales. Estos procesos interactúan
directamente con los clientes o con otras organizaciones externas a la compañía
(Dpto. de Ventas, Dpto. Atención al Cliente, etc.). También es posible, que estos
procesos dependan de otros internos, que también deben ser analizados.
Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias
de continuidad, vamos a utilizar dos mecanismos de análisis:
Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá
identificar la urgencia de recuperación de cada función de negocio, determinando
el impacto en caso de interrupción. Esta información nos permitirá seleccionar
cuál es la estrategia más adecuada.
Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y
analizar los diferentes factores de riesgo que potencialmente podrán afectar a las
actividades que queremos proteger. La evaluación de riesgos supone imaginarse
lo que puede ir mal y a continuación estimar el impacto que supondría para la
organización. Se ha de tener en cuenta la probabilidad de que sucedan cada uno
de los problemas posibles. De esta forma se pueden priorizar los problemas y su
coste potencial desarrollando un plan de acción adecuado.

10
6.1 ANÁLISIS DE IMPACTO
El Análisis de Impacto es esencial para establecer una estrategia de
recuperación, que en principio dará continuidad a las actividades críticas y
posteriormente al resto, si es posible.
El nivel de criticidad de una actividad dentro de la compañía se mide en función
de lo dependiente de ella, que es la organización y de lo que repercutiría su
indisponibilidad. En términos económicos esta valoración sería responder a la
pregunta de cuánto perdería la organización si la actividad/proceso no estuviera
disponible.
Dentro del Análisis de Impacto podemos distinguir las siguientes actividades:
• Obtención de la Relación de Procesos: Establecer los procesos de
negocio que se realizan en la compañía.
• Obtención de la Relación de Aplicaciones: Establecer la relación de
aplicaciones que soportan los procesos de la compañía.
• Relación de Departamentos y Usuarios: Se identifican los
departamentos que hay en la empresa y el nombre de las personas que la
componen y que intervienen en los procesos.
• Determinar cuáles son los Procesos Críticos: Pueden darse dos
valoraciones, una basada en la importancia para la compañía de los
procesos cuya ausencia tendría un impacto alto en la actividad de la
compañía (valoración cualitativa). La otra, se referiría a las pérdidas
económicas por período debido a la ausencia de los procesos (valoración
cuantitativa).
• Período Máximo de Interrupción: El acumulado de pérdidas suele ir
creciendo linealmente a medida que pasan los días y las actividades están
interrumpidas. No obstante, a partir de un momento que denominaremos
Período Máximo de Interrupción, las pérdidas sufren un aumento
significativo y las funciones no podrían ser reasumidas.
En los casos en que la organización tenga varias sedes, será necesario establecer
un alcance geográfico.
En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las
partes que componen el Análisis de Impacto. La recogida de esta información
permitirá evaluar las necesidades de la organización en materia de continuidad,
por lo que es importante que la información sea lo más completa posible.

11
6.1.1 RELACIÓN DE PROCESOS
Para obtener la información sobre los procesos y las aplicaciones que los
gestionan, es esencial la participación de las personas responsables de los
mismos dentro de la compañía, y de aquellos trabajadores que conocen en
profundidad los mismos. Para ello pueden utilizarse entrevistas personales y
cuestionarios que nos acercarán a los procesos críticos del negocio.
Podemos dividir los procesos en operativos y procesos de soporte. Los procesos
operativos son aquellos que guardan una relación directa con el cliente
(comercial, facturación, almacenaje, atención al cliente, etc.). Los procesos de
soporte, serían aquellos que facilitan los “recursos” para poder realizar los
procesos operativos (recursos humanos, gestión financiera, etc.)
6.1.2 RELACIÓN DE APLICACIONES
En este apartado debe recogerse el inventario de los recursos tecnológicos que
soportan los procesos de la compañía, a fin de identificar aquellos que den
soporte directo a los servicios críticos.
Los tipos de recursos que se deben analizar son:
• Hardware, identificando cada uno de los elementos hardware que soportan
los sistemas de información de la compañía.
• Software Base, recogiendo todos aquellos componentes de software, incluido
todos los asociados al sistema operativo, indispensables para el
funcionamiento y optimización del Sistema de Información de la compañía.
• Software de Aplicaciones, inventariando las aplicaciones de gestión que son
utilizadas en la empresa.
• Sistemas de Infraestructura, considerando aquellos elementos o
componentes que sin disponer de una tecnología enfocada propiamente al
tratamiento de la información sí son requeridos para garantizan la
operatividad del servicio.

12
6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS
Los procesos de la compañía están gestionados por departamentos/usuarios.
Dentro del inventario de procesos es necesario conocer el personal involucrado
en los mismos. Esta información puede obtenerse en las mismas entrevistas
donde se recoge la información de los procesos existentes y de los elementos
(hardware, software, etc.) que lo componen.
6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS
Esta tarea supone evaluar los impactos económicos y operacionales sobre el
negocio en caso de no disponer de la función analizada. La valoración de
pérdidas no es una cuestión sencilla, ya que pueden concurrir aspectos
intangibles, tales como la imagen de la organización ante sus clientes. Algunos
criterios que pueden ayudar a valorar las eventuales pérdidas pueden ser:
• Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que
no tengan alternativa manual o cuyo tratamiento manual suponga una
pérdida de eficiencia importante.
• Ingresos dejados de percibir.
• Penalizaciones por incumplimiento de contratos con clientes.
• Sanciones administrativas por incumplimiento de leyes debido a la falta
de control en situación de desastre (exposición de datos personales,
incumplimiento de normativa internacional como la Ley Sarbanes Oxley,
etc.).
• Gastos financieros.
Para simplificar esta valoración de los procesos podemos establecer una
clasificación numérica, asignando mayor prioridad (p.e. 1) a aquellos procesos
que se consideren más críticos y menor prioridad (p.e. 3) a aquellos que se
consideren menos críticos.
6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN
Una vez que obtenemos la visión del negocio, de los procesos que lo componen y
de la criticidad de cada uno de ellos, debemos establecer los tiempos de
recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al
negocio tras un incidente o contingencia grave con las menores pérdidas
económicas posibles para la compañía, deben estimarse para cada uno de los

procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas
económicas afectarían de forma grave a la compañía (Tiempo máximo de
interrupción). Esta estimación es importante de cara a seleccionar la estrategia
de respaldo adecuada a las necesidades de recuperación.
Pueden existir procesos en los que el tiempo de recuperación es muy pequeño
(horas), por ejemplo el servicio de banca electrónica de un banco, y otros
procesos como la facturación a clientes en una empresa de servicios, pueden
tener un periodo de recuperación mayor (días o semanas).
MINUTOS HORAS DIAS SEMANAS MESES
13
Figura 2. Tiempos de Recuperación
TIEMPO MÁXIMO DE INTERRUPCIÓN
TIEMPO DE RECUPERACIÓN OBJETIVO PERDIDAS ECOÓMICAS GRAVES
En definitiva, el Análisis de Criticidad nos da una visión de los procesos,
actividades y recursos a proteger con la prioridad de recuperación de cada uno
de ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.

