Parte 2.desbloqueado

INSTITUTO POLITCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA

UNIDAD PROFESIONAL ADOLFO LPEZ MATEOS SECCIN DE ESTUDIOS DE POSGRADO E INVESTIGACIN PROGRAMA DE POSGRADO EN INGENIERA DE SISTEMAS
MAESTRA EN CIENCIAS EN INGENIERA DE SISTEMAS
METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGAS DE LA INFORMACIN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA
T
Q U E
E
P A R A
S
O B T E N E R E L
I
G R A D O D E
MAESTRO EN CIENCIAS EN INGENIERA DE SISTEMAS

P R E S E N T A:
ING. ISRAEL FRANCISCO MONTOYA FIERROS
DIRECTOR DE TESIS:
M. en C. LEOPOLDO ALBERTO GALINDO SORIA
DICIEMBRE 2010
METODOLOGA PARA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGAS DE LA INFORMACIN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA.
Agradecimientos
A Dios: Por el apoyo en tiempo y recursos.
A mi Esposa e Hijo: Por el apoyo moral. A la Empresa: Por el apoyo econmico. Al M. en C. Leopoldo Galindo: Por el apoyo intelectual.
Ing.IsraelFranciscoMontoyaFierros
Diciembre2010
Resumen
METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGAS DE LA INFORMACIN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA.
RESUMEN
El presente documento resume el trabajo realizado y logros obtenidos en materia de Continuidad y Recuperacin ante Desastres; esta visin de continuidad operacional se refleja en el diseo de procesos, la eleccin e implementacin de recursos de infraestructura, elementos tecnolgicos y de servicios, con nfasis en la redundancia y la tolerancia a fallas, as como en la seleccin, entrenamiento y evaluacin del personal. Una amenaza nunca va a desaparecer, siempre estar presente en todos los procesos de una organizacin. Por lo anterior, buscando un mejoramiento permanente en los estndares de respuesta y continuidad, se ha esforzado en perfeccionar y formalizar un mtodo que proporcione una secuencia definida de pasos para elaborar de manera sistemtica un plan para la continuidad y recuperacin ante desastres en los Sistemas de Tecnologas de la Informacin y Comunicaciones aplicado a la Industria de la Manufactura, tomando como base los Marcos de Referencia de las Normas BS 25999, ISO/IEC 24762 y la metodologa DRII sobre Continuidad del Negocio, logrando la siguiente metodologa: Fase 1: Conocer y planificar el medio ambiente organizacional; Fase 2: Analizar, evaluar y diagnosticar riesgos y su impacto al negocio; Fase 3 Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres; Fase 4: Capacitar, probar y ejercitar; Fase 5: Auditora, mantenimiento y actualizacin. La metodologa objeto de estudio de ste trabajo es el artefacto inicial con el que toda empresa debera contar sin importar las iniciativas de negocio que tenga previsto lanzar (arquitecturas empresariales, rediseo de procesos, arquitectura orientada a servicios, automatizacin y mejora de procesos de negocio), permite que la organizacin est preparada ante una interrupcin de su negocio, por medio de la definicin y documentacin de procedimientos y estrategias de recuperacin.
Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de TICs en la Industria de la Manufactura.
Resumen
METHODOLOGY FOR THE CREATION OF A PLAN FOR THE CONTINUITY AND RECOVERY BEFORE DISASTERS IN THE TECHNOLOGY SYSTEMS OF THE INFORMATION AND TELECOMMUNICATIONS IN INDUSTRY OF THE MANUFACTURE.
ABSTRACT
The present document summarizes the accomplished work and achievements obtained in Continuity and Recovery matter before Disasters, this operational continuity vision is reflected in the processes design, the election and implementation of infrastructure resources, technological elements and of services, with emphasis in the redundancy and the tolerance to defects, as well as in the selection, training and evaluation of the personal. A threat never is going to disappear, always will be present in all the processes of an organization. For the foregoing, seeking a permanent improvement in response and continuity standards, it has been strengthened in perfecting and formalizing a method that provide a defined steps sequence to elaborate of systematical way a plan for the continuity and recovery before disasters in the Technology Systems of the Information and Communications applied to Industry of the Manufacture, taking as base the Reference Framework of the norms BS 25999, ISO/IEC 24762 and the methodology DRII on continuity of the business, achieving the following methodology: Phase 1: Knowledge of the environment of the organization and Planning of the project; Phase 2: Analysis and risks evaluation and your impact to the business; Phase 3: Development of continuity plan and strategies; Phase 4: Training, test and exercise; Phase 5: Audit, maintenance and update. The methodology object of study of this work is the initial appliance with all the one which company would have to count without importing the business initiatives that has anticipated to launch ( entrepreneurial architectures, I redesign of processes, architecture guided to services, automation and improvement of business processes), permits that the organization be prepared before an interruption of their business, by means of the definition and procedures and strategies documentation of recovery.
ndice
NDICE ndice de Tablas y Figuras Glosario de Trminos Introduccin 0.1 0.2 0.3 Presentacin del Proyecto de Tesis. Marco metodolgico para el desarrollo del Proyecto de Tesis. Presentacin del Documento del Proyecto de Tesis. Marco Conceptual y Contextual. 1 1 2 6 6 6 7 8 9 9 xii xiii xiv iv viii
Captulo 1.1.1
1.2
Marco Conceptual. 1.1.1 Elaboracin de la Pirmide Conceptual. 1.1.2 Descripcin de los trminos de la Pirmide Conceptual. Marco Contextual. 1.2.1 Descripcin del Medio Ambiente Temporal. 1.2.1.1 Evolucin de las TIC en la Industria de la Manufactura. 1.2.1.2 Evolucin de los conceptos de Continuidad de Negocio. 1.2.2 Descripcin del Medio Ambiente Fsico. 1.2.2.1 El imperativo: asegurar la continuidad de negocio. 1.2.2.2 Estrategias y planes para la continuidad de negocio. Anlisis, Evaluacin y Diagnstico de la Situacin Actual.
Captulo 2.2.1 2.2 2.3 2.4
Introduccin. Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres de TI Justificacin del Proyecto de Tesis. Definicin de los Objetivos del Proyecto de Tesis. 2.4.1 Objetivo General. 2.4.2 Objetivos Particulares. Metodologa Propuesta.
13 14 22 22 22 23
Captulo 3.3.1 3.2
Introduccin. Metodologa propuesta. Marco metodolgico integral para el desarrollo de la metodologa propuesta Fase 1 Conocer y planificar el medio ambiente organizacional. Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. Fase 3 Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres. Fase 4 Capacitar, probar y ejercitar. Fase 5 Auditora, mantenimiento y actualizacin.
24 25 28 31 35 42 48 51
ndice
Captulo 4.- Aplicacin de la Metodologa. Caso de Estudio: Empresa de Manufactura de Empaques de Cartn. 4.1 4.2 Introduccin. Desarrollo de la metodologa propuesta. Fase 1 Conocer y planificar el medio ambiente organizacional. Actividad 1.1 Conocer el medio ambiente general. Actividad 1.2 Identificar la estructura organizacional de la empresa. Actividad 1.3 Definir la Arquitectura de Macroprocesos. Actividad 1.4 Definir equipos de planificacin y sus responsabilidades. Actividad 1.5 Definicin de objetivos, alcance y escenarios del problema. Actividad 1.6 Concientizacin y aprobacin por parte de los directivos. Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. Actividad 2.1 Identificacin de las funciones, servicios y recursos crticos del rea. Actividad 2.2 Anlisis, Evaluacin y Diagnstico de riesgos. Actividad 2.3 Control de riesgos. Actividad 2.4 Anlisis de Impacto al Negocio. Actividad 2.5 Evaluacin y Diagnstico del Anlisis de Impacto del Negocio. 55 56 56 56 58 60 62 65 66 67 67 71 74 76 84
Fase 3
Desarrollar el plan de continuidad y estrategias de recuperacin ante 85 desastres. Actividad 3.1 Disear las estrategias de continuidad de la organizacin. 85 Actividad 3.2 Presentar el anlisis costo/beneficio de las estrategias de 92 continuidad. Actividad 3.3 Negociacin y firma de contratos con los proveedores de 97 servicios. Actividad 3.4 Adquisicin de la infraestructura de TICs. 98 Actividad 3.5 Preparacin del sitio alterno. 101 Actividad 3.6 Definir los procedimientos de recuperacin. 104 Capacitar, probar y ejercitar 112 Actividad 4.1 Definir objetivos de entrenamiento. 112 Actividad 4.2 Desarrollar e implementar varios tipos de programas de 113 entrenamiento. Actividad 4.3 Identificar otras oportunidades de educacin. 114 Actividad 4.4 Descripcin de las pruebas. 115 Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. 116 Actividad 4.6 Ejercitacin de las pruebas. 117
Fase 4
ii
ndice
Fase 5
Auditora, Mantenimiento y Actualizacin. Actividad 5.1 Auditoria al Plan de Continuidad. Actividad 5.2 Mantenimiento al Plan de Continuidad. Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. Actividad 5.4 Mecanismo de actualizacin del Plan de Continuidad. Actividad 5.5 Mecanismo de distribucin del Plan de Continuidad.