6.2 ANÁLISIS DE RIESGOS
El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades
actuales que por su situación o su importancia pueden poner en marcha, antes
de lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debe
centrarse en los procesos/actividades del negocio que se han considerado
críticos, aunque también puede extenderse a aquellos que no lo son.
La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación
estimar el coste que supondría. Se ha de tener en cuenta la probabilidad de que
sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar
los problemas y su coste potencial desarrollando un plan de acción adecuado.
En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha de
contestar, con la mayor fiabilidad posible, a las siguientes preguntas:
¿Qué se intenta proteger?
¿Cuál es su valor para uno o para la organización?
¿Frente a qué se intenta proteger?
¿Cuál es la probabilidad de un ataque?
ESQUEMA DEL ANÁLISIS DE RIESGOS
Figura 3. Esquema Análisis de Riesgos
14

15
Existen diferentes metodologías de Análisis de Riesgos:
• MARION
• OCTAVE
• MAGERIT
Para el desarrollo de esta guía no se ha seleccionado ninguna metodología
concreta, sino que se realiza una descripción general de los pasos que componen
un Análisis de Riesgos.
6.2.1 IDENTIFICAR ACTIVOS
Para cada uno de los procesos críticos de la compañía es necesario realizar un
inventario de los activos involucrados en el proceso. Los activos se definen como
los recursos de una compañía que son necesarios para la consecución de sus
objetivos de negocio. Ejemplos de activos de una compañía pueden ser:
• Información
• Equipamiento
• Conocimiento
• Sistemas
Nota: en el apartado anterior, se ha obtenido gran parte de esta información,
sobre los activos que componen los procesos críticos.
Cada activo de la compañía tendrá unos costes asociados. En algunos casos
estos costes pueden ser cuantificados con un valor económico (activos tangibles)
como el software o el hardware, y en otros casos es más complicado cuantificar
el activo con valores monetarios (activos intangibles) tales como el prestigio o la
confianza de los clientes.
El proceso de elaborar un inventario de activos es uno de los aspectos
fundamentales de un correcto análisis de riesgos. En este inventario se
identificará claramente su propietario y su valor para la organización, así como
su localización actual.
A continuación se incluye un esquema con la relación existente entre los
diferentes elementos que intervienen en el Análisis de Riesgos.

Figura 4. Componentes del Análisis de Riesgos
6.2.2 IDENTIFICAR AMENAZAS
Una amenaza se define como un evento que puede desencadenar un incidente en
la organización, produciendo daños materiales o pérdidas inmateriales en sus
servicios.
A la hora de analizar los riesgos hay que evaluar las distintas amenazas que
pueden provenir de las más diversas fuentes. Entre éstas se incluyen los
agresores malintencionados, las amenazas no intencionadas y los desastres
naturales.
La siguiente ilustración clasifica las distintas amenazas a los sistemas.
Figura 5. Clasificación General de Amenazas
16

17
Dependiendo de la organización y el proceso analizado, serán aplicables distintos
tipos de amenazas. Las amenazas tendrán una probabilidad de ocurrencia
que dependerá de la existencia de una vulnerabilidad que pueda ser explotada,
para materializarse en un incidente. Por ejemplo una amenaza del tipo de
desastre natural como es un terremoto, tendrá una mayor probabilidad de
ocurrencia en una empresa con oficinas en Japón, donde los terremotos ocurren
con mayor frecuencia, que en España. Por lo tanto, a priori podemos decir que el
riesgo de daño por terremoto en una compañía situada en Japón es mayor que el
de una compañía situada en España.
A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta más
complicado valorar las amenazas humanas (ataques maliciosos, robos de
información, etc.), que las amenazas naturales. En el componente humano
existen dos factores a tener en cuenta:
AMENAZA= CAPACIDAD X MOTIVACIÓN
La motivación es una característica humana que es difícil de valorar, pero que sin
embargo es un factor a considerar: empleados descontentos, ex-empleados, etc.
En el anexo II se recogen algunos ejemplos de posibles amenazas.
Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a
la organización de forma grave y valorar la probabilidad de que se conviertan en
un incidente real.
6.2.3 EVALUAR VULNERABILIDADES
Las vulnerabilidades son debilidades que pueden ser explotadas para convertir
una amenaza en un riesgo real que puede causar daños graves en una
compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es
una condición o un conjunto de condiciones que pueden permitir a una amenaza
afectar a un activo.
En el anexo III se recogen algunos ejemplos de vulnerabilidades.
Para identificar las vulnerabilidades que pueden afectar a una compañía debemos
responder a la pregunta: ¿Cómo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como objetivo la amenaza y definimos
las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro
de la compañía puede darse esa circunstancia; es decir, si el nivel de protección
es suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra

18
Amenaza es que nos roben datos estratégicos de la compañía, podemos
establecer, entre otros, los siguientes escenarios:
ESCENARIOS NIVEL DE PROTECCIÓN
1. Entrada no autorizada a los datos
a través del sistema informático.
¿Existe un control de acceso a los datos?
2. Robo de datos de los dispositivos
de almacenamiento magnético.
¿Están los dispositivos de
almacenamiento protegidos y
controlados de forma adecuada?
3. Robo de datos mediante accesos
no autorizados.
¿Existen perfiles adecuados de acceso a
los datos?
Figura 6. Cuadro de Escenarios
Si no se responde afirmativamente a las preguntas de la columna derecha, es
que existen vulnerabilidades que podrían utilizarse de forma que la amenaza se
convierta en un incidente real, y causar daños importantes en la compañía.
6.2.4 EVALUACIÓN DEL IMPACTO
Los incidentes causan un impacto dentro de la organización, que también
deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del
impacto puede realizarse de forma cuantitativa, estimando las pérdidas
económicas, o de forma cualitativa, asignando un valor dentro de una escala
(p.e. alto, medio, bajo).
Por ejemplo, el robo de información confidencial de la compañía puede causar un
impacto alto si ésta cae en malas manos.
En otro caso, podemos estimar las pérdidas económicas de equipos tangibles
valorando el coste de reposición y puesta en marcha.
6.2.5 EVALUACIÓN DEL RIESGO
Riesgo es la posibilidad de que se produzca un impacto determinado en la
organización. El riesgo calculado es simplemente un indicador ligado al par de

valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la
relación entre el activo y la amenaza a la que el riesgo calculado se refiere.
RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO
PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD
El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A
continuación se muestra un ejemplo de una matriz de probabilidad/impacto:
ALTO
RIESGO
MEDIO
RIESGO
ALTO
RIESGO
ALTO
MEDIO
RIESGO
BAJO
RIESGO
MEDIO
RIESGO
ALTO
BAJO
RIESGO
BAJO
RIESGO
BAJO
RIESGO
MEDIO
BAJO MEDIO ALTO
PROBABILIDADD
IMPACTO
Figura 7. Matriz de Riesgos
Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades)
y el impacto sobre la compañía sea también bajo, estaremos en un nivel de
riesgo bajo.
Sin embargo, si existen vulnerabilidades que aumenten la probabilidad de
ocurrencia o el impacto del incidente sea alto para la compañía, estaremos en
unos niveles de riesgo medio-alto.
A modo de ejemplo se muestra la siguiente tabla:
19

20
DESCRIPCIÓN PROBAB IMPACTO RIESGO
Terremoto en ciudades situadas fuera de
fallas sísmicas
BAJA MEDIO BAJO
Terremoto en ciudades situadas sobre fallas
sísmicas
ALTA MEDIO ALTO
Robo de información confidencial compañía
con control de acceso lógico
BAJA ALTO MEDIO
Robo de información confidencial compañía
sin control de acceso lógico
ALTA ALTO ALTO
Una vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos.
Se pueden tomar diferentes caminos:
• Transferir el riesgo a través de seguros o subcontratando la gestión del
riesgo a terceras empresas.
• Aceptar el riesgo (posicionamiento aprobado por la dirección de la
compañía).
• Reducir el riesgo con controles que los mitiguen.
• Eliminar el riesgo (eliminando la causa o el foco del riesgo).
6.2.6 EVALUAR CONTRAMEDIDAS
Para reducir riesgos se utilizan los denominados controles o medidas de
seguridad. Podemos clasificar los controles en:
• Controles preventivos
o Identifican potenciales problemas antes de que ocurran
o Previenen errores, omisiones o actos maliciosos.
Ejemplos:
• Realizar copias de seguridad de los archivos.
• Contratar seguros para los activos.
• Establecer procedimientos / políticas de seguridad.
• Establecer control de acceso a la información.
• Establecer control de acceso físico.
• Controles detectivos
o Identifican y “reportan” la ocurrencia de un error, omisión o acto
malicioso ocurrido.

21
Ejemplos:
• Monitorización de eventos.
• Auditorías internas.
• Revisiones periódicas de procesos.
• Sensores de humo.
• Detección de virus (Antivirus).
• Controles Correctivos
o Minimizan el impacto de una amenaza.
o Solucionan errores detectados por controles detectivos.
o Identifican la causa de los problemas con el objeto de corregir
errores producidos.
o Modifican los procedimientos para minimizar futuras ocurrencias del
problema.
Ejemplos:
• Parches de seguridad.
• Corrección de daños por virus.
• Recuperación de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporción
entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan
(evaluación del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible
que se produzcan incidentes que hagan necesaria su ejecución. Por ello, es
importante que la compañía conozca sus riesgos y ponga las medidas adecuadas
para corregir el mayor número de vulnerabilidades que puedan provocar un
incidente grave.
La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de
gestión de riesgos de la organización y en función de la evolución del negocio
(crecimiento), de cambios importantes en la organización (procesos internos),
nuevas obligaciones legales, etc.

FASE II. Estrategia de Respaldo
22
7. FASE II. ESTRATEGIA DE RESPALDO
En esta fase se seleccionarán los métodos operativos alternativos que se van a
utilizar en el caso de que ocurra un incidente que provoque una interrupción en
la organización. El método seleccionado deberá garantizar la restauración de los
procesos afectados en los tiempos determinados por el Análisis de Impacto.
7.1 SELECCIÓN DE ESTRATEGIAS
Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada
una de estas estrategias tiene unos parámetros de tiempo, disponibilidad y
costes asociados que serán más o menos apropiados dependiendo de las
funciones de negocio.
A continuación se describen diferentes estrategias para reubicación funcional:
• No hacer nada: Este tipo de actuación podría utilizarse en aquellas
funciones o actividades que se han clasificado como “no urgentes” en el
Análisis de Impacto. En este tipo de estrategia se asume el riesgo.
• Utilización de espacios propios: Espacios existentes en la compañía
tales como salas de formación, cafeterías, etc. Este tipo de estrategia
requiere una planificación minuciosa.
• Reutilización de recursos: Reubicación de personal con funciones no
urgentes en tareas que requieren una mayor prioridad. En este caso se
debe poner cuidado en convertir la función no urgente en urgente por ser
desatendida durante demasiado tiempo.
• Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde
ubicaciones exteriores a la compañía mediante conexión remota.
• Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos
unidades de negocio de la propia compañía diferentes) con características
de equipamiento/espacio similares que permitiría a cada una de las partes
recuperar funciones en la otra localización. En este caso es importante
definir las condiciones de uso y la realización de pruebas periódicas para
asegurar las condiciones pactadas.
• Sitio alternativo subcontratado a terceros: Contratación con
compañías especializadas de espacios alternativos para la recuperación de
la actividad. En este caso hay que asegurar que estas compañías pueden

23
proporcionar unos tiempos de recuperación acordes con las necesidades
de la organización. Este tipo de compañías pueden proporcionar diferentes
de soluciones:
o Espacio dedicado: Se garantiza la disponibilidad inmediata del
espacio. En contrapartida este servicio es más caro que otras
alternativas.
o Espacio compartido: Se comparte el espacio con otras compañías.
Es más barato que un centro dedicado.
o Espacios móviles: Se pueden utilizar rápidamente, pero tienen un
espacio limitado.
o Módulos prefabricados: Pueden tardar unos días en estar
disponibles para su uso.
• Localizaciones diversas: Se traslada la operación pero no el personal.
• Centro replicado: Solución que permite trasladar de forma inmediata la
operación y continuar la actividad de forma inmediata. También puede
denominarse “centro espejo”. Esta solución es normalmente la más cara,
pero también la mejor solución en el caso de que se necesite una
recuperación muy rápida de la operación.
A continuación se muestra una tabla que recoge la relación entre el Tiempo
Objetivo de recuperación y la solución de continuidad más adecuada a este
Objetivo:
TIEMPO OBJETIVO DE
RECUPERACIÓN
INTERNAS CONTRATADO
MESES Reconstrucción /
Realojamiento
----
SEMANAS Edificios prefabricados On-
Site
Contratación de unidades
móviles o prefabricados
DIAS Recuperación “in situ”
Trabajo en casa
Subcontratación de procesos en
oficinas móviles
HORAS Localizaciones diversas con
empleados formados
Re-localización de un grupo de
personas
INMEDIATO Localizaciones diversas para
la misma función
Cambio de funcionamiento a un
centro de respaldo subcontratado
Figura 8. Tabla de Estrategias de Recuperación
Fuente: Business Continuity Institute.

24
De todas las alternativas existentes hay que elegir la más adecuada en cada
caso. Dependerá de las necesidades de cada compañía, en cuanto a tiempos de
recuperación, costes económicos, recursos, etc.
Además deberá considerarse otros factores como:
• Ubicación y superficie requerida
o Espacio suficiente
o Zonas acondicionadas para acoger a personal
• Recursos técnicos necesarios:
o Hardware
o Software
o Comunicaciones
o Datos de respaldo
• Recursos humanos requeridos
o Recursos materiales y de infraestructura
o Servicios auxiliares necesarios
o Tiempos de activación
o Coste
Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayor
será el coste de la solución. Por ello es conveniente realizar un análisis con
tiempos de recuperación adecuados y adaptados a la realidad de la compañía.
Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como
respaldo en caso de interrupción del negocio, pasaremos a desarrollar todos los
procedimientos, funciones y actividades que permitirán restablecer los procesos
de negocio en unos plazos razonables.

Fase III. Desarrollo del Plan de Continuidad
25
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD
Hasta este momento hemos obtenido:
• Conocimiento de los procesos de la compañía, valorando cuáles son
críticos para el funcionamiento del negocio.
• Valoración de los riesgos que pueden afectar al negocio y que pueden
disparar el Plan de Continuidad de Negocio.
• Estrategia de Continuidad más adecuada para el negocio.
A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Para ello
definiremos:
• Los equipos necesarios para el desarrollo del Plan.
• Las responsabilidades y funciones de cada uno de los equipos.
• Las dependencias orgánicas entre los diferentes equipos.
• El desarrollo de los procedimientos de alerta y actuación ante eventos que
puedan activar el Plan.
• Los procedimientos de actuación ante incidentes.
• La estrategia de vuelta a la normalidad.
8.1 ORGANIZACIÓN DE LOS EQUIPOS
Los equipos de emergencia están formados por el personal clave necesario en la
activación y desarrollo del Plan de Continuidad. Cada equipo tiene unas funciones
y procedimientos que tendrán que desarrollar en las distintas fases del Plan.
Aunque la composición y número de equipos puede variar según el tipo de
estrategia de recuperación, a continuación se muestran algunos ejemplos de los
equipos que pueden formar parte del Plan:
• Comité de Crisis: Encargado de dirigir las acciones durante la
contingencia y recuperación.
• Equipo de Recuperación: Su función es restablecer todos los sistemas
necesarios (voz, datos, comunicaciones, etc.).
• Equipo Logístico: Responsable de toda la logística necesaria en el
esfuerzo de recuperación.
• Equipo de las Unidades de Negocio: Encargados de la realización de
pruebas que verifiquen la recuperación de los sistemas críticos.

26
• Equipo de Relaciones Públicas: Encargado de las comunicaciones a los
medios de comunicación y clientes.
El personal asignado a cada uno de los equipos puede variar dependiendo del
tamaño de la organización y de la estrategia de recuperación seleccionada. Una
persona puede pertenecer a más de un equipo, siempre y cuando no existan
incompatibilidades en las tareas a realizar.
8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS
El objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en la
dirección de la situación. Este Comité debe tomar las decisiones “clave” durante
los incidentes, además de hacer de enlace con la dirección de la compañía,
manteniéndoles informados de la situación regularmente.
Las principales tareas y responsabilidades de este comité son:
• Análisis de la situación.
• Decisión de activar o no el Plan de Continuidad.
• Iniciar el proceso de notificación a los empleados a través de los diferentes
responsables.
• Seguimiento del proceso de recuperación, con relación a los tiempos
estimados de recuperación.
8.1.2 EQUIPO DE RECUPERACIÓN
El equipo de recuperación es responsable de establecer la infraestructura
necesaria para la recuperación. Esto incluye todos los servidores, PC’s,
comunicaciones de voz y datos y cualquier otro elemento necesario para la
restauración de un servicio.
8.1.3 EQUIPO LOGÍSTICO
Este equipo es responsable de todo lo relacionado con las necesidades logísticas
en el marco de la recuperación, tales como:
• Transporte de material y personas (si es necesario) al lugar de
recuperación.