119 119 131 132 133 134
Captulo 5.- Resultados Obtenidos, Valoracin de Objetivos, Trabajos Futuros y Conclusiones del Proyecto de Tesis. 5.1 5.2 Valoracin de los resultados obtenidos. Valoracin de Objetivos. 5.1.1 Valoracin del Objetivo General 5.1.2 Valoracin de los Objetivos Particulares Trabajos Futuros. Conclusiones del Proyecto de Tesis. 135 136 136 136 138 139 142 144
5.3 5.4
Bibliografa. Referencias a Internet. Anexos. Anexo A. Anexo B.
A.1 B.1
iii
ndice
NDICE DE TABLAS Y FIGURAS Introduccin Cuadro 0.1 Figura 0.1 Captulo 1.Figura 1.1 Figura 1.2 Cuadro 1.1 Figura 1.3 Marco metodolgico integral para el desarrollo del proyecto de tesis. Estructura del documento del proyecto de tesis. Marco Contextual y Conceptual. Pirmide Conceptual adaptada de [Galindo, 2005]. Evolucin de los Conceptos de Continuidad. Criterios de la seguridad de la informacin. Modelo cclico dinmico de un Plan de Continuidad en un Modelo de Negocio. Anlisis, Evaluacin y Diagnstico de la Situacin Actual. Relacin de los procesos de negocio con los Sistemas de Informacin. Convergencia de estndares y mejores prcticas. Estndares internacionales, buenas prcticas y metodologas en general para el desarrollo del documento de lineamientos de Continuidad del Negocio. Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con los elementos necesarios para una infraestructura de TI segura. Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del Gobierno de TI. Estndares internacionales, buenas prcticas y metodologas orientadas, para realizar el documento de lineamientos de Continuidad del Negocio propuesto. Metodologa Propuesta. Mapa de ruta de la metodologa propuesta. Descripcin de la metodologa propuesta. Marco metodolgico integral para el desarrollo de la metodologa propuesta. Diagrama de flujo (relaciones) entre procesos de negocio. Equipos de trabajo para respuesta a incidentes Tiempos y puntos objetivos de recuperacin. Probabilidad de ocurrencia de un riesgo. Impacto potencial de un riesgo. Matriz de nivel de riesgo. Evaluacin y diagnstico del anlisis de impacto al negocio. Disponibilidad de los servicios. 25 27 28 32 33 35 37 37 37 38 45 14 15 16 1 8 11 11 ix X
Captulo 2.Figura 2.1 Figura 2.2 Figura 2.3
Cuadro 2.1
17
Cuadro 2.2
19
Figura 2.4
21
Captulo 3.Figura 3.1 Figura 3.2 Cuadro 3.1 Figura 3.3 Figura 3.4 Figura 3.5 Cuadro 3.2 Cuadro 3.3 Cuadro 3.4 Figura 3.6 Cuadro 3.5
iv
ndice
Captulo 4.- Aplicacin de la Metodologa, Caso de Estudio: Empresa de Manufactura de Empaques de Cartn. Figura 4.1 Figura 4.2 Figura 4.3 Figura 4.4 Figura 4.5 Figura 4.6 Cuadro 4.1 Cuadro 4.2 Cuadro 4.3 Cuadro 4.4 Cuadro 4.5a Cuadro 4.5b Cuadro 4.5c Cuadro 4.6 Cuadro 4.7a Cuadro 4.7b Cuadro 4.8 Cuadro 4.9 Cuadro 4.10 Cuadro 4.11 Cuadro 4.12 Cuadro 4.13 Cuadro 4.14 Cuadro 4.15 Cuadro 4.16 Figura 4.7a Figura 4.7b Figura 4.7c Cuadro 4.17 Diagrama tipo mapa mental de la Organizacin. Organigrama general de la empresa objeto de estudio. Organigrama del rea funcional de apoyo TI, de la empresa objeto de estudio. Macro procesos de la empresa objeto de estudio. Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la empresa objeto de estudio. Equipos de trabajo para respuesta a incidentes. Funciones de los equipos de respuesta a incidentes. Definicin de objetivos, alcance y escenarios de los equipos de respuesta a incidentes. Tabla de solucin integral para el desarrollo de la metodologa propuesta. Identificacin de las funciones, servicios y recursos crticos por rea. Probabilidad de Ocurrencia de un riesgo. Impacto potencial de un riesgo. Matriz de nivel de riesgo. Anlisis y evaluacin de la probabilidad ocurrencia y el impacto potencial de un riesgo. Diagnstico del nivel de riesgo. Nivel de riesgos. Estrategias a implementar, para reanudar los procesos en condiciones mnimas de operacin. Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones, servicios y recursos crticos por rea. Anlisis de impacto al negocio. Cruz de informacin Sistemas vs Funciones. Cruz de informacin Sistemas vs Sistemas. Prioridad y nivel de riesgo de los Sistemas de Informacin Basados en Computadora. Matriz de prioridad y nivel riesgo para la recuperacin de los Sistemas de Informacin. Evaluacin y diagnstico del anlisis de impacto al negocio. Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio. Arquitectura del Sistema ERP de la empresa objeto de estudio. Arquitectura del Centro de Procesamiento de Datos CPD, de la empresa objeto de estudio. Arquitectura del Sistema de Telecomunicaciones de la empresa objeto de estudio. Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ. 57 58 59 60 61 62 63 65 66 67 71 71 71 72 73 73 74 76 80 81 82 83 83 84 85 87 87 88 89
ndice
Figura 4.8 Cuadro 4.18a Cuadro 4.18b Cuadro 4.18c Cuadro 4.19 Cuadro 4.20 Cuadro 4.21 Cuadro 4.22 Cuadro 4.23a Cuadro 4.23b Cuadro 4.24 Cuadro 4.25 Cuadro 4.26 Figura 4.9 Cuadro 4.27 Cuadro 4.28 Cuadro 4.29 Cuadro 4.30 Cuadro 4.31 Cuadro 4.32 Cuadro 4.33 Cuadro 4.34 Cuadro 4.35 Cuadro 4.36 Cuadro 4.37 Cuadro 4.38 Cuadro 4.39 Cuadro 4.40 Cuadro 4.41
Arquitectura del Centro de Procesamiento de Datos CPD, propuesta. Compra de Hardware requerido para la estrategia de continuidad propuesta. Arrendamiento de Hardware requerido para la estrategia de continuidad propuesta. Arrendamiento Software requerido para la estrategia de continuidad propuesta y CPD alterno. Cursos de capacitacin requeridos para la estrategia de continuidad propuesta. Beneficios estimados de la estrategia de continuidad propuesta. Parmetros para el anlisis de rentabilidad (TMAR), de la estrategia de continuidad propuesta. Resumen de resultados del anlisis de sensibilidad, de la estrategia de continuidad propuesta. Anlisis de rentabilidad a tasa del 8%, de la estrategia de continuidad propuesta. Anlisis de rentabilidad a tasa del 10%, de la estrategia de continuidad propuesta. Contrato de prestacin de servicios informticos para el proveedor del CPD externo. Parmetros a considerar en la seleccin y adquisicin de hardware y software del CPD. Contrato para la adquisicin de la infraestructura de TI. Diagrama de flujo de respuesta a emergencia y restauracin. Procedimientos de respuesta a emergencias y restauracin para el salvamento de los servicios crticos. Interrupcin importante de la produccin: Desastres Naturales. Relaciones con empleados: Desastres Humanos. Avera del Centro de Procesamiento de Datos CPD: Desastres Tecnolgicos. Plan de adiestramiento, pruebas y ejercitacin del plan de continuidad. Identificar oportunidades de educacin. Descripcin de las pruebas. Recomendaciones para la planificacin de los escenarios de prueba y su periodicidad. Control de pruebas y aprobacin del documento. Gua para el desarrollo del ejercicio del plan de continuidad. Metodologa para realizar una auditora de Sistemas de Informacin. Programa de auditora para realizar la revisin del control interno y operaciones en el CPD. ndice de las marcas de Auditora. Revisin del control utilizado para el ingreso de personal externo al Centro de Procesamiento de Datos Revisin de las claves utilizadas para el acceso al centro de procesamiento de informacin.
90 92 92 93 93 94 95 95 96 96 97 98 100 104 105 106 108 110 113 114 115 116 117 118 119 121 123 123 124
vi
ndice
Cuadro 4.42 Cuadro 4.43 Cuadro 4.44 Cuadro 4.45 Cuadro 4.46 Cuadro 4.47 Cuadro 4.48 Cuadro 4.49 Cuadro 4.50 Cuadro 4.51 Cuadro 4.52
Inventario de Hardware y Software, ubicados en el Centro de Procesamiento de Datos. Verificacin del inventario de cintas de respaldo (revisin selectiva). Revisin de la seguridad fsica de las instalaciones del Centro de Procesamiento de Datos. Verificacin de los contratos de mantenimiento del Centro de Procesamiento de Datos. Verificacin de los contratos de seguros. Verificacin del plan de continuidad del negocio. Verificacin del plan de continuidad del negocio. Formulario de mantenimiento al Plan de Continuidad Formulario de almacenamiento del Plan de Continuidad. Historial de revisiones del Plan de Continuidad. Mecanismo de Distribucin del Plan de Continuidad.