27
• Suministros de oficina.
• Comida.
• Reservas de hotel, si son necesarias.
• Contacto con los proveedores.
Este equipo debe trabajar conjuntamente con los demás, para asegurar que
todas las necesidades logísticas sean cubiertas.
8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES
Se trata de canalizar la información que se realiza al exterior en un solo punto
para que los datos sean referidos desde una sola fuente. Sus funciones
principales son:
• Elaboración de comunicados para la prensa.
• Comunicación con los clientes.
Uno de los valores más importantes de una compañía son sus clientes, por lo que
es importante mantener informados a los mismos, estableciendo canales de
comunicación.
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas y comenzar a
funcionar.
Cada equipo deberá configurar las diferentes pruebas que deberán realizar para
los sistemas.

28
8.2 DESARROLLO DE PROCEDIMIENTOS
Una vez que hemos definido los equipos y se han establecido las funciones que
debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que
van a seguir, y su actuación en cada una de las fases de activación del Plan de
Continuidad.
- FASE DE ALERTA
• Procedimiento de notificación del desastre.
• Procedimiento de lanzamiento del Plan
• Procedimiento de notificación de la puesta en marcha del Plan a los
equipos implicados.
- FASE DE TRANSICIÓN
• Procedimiento de concentración de equipos.
• Procedimiento de traslado y puesta en marcha de la recuperación.
- FASE DE RECUPERACIÓN
• Procedimientos de restauración.
• Procedimientos de soporte y gestión.
- FASE DE VUELTA A LA NORMALIDAD
• Análisis del impacto.
• Procedimientos de vuelta a la normalidad.
En el siguiente esquema podemos ver las fases que componen el Plan de
Continuidad de Negocio:

Figura 9. Fases y Actividades del Plan de Continuidad
8.2.1 FASE DE ALERTA
La Fase de Alerta define los procedimientos de actuación ante las primeras
etapas de un suceso que implique la pérdida parcial o total de uno o varios
servicios críticos. Dividiremos esta fase en tres partes:
Notificación: Define cómo y quién debe ser informado en primera instancia de
lo ocurrido.
Evaluación: Análisis de la situación y valoración inicial de los daños. Definición
de estrategias.
Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al
alcance de los daños.
Notificación
Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos los
casos que resultan de suponer que cualquier persona pueda dar aviso de un
incidente, vamos a suponer que la persona que descubre la contingencia será un
empleado o cualquier otra persona próxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa de
concienciación, en el que se informe debidamente al personal de cómo actuar
ante estos casos y a quién comunicar lo ocurrido.
29

30
EVENTO ACCIÓN
1 Situación de contingencia/incidente
detectado por algún empleado de la
compañía. (Fuego, inundación, virus, etc.).
Aviso inmediato con el máximo detalle
posible al Responsable de Personal de turno
o a Seguridad.
2
El responsable de turno o de seguridad
conoce que ha sucedido una contingencia.
Aviso a la persona de contacto del Comité de
Crisis.
Aviso a los equipos de emergencia (si
procede).
Figura 10. Cuadro Fase de Notificación
Evaluación
Una vez que un miembro del Comité de Crisis es contactado e informado del
incidente, procederá a evaluar la situación con la recopilación de la mayor
información posible. El Comité informará a los responsables de los distintos
equipos de lo ocurrido y de la situación en ese momento para que permanezcan
en situación de espera, hasta que se tome la decisión de disparar el Plan o iniciar
otro tipo de estrategia.
EVENTO ACCIÓN
3 Conocimiento por algún miembro del
Comité de incidente ocurrido.
El equipo del Comité se reunirá en un lugar
acordado previamente y evaluará la
situación. Este Comité deberá tomar la
decisión de activar o no el Plan de
Continuidad.
Será necesario informar de la situación a los
siguientes responsables:
• Responsable de Seguridad.
• Comité de Dirección de la Empresa.
• Relaciones Públicas.
• Equipo de Recuperación.
• Responsable de los Equipos.
Figura 11. Cuadro Fase de Evaluación
Ejecución del Plan
Una vez que el Comité de Crisis ha decidido poner en marcha el Plan de
Recuperación, debe de iniciarse el árbol de llamadas (En el Anexo IV se incluye
un ejemplo de un árbol de llamadas) para comunicar a los Responsables y

31
componentes de cada equipo la situación de inicio de las actividades del Plan
para comenzar los procedimientos de actuación de cada uno de ellos. Deberá
informarse también al Comité de Dirección.
EVENTO ACCIÓN
4 Consideración por parte del Comité de
Crisis y ejecución del Plan.
Iniciar el árbol de llamadas.
Informar al Comité de Dirección.
5 Paso a la Fase de Transición.
Figura 10. Cuadro Fase de Lanzamiento del Plan
8.2.2 FASE DE TRANSICIÓN
La Fase de Transición es la fase previa a la de recuperación de los sistemas. Es
importante que en esta fase exista una coordinación entre los diferentes equipos
y equipos de logística, ya que son éstos los encargados de que todo esté
disponible para comenzar la recuperación en el menor tiempo posible.
Podemos dividir la fase de transición en dos partes principalmente:
• Procedimientos de concentración y traslado de personas y equipos.
• Procedimientos de puesta en marcha del centro de recuperación.
Ambos procedimientos son la base del proceso de recuperación de los sistemas.
Si esta parte falla, no será posible comenzar la recuperación, y por tanto el Plan
de Continuidad fallará.
A continuación pasamos a describir de manera detallada cada uno de los
procedimientos y equipos que deben interactuar en esta fase de transición.
Procedimientos de concentración y traslado de material y personas
Dependiendo de la solución final que se decida como estrategia de respaldo, este
procedimiento puede variar. Realizaremos una descripción general de los
procedimientos, que podrá completarse una vez que se tome una solución
definitiva.
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión. En el caso de que la emergencia se declare en horas de
trabajo, se tomará como punto de encuentro los lugares designados en el Plan de
Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de
reunión será el designado como centro de respaldo, o cualquier otro designado
por el Comité de Dirección de Crisis.

32
Además del traslado de personas al centro de recuperación (si es necesario) hay
que realizar una importante labor de coordinación para el traslado de todo el
material necesario para poner en marcha el centro de recuperación (cintas de
backup, material de oficina, documentación, ...)
Procedimientos de puesta en marcha del centro de recuperación
Una vez concentrados los distintos equipos que van a intervenir en la
recuperación, y con todos los elementos necesarios disponibles para comenzar la
recuperación, hay que poner en marcha este centro, estableciendo la
infraestructura necesaria, tanto de software como de comunicaciones, etc.
8.2.3 FASE DE RECUPERACIÓN
Una vez que hemos establecido las bases para comenzar la recuperación, se
procederá a la carga de datos y a la restauración de los servicios críticos. Este
proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para
cumplir con los plazos fijados.
Podemos dividir esta fase en dos:
• Procedimientos de Restauración
• Procedimientos de Gestión y Soporte
Procedimientos de Restauración
Estos procedimientos se refieren a las acciones que se llevan a cabo para
restaurar los sistemas críticos.
Procedimientos de soporte y gestión
Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar
un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el
negocio con las máximas garantías de éxito. Los integrantes del equipo de
unidades de negocio serán los encargados de comprobar y verificar el correcto
funcionamiento de los procesos.