124 125 125 126 126 127 128 131 132 133 134
vii
ndice
GLOSARIO DE TRMINOS Trmino Informacin. Computacin. Descripcin Conjunto de datos que estn organizados y que tienen un significado. Es una ciencia, en particular una rama de la matemtica, que centra su inters en el estudio y definicin formal de los cmputos. Se le llama cmputo a la obtencin de una solucin o resultado, a partir de ciertos datos o entradas utilizando para ello un proceso o algoritmo. Son aquellas que abarcan el estudio de las bases tericas de la informacin y la computacin y su aplicacin en sistemas computacionales. Es un conjunto de dispositivos electrnicos (Hardware), capaz de procesar informacin, de acuerdo con un programa (Software). Es la ciencia aplicada que abarca el estudio y aplicacin del tratamiento automtico de la informacin utilizando dispositivos electrnicos y sistemas computacionales. Conforme a ello, los sistemas informticos deben realizar las siguientes tres tareas bsicas:

Ciencias de la Computacin.
Sistemas Computacionales. Informtica.
Entrada: Captacin de la informacin digital. Proceso: Tratamiento de la informacin. Salida: Transmisin de resultados binarios.
Sistema de Informacin Informtico.
Es un conjunto de partes interrelacionadas, ordenadas y capaces de interconectarse: hardware, software y de Recurso Humano (humanware), que emplea computadoras como dispositivos programables para capturar, almacenar y procesar datos. Los Objetivos, Metas y estrategias, informticas anuales relacionadas con: los Sistemas de Informacin Informticos y Estructuras de la Organizacin. Los Objetivos, Metas y estrategias, informticas de mediano y largo plazo, relacionadas con: los Sistemas de Informacin Informticos y Estructuras de la Organizacin. Son los lineamientos tcnicos, que la empresa requiere para determinar los recursos informticos que permitir soportar y operar la Estrategia Institucional de Sistemas de Informacin Informticos.
Programa Informtico.
Plan Informtico.
Estrategia Tecnolgica
viii
ndice
Trmino Estrategia Institucional de Sistemas de Informacin Informticos
Descripcin Conjunto Integrado de Sistemas de informacin Informticos, que pretende desarrollar, operar y explotar la empresa, para el corto y mediano plazo, y mediante los cuales estima satisfacer sus necesidades globales de informacin para controlar y coordinar las actividades operativas y administrativas fundamentales de la Organizacin. Son aquellas herramientas computacionales, informticas y servicios de apoyo que procesan, almacenan, sintetizan, recuperan y presentan informacin representada en diversos mbitos de la administracin, las finanzas, la produccin y la automatizacin de operaciones en los diferentes niveles de funcionamiento de una organizacin, a travs de un conjunto de herramientas, soportes y canales para el tratamiento y acceso a la informacin. Consiste en la capacidad para controlar la formulacin y la implementacin de la estrategia de TICs a fin de alcanzar ventajas competitivas para la organizacin en su conjunto. Permite la creacin de sistemas altamente escalables que reflejan el negocio de la organizacin, y a su vez brinda una forma bien definida de exposicin e invocacin de servicios, lo cual facilita la interaccin entre diferentes Sistemas de Informacin Informticos propios o de terceros. Soluciones de respaldo que tienen como objeto resolver contingencias leves que no precisen el desplazamiento fuera de los locales donde estn ubicados los elementos informticos afectados. Tiene como objeto resolver contingencias graves (desaparicin del edificio, desaparicin del Centro de Procesamiento de Datos, etc), que precisan el desplazamiento a ubicaciones diferentes a la habitual (Centro Alternativo de Respaldo). Proporciona procedimientos para mantener en funcionamiento en un sitio alterno las funciones esenciales estratgicas de la organizacin. Proporciona los procedimientos para recobrar la operacin del negocio, inmediatamente despus de la ocurrencia de un desastre.
Tecnologas de la Informacin y Comunicaciones TICs / TI
Gobernabilidad de TI
Arquitectura Orienta a Servicios (por sus siglas en ingls, SOA)
Respaldo Interno
Respaldo Externo
Recuperacin de los Servicios del Negocio Plan de Recuperacin del Negocio
ix
ndice
Trmino Evaluacin del Riesgo
Descripcin Metodologa orientada a determinar la vulnerabilidad de la Organizacin. Con base en los diversos riesgos encontrados, se les asigna un valor especfico, segn la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo. A travs de esta metodologa se hace un anlisis de todos los procesos y aplicaciones dentro de la Empresa a travs de un cuestionario que se aplica en diversos niveles. Como resultado se llega a determinar el portafolio de procesos y aplicaciones crticas, as como los Requerimientos Mnimos y las caractersticas de cada uno de ellos. El impacto y la probabilidad de que una amenaza pueda afectar adversamente la capacidad de una organizacin para lograr sus estrategias y objetivos de negocio. Cualquier suceso que interrumpa el normal funcionamiento de la organizacin por un periodo de tiempo lo suficientemente largo como para que su impacto resulte grave. Cualquier EVENTO MAYOR que afecte el funcionamiento normal de las operaciones de un negocio. Estos pueden ser Naturales, Humanos y Tcnico.
Anlisis de Impacto al Negocio (por sus siglas en ingls, BIA)
Riesgo
Contingencia
Desastre
Tiempo Objetivo de El tiempo entre el punto de interrupcin, y el punto en el cul los Recuperacin (por sus sistemas sensibles en el tiempo deben estar funcionando nuevamente, siglas en ingls, RTO) con los datos actualizados. Punto Objetivo de El punto en el cul fueron interrumpidas las actividades del sistema Recuperacin (por sus debido a la ocurrencia de un determinado evento. siglas en ingls, RPO) Cold Site Centro de Procesamiento de Datos con Infraestructura bsica, tarda varios das en operar. Centro de Procesamiento de Datos Parcialmente configurado, tarda menos de un da en operar. Centro de Procesamiento de Datos Listo para operar en pocas horas. Solicitud de Propuestas/Solicitud de Calificaciones. Calidad en el Servicio Quality of Service.
Hot Site
Warm Site RFP/RFQ QoS
ndice
Trmino High Availability
Descripcin Alta Disponibilidad: Implementacin de controles preventivos, detectivos y correctivos para procurar la disponibilidad contina de los sistemas crticos de la organizacin. Tolerancia a fallas: Un sistema fault-tolerant puede continuar brindado servicios a pesar de fallas de software o hardware. Balanceo de cargas: Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeo (performance) SPFs: Redundancia en los Puntos Probables de Falla. Cada de los Sistemas de TICs
Fault Tolerance
Load Balancing
Single Point of Failure Downtime
xi
Introduccin y Presentacin al Proyecto de Tesis
INTRODUCCIN
0.1 PRESENTACIN DEL PROYECTO DE TESIS Las Tecnologas de Informacin y Comunicaciones (TICs) han reemplazado los dos elementos bsicos que sustentaron la economa durante los ltimos dos siglos: el obrero y el capital han sido suplantados por la Informacin y el Conocimiento. No cabe duda que la sociedad post-industrial ha dado paso a la sociedad de la Informacin en la que los avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red la Informacin, los procesos y los conocimientos han afectado profundamente las tradicionales formas de produccin. Las tecnologas de informacin representan oportunidades y amenazas importantes, por lo que es recomendable que se tomen en cuenta al formularse las estrategias del negocio. Los adelantos tecnolgicos afectan en forma drstica los productos, servicios, mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura, prcticas de mercadotecnia y la posicin competitiva de las empresas. Las propuestas para evitar interrupciones y asegurar una reduccin razonable del riesgo han sido numerosas. Los instrumentos empleados han dejado de lado la fuerte carga tecnolgica para enfrentarse con las demandas operativas de las Organizaciones, asumen nuevos principios: se alinean con los objetivos de la organizacin integrndose directamente en la empresa y conformando procesos en constante evolucin, se ajustan al dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo. La Metodologa propuesta hace frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organizacin, desde la perspectiva: para eliminar las amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo fsico (appliances, firewalls,), y de entorno (controles de acceso,), minimiza los efectos implantando sistemas redundantes y transfiere los riesgos residuales a una compaa de seguros que asume dicho riesgo.
xii
0.2 MARCO METODOLGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS El siguiente cuadro muestra el marco metodolgico (Basado en [Galindo, 2008]), el cual describe una serie de actividades a emplear, sus correspondientes tcnicas, herramientas y productos a obtener para el desarrollo del proyecto de tesis:
Cuadro 0.1 Marco metodolgico integral para el desarrollo del proyecto de tesis (Elaboracin propia, basado en [Galindo, 2008]).
MARCO METODOLGICO
ACTIVIDADES (Qu hacer?)
1. Definir el tema.
TCNICAS (Cmo hacerlo?)

-Observacin -Investigacin -Investigacin. -Recopilacin bibliogrfica.
HERRAMIENTAS (Con qu hacerlo?)

-Mtodo cientfico -Libros -Revistas -Peridicos -Internet. -Procesador de palabras. -Libros del tema -Diccionarios -Enciclopedias -Pirmide Conceptual. -Procesador de palabras.
METAS (Qu obtener en particular?)

Especificar la oportunidad problemtica que se puede considerar como tema de estudio. Identificar y aislar la problemtica oportunidad para obtener una visin sistmica del tema de estudio. Definir las actividades que se tienen que hacer para realizar el proyecto de tesis. Delimitar los conceptos y describir los trminos generales empleados en el proyecto de tesis. Obtener un anlisis de las ventajas y desventajas de la metodologa propuesta y modelos existentes en el mercado. A partir del anlisis, hacer una justificacin lgica que defienda el estudio del proyecto en cuestin. Definir los alcances o resultados a obtener. Obtener un conjunto de actividades que conformen la metodologa a desarrollar. Concebir un modelo a seguir con el conjunto de actividades definidas anteriormente. Adquirir una aplicacin en el mundo real, del uso del modelo. Obtener un documento escrito del proyecto de tesis. Conseguir el grado de Maestro en ciencias en ingeniera de sistemas.