33
8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA
Una vez con los procesos críticos en marcha y solventada la contingencia,
debemos plantearnos las diferentes estrategias y acciones para recuperar la
normalidad total de funcionamiento. Para ello vamos a dividir esta fase en
diferentes procedimientos:
• Análisis del impacto.
• Procedimientos de vuelta a la normalidad
Análisis del impacto
El análisis de impacto pretende realizar una valoración detallada de los equipos e
instalaciones dañadas para definir la estrategia de vuelta a la normalidad.
Procedimientos de vuelta a la normalidad
Una vez determinado el impacto deben establecerse los mecanismos que en la
medida de lo posible lleven a recuperar la normalidad total de funcionamiento.
Estas acciones incluyen las necesidades de compra de nuevos equipos,
mobiliario, material, etc.
8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN
Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberá
realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de
los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con las
que se encontraron, etc.
Toda esta información servirá para valorar si el Plan ha funcionado según lo
planeado, así como conocer los posibles fallos, y en su caso, tenerlos en cuenta
para la adecuación del mismo.

Fase IV. Pruebas y Mantenimiento
34
9. FASE IV. PRUEBAS Y MANTENIMIENTO
9.1 PRUEBAS
9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS
El Plan de Continuidad no se considerará válido hasta que no se haya superado
satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones
adoptadas.
El Plan de Pruebas diseñado tiene como objetivos:
• Evaluar la capacidad de respuesta ante una situación de desastre que afecte a
los recursos de la compañía.
• Probar la efectividad y los tiempos de respuesta del Plan para comprobar que
están alineados con la definición realizada en el diseño.
• Identificar las áreas de mejora en el diseño y ejecución del Plan.
• Comprobar si los procedimientos desarrollados son adecuados para soportar
la recuperación de las operaciones de negocio.
• Evaluar si los participantes del ejercicio están suficientemente familiarizados
con la operativa en situación de contingencia.
• Concienciación y formación para los empleados a través de la realización de
pruebas.
9.2 TIPOS DE PRUEBAS
Las pruebas de un Plan de Continuidad deben tener dos características
principales:
Realismo: La utilidad de las pruebas se reduce con la selección de escenarios
irreales. Por ello es importante reproducir escenarios que proporcionen un nivel
de entrenamiento adecuado a las situaciones de riesgo.
Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lo
menos posible en el negocio, es decir, que si se programa una prueba que

35
suponga una parada de los sistemas de información, debe realizarse una ventana
de tiempo que impacte lo menos posible para el negocio.
En algunos casos puede resultar complicado realizar una prueba completa del
Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa
de pruebas planificado para garantizar que todos los aspectos de los planes y
personal se han ensayado durante un período de tiempo.
9.2.1 EJERCICIOS TÉCNICOS
Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y
operativos, el uso de equipos de hardware, software y posibles centros y
métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de
elementos verificados durante un ejercicio de simulación son:
- Procedimientos de emergencia.
- Métodos alternativos.
- Líneas de telecomunicaciones de backup.
- Procedimientos de notificación Vendedores / Clientes.
- Capacidad y rendimiento del hardware.
- Portabilidad del software.
- Accesibilidad al centro de respaldo.
- Movilización de los equipos de trabajo.
- Recuperación de ficheros y documentación almacenados en lugar externo.
- Recuperación de datos.
9.2.2 TEST COMPLETO
Los ejercicios de test son ejercicios planificados que implican la restauración real
de la capacidad de proceso en un centro alternativo. Generalmente, los procesos
en producción no son interrumpidos, pero puede planificarse su restauración y
validación en el centro alternativo. Normalmente, este tipo de prueba requiere la
participación de toda la organización de continuidad del negocio, incluyendo
usuarios, personal técnico y de operaciones.

36
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD
Por la propia dinámica de negocio, se van incorporando nuevas soluciones a los
Sistemas de Información y los activos informáticos van evolucionando para dar
respuesta a las necesidades planteadas.
La correcta planificación del mantenimiento del Plan de Continuidad evitará que
quede en poco tiempo obsoleto y que en caso de contingencia no pueda dar
respuesta a las necesidades.

ANEXOS
37
ANEXOS

Anexo I – Cuadros de Recogida de Datos Análisis de Impacto
38
ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO
o CUADRO DE PROCESOS
En este cuadro se recogen los procesos y subprocesos que componen la
organización donde se va a desarrollar el Plan de Continuidad.
Proceso Subproceso
Breve
descripción
Frecuencia
(Diario/Semanal
Mensual)
Persona
responsable
o SISTEMAS QUE SOPORTAN EL PROCESO
En este cuadro se recogen los sistemas que soportan el proceso analizado.
Nombre
del
Sistema
Descripción Criticidad
Tipo de
Sistema
(PC/Servidor/
Mainframe)
Nº de
Equipos
con la
aplicación
Responsable
Contacto
Técnicos
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el sistema
2 – La organización/departamento no puede funcionar parcialmente sin el sistema
3 - La organización/departamento puede funcionar sin el sistema

39
o RECURSOS HARDWARE DEL PROCESO
En este apartado se recogen los componentes hardware que soportan los
procesos.
Tipo de hardware
Detalles del
Modelo/Configuración
Distribuidor Criticidad Localización
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el hardware
2 – La organización/departamento no puede funcionar parcialmente sin el hardware
3 - La organización/departamento puede funcionar sin el hardware
o OTROS ACTIVOS
En este apartado se recogen todos aquellos activos (comunicaciones, datos,
infraestructura, etc.), que forman parte del proceso y que son necesarios para
dar continuidad al mismo en caso de interrupción.
Descripción Tipo Criticidad Localización
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el activo
2 – La organización/departamento no puede funcionar parcialmente sin el activo
3 - La organización/departamento puede funcionar sin el activo

40
o TIEMPO MÁXIMO DE INTERRUPCIÓN
Para cada uno de los procesos, se determinará el tiempo máximo de
interrupción, especificando cuántos días puede permanecer el proceso sin incurrir
en pérdidas económicas graves.
Proceso Necesidades de Recuperación Criticidad
Necesidad de Recuperación: Día 0 : Recuperación inmediata
Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente.
Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes.
Más 30 días: El proceso pude esperar más de 30 días a ser recuperado.

ANEXO II - Listado de Amenazas
41
ANEXO II - LISTADO DE AMENAZAS
AMENAZAS
DESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAÑOS ACCIDENTALES
Fuego fortuito
Inundaciones
Fallo del aire acondicionado
Exceso de humedad
Humo, gases tóxicos
Subida de tensión
Fallo de suministro eléctrico
Fallo de la UPS
Accidentes del personal
Capacidad inadecuada de las comunicaciones
Fallo/degradación del hardware
Fallo/degradación de las comunicaciones
Errores de operación
Fallos en las copias de seguridad
Fallos de los sistemas de autenticación/autorización
Pérdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Explosivos
Fuego intencionado
Accesos no autorizados al edificio
Actos de vandalismo
Radiaciones electromagnéticas
Robos intencionados
Manipulación de datos/software
Manipulación de hardware
Uso de software por personal no autorizado
Acceso no autorizados a datos de la compañía
Software malicioso
Robo de equipos
Robo de documentos

ANEXO II - Listado de Amenazas
42
Robo de software
Descarga de software no controlada
Interceptación de las líneas de comunicación
Manipulación de las líneas de comunicación
Abuso de privilegios de acceso
Introducción de virus en los sistemas
Troyanos
Ataques por ingeniería social
Bombas lógicas
Ataques de denegación de servicio
Errores intencionados
Copias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupción de datos
Incumplimientos legales intencionados

ANEXO III – Ejemplos de Vulnerabilidades
43
ANEXO III – EJEMPLOS DE VULNERABILIDADES
VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro eléctrico inapropiado
Mantenimiento inapropiado del servicio técnico
Ausencia de mantenimiento
Educación inadecuada del personal en virus y malware
Políticas de firewall inadecuadas
Política de seguridad de la información inadecuada
Ausencia de política de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extinción automática de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuración eficiente y efectiva
Ausencia de mecanismos de identificación y autenticación
Ausencia de política de restricción de personal para uso licencias de software
Ubicación física en un área susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisión de datos
confidenciales
Protección física de equipos inadecuada
Personal sin formación adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definición de privilegios de acceso inadecuada
Ausencia de un Plan de recuperación de incidentes