2.
Recopilar informacin del tema. Desarrollar el marco metodolgico.
3.
-Definicin del marco metodolgico. -Observacin -Investigacin. -Recopilacin bibliogrfica. -Definicin del marco Conceptual
4.
Definir el marco conceptual.
5.
Identificar y analizar la situacin actual. Definir la justificacin. Definir Objetivo general y especficos.
-Definir una visin global del tema en cuestin a tratar. -Conocer conceptos bsicos para la definicin de Objetivos. - Elaborar tabla de ventajas y desventajas.
-Libros, -Revistas -Internet. -Procesador de palabras.
6.
Desarrollar la metodologa. Construccin de un modelo. Implementar en forma real el modelo. Redactar el documento de tesis.
-Investigacin. -Analizar, Identificar y definir la metodologa de desarrollo. -Definir las partes que conformaran el modelo a seguir. -Aplicar modelo en una empresa. -Conocer la metodologa para el desarrollo y redaccin de un proyecto de tesis de maestra -Investigar los lineamientos institucionales de SEPI-ESIME para presentar el examen de grado.
-Libros -revistas -Internet -peridicos -Procesador de palabras. -Hoja de clculo -Procesador de textos -Editor de imgenes -Hoja de clculo -Internet -Entrevista
7. 8. 9.
10. Presentar el examen de grado.
xiii
0.3 PRESENTACIN DEL DOCUMENTO DEL PROYECTO DE TESIS. A continuacin, se presenta el modelo: antes, cambio, despus [Basado en Galindo, 2008]; en l, se plantea el medio ambiente general de la Organizacin para proponer una mejora con apoyo del rea de Tecnologas de la Informacin y Comunicaciones (TICs) con nfasis en la Continuidad del Negocio, de una empresa de Manufactura de Empaques de Cartn y Papel:
Figura 0.1 Estructura del documento del proyecto de tesis.
xiv
Aunque nuestro pas todava se encuentra en una etapa incipiente; pero sin duda de crecimiento, en lo que respecta a la adopcin de Planes para la continuidad y recuperacin ante desastres por parte de las PyME; el Captulo 1, puede ayudar a entender por qu las empresas necesitan ineludiblemente contar con un Plan de Continuidad y Recuperacin ante Desastres. Considerando que una interrupcin prolongada, en las operaciones de los Sistemas de Tecnologas de la Informacin y Comunicaciones, puede suspender la continuidad de las operaciones de una empresa y, eventualmente, llevarla incluso a la quiebra, es importante considerar el Gobierno de TI y las mejores prcticas para asegurar la continuidad del negocio. Para ello se tienen varios conjuntos de recomendaciones que destacan internacionalmente, como se estudiar en el Captulo 2. En el captulo 3, se propone una metodologa para la continuidad y recuperacin ante desastres de TICs en la industria de la manufactura, por lo que una aproximacin acertada es conocer con detalle la organizacin que se quiere proteger. No slo se deben identificar los riesgos, tambin evaluarlos para posteriormente decidir sobre las medidas que puedan mitigarlos. Para ello, se deber identificar los activos de la empresa, as como las debilidades que puedan padecer, estimando probabilidades de ocurrencia y asignndoles una importancia para la misin de la empresa. En el captulo 4, se aplicar la metodologa propuesta, se estudiar la criticidad de las TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin perjudique o degrade los objetivos y la calidad de la actividad en concreto. En un Plan de continuidad se invierte, no se gasta, adoptar el Plan impacta en la organizacin, en las funciones y en las responsabilidades, ste debe ser un elemento vivo, que se mantenga, pruebe y actualice peridicamente. Aumentar las medidas para garantizar la disponibilidad de los servicios informticos genera confianza y acerca a los usuarios a la informtica, como se ver en el Captulo 5. Por ltimo, se mostrar las Referencias Bibliogrficas y a Internet, as como, los Anexos correspondientes.
xv
Captulo 1
Marco Conceptual y Contextual
Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la Manufactura.
Captulo 1 Marco Terico Conceptual y Contextual
CAPTULO 1.-
MARCO CONCEPTUAL Y CONTEXTUAL. Uno de los primeros pasos para la elaboracin de un Proyecto de Tesis consiste en la Descripcin, Fundamentacin y eleccin del tema, seguido de la estructuracin y sustentacin conceptual de la hiptesis, cuya finalidad es la de delimitar el problema y generar explicaciones tentativas del fenmeno en estudio. 1.1 Marco Conceptual. La elaboracin del marco Conceptual ayuda, a la definicin de los elementos involucrados, esto es, definir especficamente que conceptos se emplearn en el Proyecto de Tesis. 1.1.1 Elaboracin de la Pirmide Conceptual. Para iniciar, es necesario identificar los elementos conceptuales involucrados en ste proyecto. Para ello, se crea una pirmide conceptual [Galindo 2005]. La base de la pirmide contiene el concepto ms general y de ah hacia arriba, se va particularizando:
Instituto Internacional de Recuperacin ante Desastres (DRII) Instituto de Continuidad del Negocio (BCI) Asociacin de Auditora y Control de Sistemas de Informacin (ISACA, CobIT) Consorcio internacional de Certificacin de Seguridad de Sistemas de Informacin (ISC) Organizacin Internacional para la Estandarizacin (ISO) Instituto Britnico de Normas (BSI) Administracin de la Continuidad del Negocio (BCM) Plan de Continuidad de Negocio (BCP)
Plan de Recuperacin de Desastres (DRP)
Arquitectura de Proceso Arquitectura de Informacin Arquitectura deDatos Arquitectura deSistemas Arquitectura Tecnolgica
Figura 1.1 Pirmide Conceptual adaptada de [Galindo, 2005]
Pgina 1
1.1.2 Descripcin de los trminos de la Pirmide Conceptual. Arquitectura Tecnolgica. Establecer el diseo bsico general de los sistemas de informacin asegurando que no sufran anquilosamiento ni obsolescencia, ste diseo busca establecer un marco conceptual que oriente los proyectos de transformacin y evolucin de los sistemas, de forma que se mantengan integrados de un modo coherente. [Akella, Buckow, y Rey, 2009] Arquitectura de Sistemas. Es la organizacin fundamental de un sistema, que incluye sus componentes, las relaciones entre s y el ambiente, y los principios que gobiernan su diseo y evolucin. [ANSI/IEEE 1471-2000, 2001] Arquitectura de Datos. Provee a cualquier mbito de negocio una herramienta de trabajo, a partir de la cual es factible la gestin organizada de los datos que representan los distintos conceptos de negocio involucrados en un proceso, permite la clasificacin y organizacin de los elementos de dato para una fcil localizacin y consulta de los mismos, en cada una de las capas y subdivisiones; facilitando as la reutilizacin y no la creacin de nuevos elementos de dato. [GEL-XML, 2009] Arquitectura de Informacin. La Arquitectura de Informacin es una disciplina que organiza conjuntos de informacin, permitiendo que cualquier persona los entienda y los integre a su propio conocimiento, de manera simple. [Mabilon, 2009] Arquitectura de Procesos. Representa el conjunto de procesos esenciales de la empresa, mostrando sus relaciones entre s y sus interacciones con clientes y proveedores [sterle, 1995]. Los procesos esenciales son los encargados de crear y comercializar los productos y servicios de la empresa y constituyen la base para su ventaja competitiva [Hammer, Champy, 1993].
Pgina 2
Plan de Recuperacin de Desastres (Disaster Recovery Planning, o DRP). Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los servicios informticos crticos en caso de contingencia. [BCI Internacional, 2009] Plan de Continuidad del Negocio (Business Continuity Planning, o BCP). Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los procesos del negocio generando un impacto mnimo o nulo ante una contingencia. [BCI Internacional, 2009] Administracin de la Continuidad del Negocio (Business Continuity Management, o BCM). Proceso administrativo completo que identifica impactos potenciales que pueden afectar la organizacin y provee la estructura para dar flexibilidad y Respuestas efectivas para salvaguardar los intereses de los accionistas, la reputacin, la marca y actividades de valor agregado. [DRII Internacional, 2008] Instituto Britnico de Normas (British Standards International, o BSI) Organismo nacional de normas del Reino Unido, independiente con integridad e innovacin en la creacin de normas que fomentan las mejores prcticas reconocidas alrededor del mundo. Desarrolla y comercializa normas y soluciones de estandarizacin que satisfacen las necesidades de las empresas y la sociedad. Norma BS 25999 Continuidad del Negocio: Ayuda a establecer las bases de un sistema BCM\BCP y se ha concebido para mantener en marcha las actividades durante una interrupcin, ya sea debido a un siniestro o catstrofe importante o bien debido a un incidente menor. Proporciona una base para comprender, desarrollar e implantar la continuidad de la actividad comercial en una organizacin y otorga confianza en los negocios de empresa a empresa y de empresa a cliente. As mismo, contiene un conjunto exhaustivo de controles basados en las mejores prcticas de BCM\BCP y abarca todo el ciclo de vida de la gestin de continuidad de la actividad comercial. [BCI Mxico, 2007].