Anexo IV – Ejemplo Árbol de Llamadas
ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS
Comité de Crisis
Equipo de
Recuperación
Equipo de
Coordinación
Logística
Equipo de
Seguridad
Equipo de
Relaciones
Públicas
Equipo de Unidades
de Negocio
Comité de
Dirección
44

Anexo V – Sitios de Interés
45
ANEXO V – SITIOS DE INTERÉS
http://www.contingencyplanning.com/ - Revista de Continuidad de Negocio
http://www.globalcontinuity.com/ - Portal de Business Continuity Plan
http://www.thebci.org/pas56.htm - Business Continuity Institute
http://www.disaster-recovery-guide.com/ - Información y guías sobre
Continuidad
http://www.nist.org/ - Mejores prácticas en Seguridad Informática
http://www.iss.net/ - Base de datos de vulnerabilidades X-Force
http://nvd.nist.gov/ - Base de datos de vulnerabilidades del NIST
http://www.securityfocus.com/ - Base de datos de vulnerabilidades
http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de
Servicios de Continuidad de Negocio
http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -
Proveedor de Servicios de Continuidad de Negocio

46
CASO DE ESTUDIO

Caso de Estudio
47
CASO DE ESTUDIO
ANTECEDENTES
Zapasol S.A. es una compañía que fabrica zapatos con materiales reciclados.
Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de
fabricación, una en Valencia y otra en Albacete distante 200 kilómetros. El éxito
de venta de este tipo de zapatos les ha llevado a mercados internacionales,
importando a más de 20 países.
Dentro de la propia fábrica cuentan con un pequeño departamento de informática
formado por 4 empleados que se encargan de la gestión de todo lo relacionado
con comunicaciones, software, hardware, bases de datos. Este departamento y
su centro de proceso de datos se encuentran en Valencia.
El rápido desarrollo y expansión de esta compañía ha resultado en un
crecimiento tecnológico importante en los procesos de soporte, tales como
facturación, nóminas, atención al cliente, etc. Sin embargo, las medidas de
seguridad no han acompañado de igual forma a este crecimiento. A continuación
se describe brevemente cuál es la situación actual en cuanto a seguridad de la
compañía:
• No existe una política de seguridad en la compañía.
• Sólo hay antivirus en algunos equipos, en otro no se ha instalado.
• No se realizan copias de seguridad de la información.
• Existe control de acceso a los equipos, pero los usuarios comparten
contraseñas.
• Los servidores se encuentran en una sala sin ninguna medida de
protección física.
• ….
Como parte de los proyectos a acometer durante el año 2007, el Director de
Informática de Zapasol S.A. ha propuesto la realización de un Plan de
Continuidad de Negocio, para configurar una estrategia de recuperación ante
cualquier evento grave que haga peligrar el negocio de la empresa.

Caso de Estudio
48
ANÁLISIS DE IMPACTO
Para desarrollar este Plan, el director de informática ha encargado a Luis (otro de
los empleados del departamento de informática) que realice un inventario de los
procesos críticos de la compañía, estableciendo los tiempos de recuperación de
los mismos, antes de incurrir en pérdidas graves. Para ello, Luis se ha
entrevistado con los responsables de los procesos obteniendo la siguiente
información:
Proceso Subproceso Breve descripción
Frecuencia
(Diario/Semanal
Mensual)
Responsable
Pedidos -- Se encarga de recibir todos
los pedidos de los distintos
clientes y de gestionar su
envío en los plazos y
condiciones establecidas
Diario
Inés Burgos
Atención al
Cliente
--- Recogida y Gestión de
incidentes
Diario Ángela Cano
Recursos
Humanos
-- Selección y formación del
personal de la compañía
Según
necesidad
Marta Álvarez
Nóminas -- Generación y Pago de las
Nóminas de los empleados
Mensual Laura Cuesta
Stock --- Control y Gestión del stock de
zapatos en los almacenes
Diario Antonio
Romero
Nota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas)
COMPONENTES DE LOS PROCESOS
A continuación se describen cada uno de los componentes Hardware, Software,
Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.
PROCESO PEDIDOS
• Sistemas del proceso de Pedidos:

Caso de Estudio
49
Nombre
del
Sistema
Tipo de
Sistema
(PC/Servidor/
Mainframe)
Nº de
Equipos
con la
aplicación
Responsable
Contacto
Técnicos
Correo
Electrónico
2 Servidor de
Correo
4
--- ----
Gestión
Pedidos
Aplicación
para la
Gestión de
pedidos
1 4 ----
• Hardware del proceso de Pedidos:
Tipo de
Hardware
Detalles del
Servidor de
Correo
PowerEdgeTM 1900
Servidor en torre de
núcleo cuádruple con 2
sockets
Dell 3 Centro proceso
datos Valencia
PC’s Procesador
Intel® CoreTM 2 Duo
E6000
Chipset Q965 ICH8DO
compatible con Active
Management Technology
(iAMT 2.1) de Intel®
Solución LAN Gigabit
Ethernet de Intel®
Dell 2 Centros de
Valencia y
Albacete
Servidor de
Aplicaciones
PowerEdgeTM 2900
sockets
datos Valencia
• Otros Activos del proceso:
Línea RDSI de
comunicaciones
Comunicaciones 1 Centros de trabajo

Caso de Estudio
50
Impresoras Hardware 2 Centros de trabajo
Centralita de
Comunicaciones
Comunicaciones 3 Centros de trabajo
PROCESO DE NÓMINAS
• Sistemas del proceso de Nóminas:
Nombre
del
Sistema
Tipo de
Sistema
(PC/Servidor/
Mainframe)
Nº de
Equipos
con la
aplicación
Responsa-
ble
Contacto
Técnicos
Aplicación
Nóminas
Programa
que se
encarga de
realizar el
cálculo de las
nóminas
3
Servidor /
PC’s
3
Laura
Cuesta
-----
Windows Sistema
Operativo
2
PC’s 20
Angel Perez Soporte
Windows
• Hardware del proceso de Nóminas:
Tipo de
Hardware
Detalles del
Servidor de
aplicaciones
PowerEdgeTM 1900
sockets
datos Valencia
PC’s Procesador
Intel® CoreTM 2 Duo
E6000
Chipset Q965 ICH8DO
compatible con Active
Management Technology
(iAMT 2.1) de Intel®
Solución LAN Gigabit
Ethernet de Intel®
Dell 2 Centros de
Valencia y
Albacete

Caso de Estudio
51
• Otros Activos del proceso
Impresoras Hardware 2 Centros de trabajo

Caso de Estudio
52
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS
Proceso
Necesidades de
Recuperación
Criticidad
PEDIDOS En 2-3 días 1
El proceso de Pedidos es clave para la organización, ya que si no se pueden
gestionar los pedidos de los clientes la empresa no puede dar servicio y por lo
tanto incurrirá rápidamente en pérdidas. Por ello es importante que este proceso
se recupere lo antes posible.
Proceso
Necesidades de
Recuperación
Criticidad
NOMINAS En 15-30 días 3
Aunque el proceso de Nóminas es importante, la compañía puede esperar
semanas a que se restablezca y crear procedimientos alternativos como por
ejemplo, repetir el último pago de nómina a los trabajadores y realizar las
compensaciones correspondientes, cuando estén disponibles de nuevo los
sistemas.

Caso de Estudio
53
ANÁLISIS DE RIESGOS
Una parte importante dentro del desarrollo del Plan de Continuidad es el Análisis
de Riesgos. Este análisis permitirá a la compañía conocer sus riesgos y
gestionarlos de forma adecuada.
Existen diferentes metodologías de riesgo (NIST, MAGERIT, OCTAVE, etc.) que
pueden aplicarse para realizar el Análisis de Riesgos. Para el ejemplo
realizaremos un análisis con un enfoque general, sin entrar en metodologías
concretas ni valoraciones de los activos.
Tomando como ejemplo el inventario de los procesos descritos y las premisas
descritas en la presentación de la compañía, elaboraremos el Análisis de Riesgos.
INVENTARIO DE ACTIVOS
Activo/Descripción Tipo Propietaro Localización Valor
SERVIDOR DE
APLICACIOMES
Hardware ---- Centro de
Proceso de
datos
MEDIO
APLICACIÓN DE
PEDIDOS
Aplicación ---- Servidores y
PC’s
MEDIO
INFORMACIÓN
CLIENTES
Información ---- Base de datos ALTO
IMPRESORAS Hardware ---- Centros de
Albacete y
Valencia
BAJO
REDES DE
COMUNICACIONES
Comunicaciones ---- Centros de
Albacete y
Valencia
BAJO
LISTADO DE AMENAZAS
Del listado de Amenazas marcamos las que pueden afectar la compañía en su
situación actual.

Caso de Estudio
54
AMENAZAS POSIBLE
DESASTRES NATURALES
Inundaciones x
Incendios x
DAÑOS ACCIDENTALES
Fuego fortuito x
Inundaciones x
Fallo de suministro eléctrico x
Pérdida de confidencialidad x
Incumplimientos legales x
ATAQUES INTENCIONADOS
Accesos no autorizados al edificio x
Accesos no autorizados a datos de la compañía x
Actos de vandalismo x
Robo de equipos x
Robo de datos / documentos x
VULNERABILIDADES
Tomando como base los objetivos de seguridad de la ISO 17799 y en función de
las Amenazas que hemos marcado como posibles, establecemos los escenarios
en que una amenaza puede convertirse en un incidente de seguridad.
ESCENARIOS NIVEL DE PROTECCIÓN RESPUESTA
1. Inundación del Centro de
Proceso de Datos
¿El centro está situado en un terreno
alto?
NO
2. Fallos del Suministro
Eléctrico.
¿Existen Unidades de Suministro
Eléctrico Alternativo (UPS)?
NO

Caso de Estudio
55
3. Pérdida de información
clave de la compañía.
¿Se realizan copias de seguridad de
los datos periódicamente?
No periódicamente
4. Accesos no autorizados al
edificio
¿Existe un control de acceso físico a
los edificios de la compañía?
NO
5. Robo de datos ¿Existe una clasificación de la
información adecuada al nivel de
confidencialidad de los datos?
NO
6. Pérdida de servicios por
infección de virus
¿Están los equipos protegidos por un
antivirus?
NO
EVALUACIÓN DE RIESGOS
DESCRIPCIÓN PROBAB IMPACTO RIESGO
Terremotos BAJA MEDIO BAJO
Pérdida del servicio por fallos en la alimentación eléctrica ALTA MEDIO ALTO
Accesos no autorizados al edificio BAJA ALTO MEDIO
Robo de información confidencial compañía ALTA ALTO ALTO
Pérdida de información crítica de la compañía ALTA ALTO ALTO
RECOMENDACIONES - CONTRAMEDIDAS
Para gestionar los riesgos detectados y mitigarlos en la medida de lo posible, se
propone la puesta en marcha de las siguientes contramedidas:
o Realizar copias de seguridad periódicamente.
o Controlar el acceso a la información estableciendo mecanismos de
autenticación.
o Establecer un control de acceso físico al lugar donde se encuentran los
equipos con información clave para la compañía.
o Establecer detectores de humo y alarmas de fuego.
o Instalar antivirus en todos los equipos de la compañía.

Caso de Estudio
56
ESTRATEGIA DE RECUPERACIÓN
Una vez que se ha realizado la gestión de los riesgos detectados, se debe
seleccionar una estrategia de recuperación de negocio que asegure la
continuidad de los procesos que hemos considerado críticos en el Análisis de
Impacto.
De las alternativas existentes y dado que la opción de subcontratar espacios y
soporte a terceros resultaría muy cara para Zapasol S.A., la solución más
adecuada sería utilizar el centro de Albacete con alternativa en caso de
incidencia grave. De esta forma Zapasol S.A. podría seguir dando servicio a
sus clientes, sin que el impacto de un incidente tuviera consecuencias
catastróficas para la compañía. Para ello, podrán utilizarse en primera instancia
los equipos que se utilizan en este centro, de forma que se reaproveche la
inversión. Para que estos equipos sean válidos será necesario equipar la
infraestructura del centro de trabajo de Albacete con algunos elementos extras
(incremento de memoria, capacidad de disco, etc.).

Caso de Estudio
57
DESARROLLO DEL PLAN
Una vez que se ha seleccionado la estrategia de continuidad, se puede comenzar
a construir el Plan de Continuidad definiendo la estructura y composición de los
equipos y las acciones de cada uno de ellos.
Dado que Zapasol S.A., es una empresa de tamaño medio, reduciremos el
número de equipos y su composición, que serán necesarios en caso de activación
del Plan de Continuidad.
COMITÉ DE CRISIS
Listado de Integrantes del Comité.
Responsable del Comité Nombre: Rodolfo Pérez
Posición: Director General
Teléfono Móvil: XXXXXXX
Teléfono Casa: XXXXXXX
Miembros del Comité Nombre: Arturo Cañas
Posición: Director Fábrica
Nombre: Luis Jiménez
Posición: Director Informática
Nombre: Marta Álvarez
Posición: Directora de RRHH
Lugar de Reunión: Casa del Director General sita en calle Carmelo 25 de
Valencia.
Una vez que se comunica un incidente, el Comité de Crisis debe reunirse y tomar
decisiones para afrontar la situación. Deben estar continuamente informados de

Caso de Estudio
58
la situación y determinar si es necesario iniciar el Plan de Continuidad. En este
caso, se comunicará a los responsables de los equipos del comienzo de las
actividades que llevarán a restablecer los servicios en el centro de Albacete.
EQUIPO DE RECUPERACIÓN
El equipo de recuperación es el encargado de poner en marcha todo el proceso
de recuperación para restaurar los servicios en el Centro de Albacete. Para ello
realizarán las siguientes actividades:
o Se trasladarán en coche desde Valencia al Centro de Albacete.
o Pondrán en marcha por orden de criticidad los sistemas: Pedidos,
Facturación, Correo, Nóminas, etc.
o Para la puesta en marcha de los sistemas, se tomará la última copia de
seguridad de los sistemas que semanalmente se manda desde el Centro
de Valencia a Albacete.
o En primera instancia se reutilizarán los equipos del centro de Albacete
para iniciar los servicios. Se contactará con la persona responsable de
logística para que solicite a los proveedores todos los equipos necesarios
en los plazos acordados (durante el desarrollo del plan), sirvan todo el
material necesario (servidores, PC’s, impresoras, etc.) y que no se ha
podido salvar del Centro de Valencia.
o Una vez que se vayan restaurando los servicios, debe comprobarse su
operatividad.
Punto de Reunión: Centro de Trabajo de Valencia. Si no es posible reunirse en
el Centro de Valencia porque los daños sean cuantiosos, se tomará como punto
de reunión el polideportivo “Deporte y Salud”, situado a 500 metros del centro
de trabajo y con quienes se ha firmado un acuerdo de colaboración.

Caso de Estudio
59
Listado de Integrantes del Equipo de Recuperación
Integrantes del Equipo Nombre: Federico Alonso
Posición: Responsable de Sistemas
Nombre: Alba González
Posición: Técnico Informático
Nombre: Alberto Pérez
Posición: Técnico Informático
EQUIPO DE COORDINACIÓN LOGÍSTICA
El equipo de coordinación logística es responsable de todo lo relacionado con las
necesidades logísticas. En función del tipo de incidente se encargará de:
o Atender las necesidades logísticas de primera instancia tras la
contingencia. (Transporte de personas, transporte de materiales, etc.)
o Contactar con los proveedores para solicitar el material necesario que
indiquen los responsables de la recuperación.
o Reservar habitaciones de hotel en Albacete para las personas que se
desplacen a este Centro.
o Gestionar el suministro de comida al personal involucrado.
Listado de Proveedores

Caso de Estudio
60
DELL Persona de Contacto: Ángel Núñez
Teléfono Contacto: xxxxxx
HP Persona de Contacto: Felipe Méndez
Teléfono Contacto: xxxxxxx
FUJIJTSU Persona de Contacto: Laura Pérez
Teléfono Contacto: xxxxxx
Listado de Integrantes del Equipo de Coordinación Logística
Integrantes del Equipo Nombre: Daniela Gómez
Posición: Técnico de RRHH
Nombre: David López
Posición: Administrativo
EQUIPO DE RELACIONES PÚBLICAS
El equipo de Relaciones Públicas es responsable de “ser la voz” de la empresa en
el contexto de la contingencia. Las tareas a realizar serán:
o Si el tipo de incidente lo requiere, emitir un comunicado oficial a clientes y
proveedores en el que se indique que se restablecerán los servicios lo
antes posible.
o Atender a los clientes para proporcionarles información sobre el incidente
y tranquilizarles lo máximo posible.