Pgina 3
Organizacin Internacional para la Estandarizacin (International Organization for Standardization, o ISO) Es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin, comercio y comunicacin para todas las ramas de la industria. Su funcin principal es la de buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. Norma ISO/IEC 27001 Seguridad de la informacin: Es un estndar publicado por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC), es la nica norma internacional auditable que define los requisitos para un sistema de gestin de la seguridad de la informacin (SGSI), se ha concebido para garantizar la seleccin de controles de seguridad adecuados y proporcionales, adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. [Direccin General de Normas, Mxico, 2007]. Instituto Internacional de Recuperacin ante Desastres (Disarter Recovery Institute International, o DRII) Fundado en 1988, por un grupo de profesionales de la industria para desarrollar y estandarizar la profesin del planificador de continuidad del negocio, es lder mundial en el establecimiento de estndares, cursos y certificaciones reconocidos internacionalmente para la administracin de continuidad de negocio [DRII Internacional, 2010]. Instituto de Continuidad del Negocio (Business Continuity Institute, o BCI) Apoya y orienta a sus socios, promocionando las normas ms elevadas en materia de competencias profesionales y tica de las prestaciones y del mantenimiento de servicios y planificacin de la continuidad de negocio. A travs de su plan de certificacin, proporciona a sus miembros un estatus internacionalmente reconocido, puesto que la afiliacin profesional del BCI demuestra la capacidad de sus miembros de llevar a cabo una gestin de continuidad del negocio a un nivel muy elevado. [BCI Mxico, 2009]
Pgina 4
Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems and Audit Control Association, o ISACA) Organizacin global que establece pautas para los profesionales de gobernabilidad, control, seguridad y auditora de informacin. Juntos, ISACA y su Instituto de Gobernabilidad de TI asociado (ITGI) lideran la comunidad de control de Tecnologas de la Informacin. Objetivos de Control para la Informacin y la Tecnologa Relacionada (Control Objetives for Information and Related Technology, o COBIT): Es el marco de referencia aceptado internacionalmente de las mejores prcticas para el control de la informacin, infraestructura de TI y los riesgos que conllevan. Inicialmente, COBIT se utiliz para la realizacin de auditoras a las reas de Tecnologas de la Informacin. Sin embargo, en los ltimos aos COBIT a evolucionado para convertirse en el modelo a seguir para la implementacin de Gobernabilidad en Tecnologas de Informacin (IT Governance), contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez. [ISACA Mxico, 2010] Consorcio internacional de Certificacin de Seguridad de Sistemas de Informacin (International Information Systems Security Certification Consortium, o ISC). Organizacin internacional, dedicada a mantener una base de conocimiento para los profesionales dedicados a la seguridad de los Sistemas de Informacin, certifica profesionales sobre una consensuada base de conocimientos profesionales y administra los exmenes de la certificacin asegurando el mantenimiento de las credenciales, por medio de la educacin continua. Certificacin Profesional en Seguridad de Sistemas de Informacin (Certified Information Systems Security Professional, o CISSP): Certificacin creada a partir de la base de conocimiento en seguridad de los sistemas de informacin mantenida por la ISC. No asociada a ninguna tecnologa o proveedor, la ms antigua certificacin profesional enfocada exclusivamente a la seguridad informtica [ISC Internacional, 2010].
Pgina 5
1.2 Marco Contextual. Para el desarrollo del proyecto de Tesis, es necesario conocer previamente en trminos generales, la naturaleza del problema en cuestin, por tal motivo es necesario investigar los antecedentes de la situacin a tratar, lo cual nos permitir identificar el medio ambiente y las reas en donde se desenvuelve el problema, as como los elementos y relaciones fundamentales que sern objeto de estudio [Galindo 2005]. 1.2.1 Descripcin del Medio Ambiente Temporal. Las tecnologas de informacin representan oportunidades y amenazas importantes, por lo que es recomendable que se tomen en cuenta al formularse las estrategias del negocio. Los adelantos tecnolgicos afectan en forma drstica los productos, servicios, mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura, prcticas de mercadotecnia y la posicin competitiva de las empresas. (Dubelaar, Sohal, Savi, 2005). 1.2.1.1 Evolucin de las TICs en la industria de la manufactura. La dcada de los 80, fue testigo de una revolucin en las filosofas de direccin y de tecnologas aplicadas a la produccin. Chase y Aquilano [Chase, 2000], refieren a la produccin Justo a Tiempo (JIT) como el mayor adelanto en la filosofa de fabricacin, comparable en su impacto con la cadena de montaje de Henry Ford a inicios del pasado siglo. Al JIT se uni el Control de Calidad Total (TQC) y juntos, forman la "piedra angular" de las prcticas industriales de empresas de excelencia. Por el mismo tiempo, la tecnologa acudi al rescate de la manufactura, incorporndose nuevas tecnologas en el accionar de las fbricas, trminos como fabricacin integrada por computadora (CIM), diseo asistido por computadora (CAD), fabricacin asistida por computadora (CAM), sistemas flexibles de fabricacin (FMS), planificacin de necesidades de materiales (MRP), planificacin de los recursos de manufactura (MRPII), entre otros, se han hecho muy conocidos y convertido en conceptos cotidianos para los fabricantes actuales. Los primeros sistemas creados para integrar los datos y organizar los diferentes procesos productivos tuvieron su inicio con las aplicaciones MRP, mismas que evolucionaron a lo que hoy conocemos como sistemas ERP (planeacin de los recursos empresariales).
Pgina 6
Estos sistemas son bsicos para comprender cmo la Tecnologa de Informacin ha aportado ventajas competitivas al sector industrial. Es importante considerar la contribucin significativa que el Internet, e-commerce, y ebusiness, ha brindado a las industrias de la manufactura, como una oportunidad de desarrollo, expansin y diversificacin como respuesta al mercado en constante cambio. 1.2.1.2 Evolucin de los Conceptos de Continuidad del Negocio. Hacia principios de los aos setenta del pasado siglo, Normal L. Harris, Edward S. Devlin y Judith Robey [Barnes, 2001], tratando de encontrar un mtodo de planificacin y gestin que evitara la continua atencin de problemas de forma aleatoria, es decir apagar fuegos, dieron lugar al nacimiento de una actividad que en principio se llam Planeacin de Contingencias (CP). Posteriormente, esa misma actividad se denomin Planeacin de la Recuperacin ante Desastres (DRP), segn el diccionario de la RAE en su segunda acepcin, contingencia es Algo que puede suceder o no suceder, y en su tercera acepcin, Riesgo. De esta forma, no limitamos las causas a Desastres, lo que parece indicar que otros incidentes menos espectaculares no son tenidos en cuenta. Hasta ese momento, las actividades de planificacin y prevencin estaban dirigidas hacia las operaciones informticas que en la mayor parte de los casos se encontraban centralizadas en el departamento de Informtica e, incluso, en un lugar fsico concreto. Con el paso del tiempo y la aparicin de la Informtica distribuida, al extenderse por toda la organizacin las funciones soportadas en medios Informticos y Telemticos, esa actividad vario su alcance y vino a llamarse Planeacin de la Continuidad del Negocio (BCP). La palabra negocio, tiene claros matices mercantiles, y dado que hoy todas las organizaciones, sean mercantiles, empresas o entidades pblicas, dependen del correcto funcionamiento de las Tecnologas de la Informacin y de las Comunicaciones, hablar de continuidad del Negocio sera limitar el alcance, por lo que sera ms correcto hablar de continuidad del Servicio. Sin embargo, dentro del mbito de los profesionales de las Tecnologas de la Informacin, Continuidad del Negocio ha venido a transformarse en un trmino comnmente aceptado, tanto para organizaciones mercantiles como para organismos pblicos. Hoy da, el concepto de Planeacin de la Continuidad del Negocio, est siendo sustituido por el de Administracin de la Continuidad del Negocio; es decir, no se limita a la planificacin de la continuidad, sino a la gestin integral de la misma.
Pgina 7
La figura 1.2, muestra la evolucin de los conceptos de continuidad:
Figura 1.2 Evolucin de los Conceptos de Continuidad [fuente Insys, 2009].
La Administracin de la Continuidad del Negocio es reconocida como una buena prctica profesional y es parte integral del buen gobierno de las organizaciones; de esta forma, toma una dimensin estratgica y no es considerado como una mera herramienta operativa, sino un enfoque global de la actividad que integra un amplio espectro de actividades de gestin encaminadas al objetivo final de la organizacin. En particular, crea el marco estratgico y operativo para revisar, y modificar cuando sea necesaria la forma en que la organizacin proporciona sus productos y servicios, al mismo tiempo que aumenta su resistencia frente a interrupciones o prdida. 1.2.2 Descripcin del Medio Ambiente Fsico. Las Tecnologas de Informacin y Comunicaciones (TICs), han reemplazado los dos elementos bsicos que sustentaron la economa durante los ltimos dos siglos: el obrero y el capital han sido suplantados por la Informacin y el Conocimiento. No cabe duda que la sociedad post-industrial ha dado paso a la sociedad de la Informacin en la que los avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red la Informacin, los procesos y los conocimientos han afectado profundamente las tradicionales formas de produccin. Ser la historia la que en el futuro evale los resultados de este cambio de era, dimensionando las transformaciones que estn afectando a las empresas en estos momentos.
Pgina 8
La era de la sociedad de la Informacin nos ha sumergido en un mundo confuso, dominado por un orden mundial interconectado y por tanto ms abierto, complejo, diverso y a la vez, ms peligroso. Frente a esta realidad, la operatividad de la organizacin de los sistemas de informacin ocupa un lugar preponderante, ligado a la condicin imprescindible de su disponibilidad absoluta. 1.2.2.1 El imperativo: asegurar la continuidad de negocio. Las propuestas para evitar estas interrupciones y asegurar una reduccin razonable del riesgo han sido numerosas. Los Planes de Recuperacin ante Desastres (DRP) fueron los primeros instrumentos desarrollados en este sentido hace ms de 20 aos, superados una dcada despus por los Planes de Continuidad del Negocio (BCP). En la actualidad, los instrumentos empleados han dejado de lado la fuerte carga tecnolgica que caracterizaba a los planes anteriores para enfrentarse con las demandas operativas de las Organizaciones. Para lograr este fin, los planes asumen nuevos principios: se alinean con los objetivos de la organizacin integrndose directamente en la empresa y conformando procesos en constante evolucin. Este espritu alienta a los planes para la Administracin de la Continuidad del Negocio (BCM), que se ajustan al dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo, afectado por cambios que deben ser analizados y tratados consecuentemente (implantacin de nuevos controles, cambios de responsables, imprevistos, etc.). 1.2.2.2 Estrategias y planes para la continuidad de negocio. La probabilidad de que una amenaza pueda afectar adversamente la capacidad de la Organizacin para lograr sus estrategias y objetivos de negocio, se le denomina Riesgo. Las estrategias de las organizaciones para asegurar la continuidad del negocio combinan diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos. Una alteracin de esta continuidad que impacte en forma relevante el normal desarrollo de un servicio considerado crtico, teniendo su origen en la falla de un componente o la interrupcin de una tarea, constituye una Contingencia; sin estar necesariamente prevista, el Desastre, a su vez, ocurre cuando este suceso interrumpe el normal
Pgina 9
funcionamiento de la organizacin por un periodo de tiempo lo suficientemente largo como para que su impacto resulte grave. Las causas que originan los desastres, en cuanto a su naturaleza, se tipifican en: Naturales: Incendios. Terremotos. Inundaciones. Tornados. Huracanes. Hundimientos. Exhalaciones volcnicas. Humanos: Amenazas de Bomba. Huelgas. Plantones. Empleados Inconformes. Empleados Mal Capacitados. Disturbios Sociales. Tcnicos: Fallas en el Equipo de Cmputo o algn Perifrico Fallas en el Equipo de Soporte del Centro de Cmputo Fallas en Equipo de Telecomunicaciones o algn componente de la red Fallas en el Enlace Infeccin de Virus Falla de aplicaciones. Entonces, los Procedimientos de Contingencia, los podemos focalizar en los criterios de seguridad, ver cuadro 1.1, como: a) confidencialidad, b) integridad y c) disponibilidad. Por ello, se separan las polticas y diseos operacionales de continuidad de negocio ms transparentes como (tener discos tolerantes a fallas o servidores espejados, as como contratos concurrentes con ms de un proveedor de comunicaciones), de los planes de contingencia y procedimientos de recuperacin:
Pgina 10
Cuadro 1.1 Criterios de la Seguridad de la Informacin [Fuente KPMG, 2010].
Entonces, para concluir, un Plan de Continuidad en un Modelo de Negocio es: una secuencia definida de pasos para elaborar de manera sistemtica un mtodo que proporciona una combinacin de diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos, estos elementos se muestran en la figura 1.3:
Establecer Requisitos y Expectativas

Ventaja competitiva
Plan
Plande Continuida ddel Negocio Manejode incidentes
Mejora continua
Mantener y Mejorar Act
Capacidad clave
Gestinde Gestin de riesgos riesgos
Manejode Manejo incidentes crisis
Recuperacin delNegocio
Implementar yOperar Do
Impulsores decreacin devalor
Incidente
Plande Recuperacin ante Desastres
Check Monitorear y Revisar
Resultados esperados
Figura 1.3 Modelo Cclico Dinmico de un Plan de Continuidad en un Modelo de Negocio [Elaboracin propia].
Pgina 11
De donde el objetivo de la tesis ser en principio, analizar los procesos, mtodos o metodologas que puedan crear un Plan de Continuidad en un Modelo de Negocio, para as poder efectuar una evaluacin seguida de un diagnstico, y determinar su viabilidad, para en su caso proponer una metodologa que pueda cumplir con las necesidades para la creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de TICs en la Industria de la Manufactura. En Resumen, en el presente captulo se ha presentado, como la manufactura ha recibido recientemente cierto empuje de las tecnologas de la informacin, permitiendo el diseo y desarrollo simultneo de productos, procesos y actividades de apoyo, aportando una base confiable y flexible para el desarrollo de plataformas de ingeniera concurrente. Frente a esta realidad, la operatividad de los sistemas de informacin ocupa un lugar preponderante, ligado a la condicin imprescindible de su disponibilidad absoluta. Ahora, en el siguiente captulo, se presenta como los planes de continuidad y recuperacin ante desastres hacen frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organizacin, teniendo en cuenta las implicaciones relacionadas con el cumplimiento de las normativas para garantizar el xito en la gestin de la Informacin, tomando en cuenta los referentes que brindan los estndares para su seguridad.
Pgina 12
Captulo 2
Anlisis, Evaluacin Situacin Actual. y Diagnstico de la
Captulo 2 Anlisis, evaluacin y diagnstico de la situacin actual
CAPTULO 2.-
ANALISIS, EVALUACIN Y DIAGNSTICO DE LA SITUACIN ACTUAL En el captulo anterior, se estudi la seguridad de la informacin y la continuidad del negocio como dos componentes crticos de la estrategia futura de muchas organizaciones a nivel nacional e internacional. Los Planes de Recuperacin ante Desastres (DRP) fueron los primeros instrumentos desarrollados en este sentido hace ms de 20 aos, superados una dcada despus por los Planes de Continuidad del Negocio (BCP). A continuacin, se estudiar el desarrollo del documento de lineamientos que permite a la organizacin definir polticas, normas, procedimientos y estndares, de acuerdo a los requerimientos de su misin, basados en recomendaciones y mejores prcticas (frameworks) desarrollados con cooperacin internacional; se busca, identificar herramientas o productos tecnolgicos que apoyen los controles y que permitan mitigar el riesgo y mejorar de esta manera la seguridad de la informacin y la continuidad de las operaciones. 2.1 Introduccin. En un mundo globalizado, dinmico e incierto como el de hoy, las Tecnologas de Informacin y Comunicaciones, juegan un papel preponderante y fundamental para el desarrollo de las Organizaciones desde diferentes mbitos como el tecnolgico, econmico, financiero, de servicios y de produccin entre otros, es fundamental una adecuada preparacin y formacin desde una ptica corporativa, hasta un enfoque de lo que llamamos hoy Gobierno de Tecnologas de la Informacin (Gobierno de TI) con el fin de dar respuesta a los innumerables requerimientos de stas, porque ms all de los elementos puramente tcnicos y tecnolgicos, es primordial reconocer la organizacin como un todo, integral, holstica y con una sinergia propia que procura el cumplimiento de sus objetivos enmarcados en aumentar la rentabilidad y las ganancias al mximo. Dicho cambio hace necesaria una adecuada gestin de la informacin y el conocimiento; la figura 2.1, muestra la relacin de los procesos de negocio con los Sistemas de Informacin, con el propsito de facilitar los procesos asociados con la innovacin, el desarrollo de productos o servicios, la eficiencia en el uso de los recursos, la calidad y la toma de decisiones acertadas.
Pgina 13
Figura 2.1 Relacin de los procesos de negocio con los Sistemas de Informacin [Elaboracin propia].
Sin embargo, en el afn de ingresar en el nuevo entorno, las empresas se ven enfrentadas a mayores riesgos que son cada vez ms difciles de controlar. Por tanto, se han iniciado planes que garantizan una adecuada gestin de la Informacin, por considerarse que sta forma parte de los activos fundamentales de las Organizaciones, y se toma como base para disear la estrategia comercial y de competitividad en esta sociedad globalizada. Para garantizar el xito en la gestin de la Informacin, se toman en cuenta los referentes que brindan los estndares para su seguridad. Con esto, se espera que la Informacin se proteja celosamente y se garantice la implantacin de las estrategias que propician la integridad, la confidencialidad y la disponibilidad de sta hacia los clientes. 2.2 Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres de TICs. Actualmente, los servicios TICs, trascienden las fronteras de la organizacin convirtindose en productos de la compaa, situando a la gestin de los servicios TI como uno de los elementos clave que se debe tener en cuenta en la estrategia de negocio, tanto en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia
Pgina 14
de la compaa ante situaciones crticas. Esto es, particularmente importante para las compaas del sector industrial, en este caso ya no basta con tener excelentes servicios de TICs, sino que es necesario demostrar a sus accionistas y clientes que disponen de una infraestructura tecnolgica y de servicios fiables y bien gestionados. Adicionalmente las empresas deben tener en cuenta las implicaciones relacionadas con el cumplimiento de las normativas y leyes locales y globales, cuyo cumplimiento es preciso demostrar. En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y materias relacionadas, se incluye en la figura 2.2, una seleccin de los estndares, mtodos de referencia y regulaciones ms conocidas y relevantes:
ITIL DRII ISO9001 ISO20000 ISO27001

Motivadores, Gobierno Corporativo, Gobierno de TI, Estndares y Mejores Prcticas, Procesos y Procedimientos, para la Convergencia de TICs
DefinicindeProcesos[BSI,2009]. CapacitacinyCertificacinenPlanesdeContingencia[DRII,2004]. SistemadeGestindelaCalidad[ISO,2009]. SistemadeGestindeServiciosdeTI[ISO,2009]. SistemadeGestindeSeguridaddelaInformacin[ISO,2009]. SistemadeGestindeContinuidaddelNegocio[BCI,2007]. MetodologasdeDesarrollodeSoftware[Sotelo,2008]. GobiernodeTI[ISO,2009]. SistemadeGestindelRiesgoEmpresarial[BSI,2009]. GobiernodelasInversionesenTI[Sotelo,2008]. SistemadeGestindeEstrategiadeNegocio[SDG Consulting,2010]. SistemadeGestindeProyectos [Sotelo,2008]. ReguladoresdeNegocio[Sotelo,2008].