Caso de Estudio
61
Listado de Integrantes del Equipo de Relaciones Públicas
Integrantes del Equipo Nombre: Juan Carlos Bono
Posición: Técnico Comercial
Nombre: Ángela Cano
Posición: Atención al Cliente
EQUIPO DE LAS UNIDADES DE NEGOCIO
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas.
Integrantes del Equipo Nombre: Inés Burgos
Posición: Responsable Pedidos
Nombre: Ángela Cano
Posición: Atención al Cliente
Nombre: Marta Álvarez
Posición: RRHH
…..

Caso de Estudio
62
FASE DE ALERTA
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE
Cualquier empleado de Zapasol S.A. que sea consciente de un incidente grave
que pueda afectar a la empresa, debe comunicarlo al Jefe de Seguridad de la
Planta proporcionando el mayor detalle posible en la descripción de los hechos.
El Jefe de Seguridad debe evaluar la situación e informar al Responsable del
Comité de Crisis, que en este caso coincide con la figura del Director General.
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN
El Comité de Crisis reunido en el punto de encuentro evaluará la situación. Con
toda la información de detalle sobre el incidente, se decidirá si se activa o no el
Plan de Continuidad de Negocio. En caso afirmativo, se iniciará el procedimiento
de ejecución del Plan.
En el caso de que el Comité decidida no activar el Plan de Continuidad porque la
gravedad del incidente no lo requiere, sí será necesario gestionar el incidente
para que no aumente su gravedad.
PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN
Activar el árbol de llamadas para avisar a los integrantes de los diferentes
equipos que van a participar en el Plan.

Caso de Estudio
Comité de Crisis
Equipo de
Recuperación
Equipo de
Coordinación
Logística
Equipo de
Relaciones
Públicas
Equipo de
Unidades de
Negocio
63

Caso de Estudio
64
FASE DE TRANSICIÓN
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y
PERSONAS
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión indicado. Además del traslado de personas al Centro de
Albacete hay que trasladar todo el material necesario para poner en marcha el
centro de recuperación (cintas de backup, material de oficina, documentación,
...). Esta labor queda en manos del equipo logístico.
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN
Una vez que el equipo de recuperación llegue al Centro de Albacete y que los
materiales empiecen a llegar, pueden comenzar a instalar las aplicaciones en los
equipos que se encuentran en esta oficina.
El equipo de recuperación solicitará al equipo de logística cualquier tipo de
material extra que fuera necesario para la recuperación.

Caso de Estudio
FASE DE RECUPERACIÓN
PROCEDIMIENTO DE RESTAURACIÓN
El orden de recuperación de las funciones se realizará según la criticidad los
sistemas: Pedidos, Facturación, Correo, Nóminas.
Los dos primeros sistemas deben recuperarse lo antes posible, en las 48 horas
siguientes. Los demás sistemas pueden esperar a recuperarse después de
Pedidos y Facturación.
Nota: En este apartado deberá indicarse el procedimiento concreto de
recuperación de cada uno de los sistemas.
PROCEDIMIENTO DE SOPORTE Y GESTIÓN
Una vez recuperados los sistemas, se avisará a los equipos de los departamentos
que gestionan los sistemas (listado del equipo de Unidades de Negocio) para que
realicen las comprobaciones necesarias que certifiquen que funcionen de manera
correcta y pueda continuarse dando el servicio.
Además el Equipo de Seguridad deberá comprobar que existen las garantías de
seguridad necesarias (confidencialidad, integridad, disponibilidad) antes de dar
por terminada la fase de recuperación.
Equipo de
Recuperación
Equipo de
Unidades de
Negocio
Comité de Crisis
65

Caso de Estudio
66
FASE DE VUELTA A LA NORMALIDAD
Una vez con los procesos críticos en marcha y solventada la contingencia, hay
que plantearse las diferentes estrategias y acciones para recuperar la normalidad
total de funcionamiento.
ANÁLISIS DEL IMPACTO
Es el momento de realizar una valoración detallada de los equipos e instalaciones
dañadas para definir la estrategia de vuelta a la normalidad. Para ello, el equipo
de recuperación junto con el equipo de seguridad, realizarán un listado de los
elementos que han sido dañados gravemente y son irrecuperables, así como de
todo el material que se puede volver a utilizar. Esta evaluación deberá ser
comunicada lo antes posible al equipo director para que determinen las acciones
necesarias que lleven a la operación habitual lo antes posible.
ADQUISICIÓN DE NUEVO MATERIAL
Una vez realizada la evaluación del impacto, se determinará la necesidad de
nuevo material. El Comité de Crisis contactará con el seguro de la compañía para
conocer qué parte cubre el seguro (dependiendo del tipo de póliza contratada por
Zapasol S.A.) y qué inversión tendrá que hacer la compañía en el material que
no se pueda recuperar.
Contactar con los proveedores para que en el menor tiempo posible repongan
todos los elementos dañados.
FIN DE LA CONTINGENCIA
Dependiendo de la gravedad del incidente, la vuelta a la normalidad de operación
puede variar entre unos días (si no hay elementos clave afectados) e incluso
meses (si hay elementos clave afectados). Lo importante es que durante el
transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a los
clientes y trabajadores por parte de la compañía y que la incidencia afecte lo
menos posible al negocio.

Caso de Estudio
67
CONCLUSIONES
La diferencia para Zapasol S.A. entre tener y no tener un Plan de Continuidad,
puede suponer que la compañía pueda desaparecer en caso de un incidente
grave que perjudique sus principales procesos. Por ello, como parte de la gestión
de seguridad, Zapasol S.A. ha considerado como prioritario desarrollar un Plan
de Continuidad para estar preparados ante cualquier incidente.

Bibliografía
BIBLIOGRAFÍA
• “Good Practice Guidelines” – The Business Continuity Institute
http://www.thebci.org/
• http://www.contingencyplanning.com/
• http://www.globalcontinuity.com/
• http://www.nfpa.org
• Revista de Seguridad SIC
• Norma Internacional ISO/IEC 17799:2002
• NIST - http://www.nist.org/ -SP 800-30 “Risk Management Guide for IT
Systems”
• Metodología de Análisis de Riesgos OCTAVE - www.cert.org/octave/
• Metodología de Análisis de Riesgos MAGERIT-
www.csi.map.es/csi/pdf/magerit.pdf
• Business Continuity Plan (BCP) Format Guide - Centers for Disease Control
and Prevention
• http://www.disaster-recovery-guide.com/
• http://www.businesscontinuityjournal.com
• http://www.ccep.ca/
• http://www.businesscontingency.com/
• http://www.contingency-planning-disaster-recovery-guide.co.uk/
• http://www.drii.org/
• http://www.gartner.com/
• BS 25999 - 'Specification for Business Continuity Management'
68

Guia desarrolloplancontinuidadnegocio

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Guia desarrolloplancontinuidadnegocio

Similaire à Guia desarrolloplancontinuidadnegocio (20)

Plus de Leonardo Lenin Banegas Barahona

Plus de Leonardo Lenin Banegas Barahona (20)

Dernier

Dernier (20)

Guia desarrolloplancontinuidadnegocio