BS25999 CMMI/SSE CMM COBIT/ISO38500 COSO ValIT BSC PMBOK/PRINCE2 SOX,BASILEAII,PCI
Figura 2.2 Convergencia de estndares y mejores prcticas [Elaboracin propia].
Pgina 15
Adems, de los aqu resumidos, existen muchos otros estndares, guas, metodologas y buenas prcticas dedicados a distintos aspectos de la seguridad de la informacin, publicados por prestigiosas instituciones en todo el mundo. En el contexto de gestin de servicios de TICs para la Continuidad del Negocio, algunos estndares y buenas prcticas internacionales a considerar para realizar el documento de lineamientos, se muestran en la figura 2.3:
Figura 2.3 Estndares internacionales, buenas prcticas y metodologas en general para el desarrollo del documento de lineamientos de Continuidad del Negocio [Elaboracin propia].
Pgina 16
Los lineamientos para los servicios de TICs, cubren aspectos como: disponibilidad, desempeo, confidencialidad, integridad y controles de acceso fsico, administrativos y lgicos, obteniendo un enfoque integral de acercamiento a la gestin del riesgo y al gobierno de TI, conformando una estrategia integrada para la seguridad de la informacin y la continuidad del negocio, basada en una estrategia efectiva de gestin de riesgos. El cuadro 2.1, muestra los elementos constitutivos necesarios para construir una infraestructura de TICs segura y una cultura de seguridad, comparando los estndares, buenas prcticas y metodologas comnmente usados para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres de TICs, debiendo cumplir con los objetivos de negocio y con los requerimientos legales para Gente/Procesos/Tecnologa:
Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con los elementos necesarios para una infraestructura de TICs segura (Inicio) [Elaboracin propia].
Elementos
ISO 27001 Administracin del riesgo Continuidad del negocio Control de acceso Arquitectura segura de red y aplicacin Administracin de: Configuraciones, Actualizaciones y Cambios Monitoreo de la Seguridad y manejo de incidentes Auditora, rastreo y monitoreo de cumplimiento Documentacin y evidencia de procesos y operaciones Entrenamiento en seguridad y sensibilizacin ISO 17799/27002
Estndares, Buenas Prcticas yMundologas.

ISO 24762 ISO 20000 ISO 27005 BS 25999 BS 25777 COBIT ITIL COSO M_o_R
Pgina 17
Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con los elementos necesarios para una infraestructura de TICs segura (Final) [Elaboracin propia].
Elementos
MOF AU NZ/4360
Estndares, Buenas Prcticas yMundologas.

NFPA 75 NFPA 1600 NIST SP 800-34 NIST DRII BCI ISACA ISC
Administracin del riesgo Continuidad del negocio Control de acceso Arquitectura segura de red y aplicacin Administracin de: Configuraciones, Actualizaciones y Cambios Monitoreo de la Seguridad y manejo de incidentes Auditora, rastreo y monitoreo de cumplimiento Documentacin y evidencia de procesos y operaciones Entrenamiento en seguridad y sensibilizacin
Estos lineamientos se enfocan en ofrecer las directrices para una gestin integral de la seguridad de la informacin, la prestacin de servicios con calidad y la continuidad de las operaciones. El Cuadro 2.2, muestra las ventajas y desventajas de cada uno de estos estndares, buenas prcticas y metodologas en busca de una manera de generar un camino claro y expedito para luego poder emprender el desarrollo de un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres de TICs:
Pgina 18
Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del Gobierno de TI (Inicio) [Elaboracin propia].
Estndares,BuenasPrcticasy Metodologas Estndares

ISO 27001 ISO 24762
Ventajas
Orientada a la Gestin de la Seguridad de la Informacin. Gua para la provisin de servicios de recuperacin de desastres como parte de la gestin de la continuidaddelnegocio. Orientadaala Gestinde Serviciosde TI. Orientada a la Gestin de la Continuidad del Negocio. Orientada a la Proteccin contra Incendios y la ContinuidaddelNegocio. Gua para la planeacin de Contingencias en los Sistemasde TI. Guade buenaspracticasque describelosobjetivos de control y controles en la Administracin de la Seguridaddela Informacin. Establece las directrices para la gestin del riesgo enla Seguridaddela Informacin. Gua de buenas prcticas que establece un marco para crear y mejorar un sistema de gestin de continuidadde serviciosenlos Sistemasde TI. Brinda un marco de trabajo para la medicin y monitoreo del desempeo de las Tecnologas de Informacin,definiendolasactividadesde TI. Gua de buenas prcticas destinadas a facilitar la entregadeserviciosde TIde altacalidadabarcando la infraestructura,desarrolloyoperacionesdeTI. Identifica los factores que causan informes financieros fraudulentos y hace recomendaciones parareducirsuincidencia.
Desventajas
Contempla parcialmente el tema de Continuidad delNegocioyRecuperacinante Desastresde TI. Actualmente enDesarrollo.
ISO 20000 BS 25999 NFPA 75 NIST SP 800-34
No contempla el tema de Recuperacin ante desastresdeTIenla ContinuidaddelNegocio. Contempla parcialmente el tema Recuperacinante desastresde TI. Contempla parcialmente el tema Recuperacinante desastresde TI. de de
Contempla parcialmente el tema de Continuidad delNegocio. Contempla parcialmente el tema de Recuperacin ante desastres de TI en la ContinuidaddelNegocio. Contempla parcialmente el tema Recuperacinante desastresde TI. de
Buenas Prcticas
ISO 17799/27002
ISO 27005 BS 25777
Contempla parcialmente el tema de Continuidad del Negocio, se usa el estndar BS 25999 como complemento. Contempla la mayora de los procesos relacionados con la continuidad del servicio, no tieneunenfoque integradodetodoelproceso. Contempla la mayora de los procesos relacionados con la continuidad del servicio, no tieneunenfoque integradodetodoelproceso. No contempla el tema de Recuperacin ante desastresdeTIenla ContinuidaddelNegocio.
COBIT
ITIL
COSO
Los principales beneficios que se obtienen al usar estos estndares, buenas prcticas y metodologas son: (1) Identificar de forma proactiva los impactos de un trastorno operacional. (2) Proporcionar una respuesta efectiva que minimiza el impacto en la organizacin. (3) Mantiener la capacidad para gestionar los riesgos no asegurables. (4) Fomentar el trabajo entre equipos. (5) Mejorar la reputacin y ventajas competitivas de la Organizacion en su capacidad para mantener, entregar y recuperarse de un desastre.
Pgina 19
Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del Gobierno de TI (Final) [Elaboracin propia].
Estndares,BuenasPrcticasy Metodologas Buenas Prcticas

M_o_R
Ventajas
Proporciona un conjunto de principios y procesos genricos para identificar, analizar y gestionar los riesgos que pueden ocurrir en un contexto de negocios. Detallalosprocesosde gestinque debenutilizarse para administrar de manera eficaz los departamentosinformticos Gua genrica para el establecimiento e implementacin del proceso de administracin de riesgos. Manejo de Desastres/Emergencias y Programas de ContinuidaddelNegocio. Agencia de la Administracin de Tecnologa de los Estados Unidos. Su misin es promover la innovacin y la competencia industrial mediante biotecnologa, nanotecnologa, tecnologas de la informacinyfabricacinavanzada. Desarrolla una base de conocimientos en la planificacin de contingencias y el manejo de riesgos. Administra los principales programas de certificacinde la industria Promociona normas en materia de competencias profesionales y tica de las prestaciones y del mantenimiento de servicios y planificacin de la continuidadde negocios. Dedicadaalaprcticayalestudiode laauditora,el control, la gobernabilidad de las TI, el anlisis de riesgosyla seguridadinformtica. Instituto Internacional de Capacitacin CertificacinenSistemasde Informacin. y
Desventajas
Contempla la mayora de los procesos relacionados con la continuidad del servicio, no tiene unenfoque integradode todoelproceso. Declinacin de ITIL preconizada por Microsoft para administrar entornos basados en las tecnologasMicrosoftWindows. Aplicado a todas las etapas de la vida de una actividad,funcin,proyecto,productooactivo. Dirigido a Tcnicos y profesionales encargados delcontrolyseguridadcontraincendios. Contempla la mayora de los procesos relacionados con la continuidad del servicio, no tiene unenfoque integradode todoelproceso.
MOF
AU NZ/4360
NFPA 1600
Metodologas
NIST
DRII
Contempla parcialmente el tema de Recuperacin ante desastres de TI en la ContinuidaddelNegocio. Contempla parcialmente el tema Recuperacinante desastresde TI. de
BCI
ISACA
Contempla parcialmente el tema de Continuidad delNegocioyRecuperacinante Desastresde TI. Contempla parcialmente el tema de Continuidad delNegocioyRecuperacinante Desastresde TI.
ISC
En el diseo o posterior certificacin de estos entornos de Continuidad del Negocio y Recuperacin ante Desastres de TICs, an no existe un estndar que sea claramente seguido por el mercado. Sin duda, ITIL tiene varios apartados donde se contemplan la mayora de los procesos relacionados con la garanta de la continuidad del servicio, pero no tiene un enfoque integrado de todo el proceso. Las sociedades ISO/IEC han adoptado y desarrollado varios estndares que contemplan parcialmente este tema, como es la ISO 27001, actualmente est en desarrollo la norma ISO/IEC 24762 que es una gua para la provisin de servicios de recuperacin de desastres como parte de la gestin de la continuidad del negocio tanto para servicios propios como para servicios externalizados.
Pgina 20
La norma BS 25777, contiene una gua de buenas prcticas que establece cmo abordar la gestin de la continuidad de servicios de TICs en una organizacin, siguiendo el marco de referencia de la norma BS 25999, sistema de gestin de continuidad del negocio. El anlisis y evaluacin, anteriormente, expresado ha llevado el siguiente diagnstico de lineamientos que consideran la Recuperacin ante Desastres de TICs, ver figura 2.4, con estratgica que le ofrezca a las Organizaciones la capacidad ante un entorno cambiante y de alto riesgo: a proponer al que suscribe, Continuidad del Negocio y el fin de plantear una ruta para estar mejor preparada
Figura 2.4 Estndares internacionales, buenas prcticas y metodologas orientadas, para realizar el documento de lineamientos de Continuidad del Negocio propuesto [Elaboracin propia].
Pgina 21
2.3 Justificacin del Proyecto de Tesis En base al anlisis, evaluacin y diagnstico anterior, se concluye que: no existe para la industria de la manufactura, una metodologa con un enfoque integrado de todo el proceso para la creacin de Planes de Continuidad del Negocio y Recuperacin ante Desastres de TICs, por lo tanto se justifica proponer una metodologa para: El cumplimiento regulatorio: Existe un creciente nmero de reglamentos y estndares a cumplir, normalmente el sector est basado en COBIT, ITIL, COSO, ISO 27001, ISO 17799/27002, ISO 27005, ISO 20000, ISO 24762, BS 25999, BS 25777:2008 (gestin de continuidad de TICs, es ms concreto que el BS-25999 bajando a detalles como por ejemplo hablar de centros alternativos y de procedimientos especficos de TICs), DRII, BCI, ISACA. La necesidad de los negocios: Para minimizar las prdidas, Segn Jim Hoffer de Health Management Technology (2009) slo el 6% de las organizaciones que sufren una prdida de datos catastrfica logra sobrevivir, mientras el 43% nunca vuelve a reabrir y el 51% cierra en el plazo de dos aos. La proteccin de personas y activos. Crecimiento de vulnerabilidades de materializacin de amenazas. Necesidad del servicio continuo de TICs.
Entonces, para conseguir lo anteriormente expresado, se deben establecer los objetivos generales y particulares, que son fundamentales para la elaboracin del presente proyecto de tesis. 2.4 Definicin de Objetivos del Proyecto de Tesis 2.4.1 Objetivo General Disear, proponer, aplicar y evaluar una metodologa para establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que permita garantizar la continuidad de las operaciones del negocio.
Pgina 22
2.4.2 Objetivos Particulares Identificar y conocer el medio ambiente de las empresas de manufactura para efectuar un anlisis y evaluacin de las amenazas a la seguridad de la informacin y sus operaciones. Identificar y conocer el medio ambiente de los estndares, mejores prcticas y metodologas en Recuperacin ante Desastres como parte de la gestin de la Continuidad del Negocio en los Sistemas de TICs para efectuar un anlisis y evaluacin de su desempeo. Disear y proponer una metodologa para la creacin de un plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de Informacin y Comunicaciones. Aplicar la metodologa propuesta en una empresa de manufactura, para garantizar la reanudacin de los procesos crticos dentro de los mrgenes de tiempo tolerables, asegurando la continuidad de las operaciones, minimizando la posibilidad de prdida de informacin crtica para el negocio.
Tomando en cuenta lo anterior, en el presente captulo se mostr como el gobierno de TI puede verse mejorado con la aplicacin de estndares y buenas prcticas en TICs; sin embargo, su adopcin en el pas es an incipiente, una explicacin sera que los estndares enfocan la gestin de TICs por procesos, mientras que en la mayora de entidades, la gestin organizacional y la de TICs contina siendo funcional, basada en procedimientos, existiendo una escasa cultura de procesos a todo nivel (estratgico, tctico y operativo). Ahora, en el siguiente captulo, se estudiar cmo se debe superar esta brecha, por medio de un mtodo basado en procesos, que proporcione una secuencia definida de pasos para elaborar de manera sistemtica un plan para la continuidad y recuperacin ante desastres, a travs de la seleccin de un conjunto de estndares, estableciendo las estrategias de adopcin, a travs de un buen candidato para marco de gobierno de TI con un buen nivel de madurez y que cubra la diversidad de actividades, complementado, en temas especficos con otros estndares, buenas prcticas y metodologas (manteniendo la concordancia).
Pgina 23
Captulo 3
Metodologa Propuesta
Captulo 3 Metodologa Propuesta
CAPTULO 3. -
METODOLOGA PROPUESTA En el captulo anterior, se estudi como en los entornos de Continuidad del Negocio y Recuperacin ante Desastres de TICs; an no existe, un estndar que sea claramente seguido por el mercado de la industria de la manufactura. A continuacin, se estudiar como se debe superar esta brecha, a travs de un mtodo, que proporcione una secuencia definida de pasos para elaborar de manera sistemtica a travs de una metodologa propuesta, un plan para la continuidad y recuperacin ante desastres, a travs de la seleccin de un conjunto de estndares, estableciendo la estrategia de adopcin, por medio de un buen candidato para marco de gobierno de TI. 3.1 Introduccin. Se puede comentar que, la mayora de los productos y servicios que son solicitados por la sociedad son proporcionados por empresas, para ellas, es muy importante garantizar a sus clientes un adecuado nivel de seguridad, disponibilidad y confiabilidad de los procesos que son esenciales para su funcionamiento, asegurando la continuidad del negocio. Esta disponibilidad se puede ver afectada por factores accidentales, incidentales y humanos. Una de las recomendaciones para mitigar los riesgos es la necesidad de recuperar los recursos, ya sean humanos, de infraestructura, datos vitales y de tecnologas de la informacin requeridos, que permitan continuar con el funcionamiento normal de la organizacin, a travs de: Prevencin/Reduccin/Mitigacin o Identificar y mitigar el riesgo Respuesta y Manejo o Reaccin planificada y manejo de un evento adverso Recuperacin o Recuperacin y reanudacin planificada de los servicios y operaciones despus de una interrupcin Restauracin o Reparacin o reemplazo del sitio primario de operaciones normales de la organizacin.
Pgina 24
Entonces, ahora se presenta la metodologa propuesta para la creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de TICs en la Industria de la manufactura, tomando como marcos de referencia el estndar BS25999 (ver anexo A) y la metodologa DRII (ver anexo B), de Continuidad del Negocio: 3.2 Metodologa propuesta. La Metodologa propuesta hace frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organizacin, a travs de la identificacin de las reas de riesgo a que la empresa est expuesta, y sobre estas priorizar las medidas a adoptar para procurar una continuidad operacional, desde la perspectiva: para eliminar las amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo fsico (appliances, firewalls,), y de entorno (controles de acceso,), minimiza los efectos implantando sistemas redundantes y transfiere los riesgos residuales a una compaa de seguros que asuma dicho riesgo. La misma, se presenta a continuacin de manera general y posteriormente se estudiar con mayor detalle:
Fase 1. Conocery planificarel medioambiente organizacional.
Fase 5. Auditora, mantenimiento yactualizacin.
Fase 2.
BCP
Metodologaparala creacindeunPlan paralaContinuidady Recuperacinante Desastresenlos SistemasdeTICsen laindustriadela manufactura.
Analizary evaluarriesgos ysuimpactoal negocio.
Fase 3. Fase 4. Capacitar, probar y ejercitar. Desarrollarel plande continuidady estrategiasde recuperacin ante desastres.
DRP
Figura 3.1 Mapa de ruta de la metodologa propuesta [Elaboracin propia].
Pgina 25
Objetivo General de la Metodologa propuesta. Establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que provee direccionamiento, soporte, equipamiento, metodologas y estndares para garantizar la continuidad de las operaciones del negocio. A continuacin, se describe de forma general la metodologa propuesta: Fase I.- Conocer y Planificar el Medio Ambiente Organizacional. En esta fase, se establece la necesidad de desarrollar el Plan de Continuidad en la organizacin, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para ello, es importante: conocer previamente en trminos generales, la naturaleza de la situacin, en cuestin. Por tal motivo, es necesario investigar los antecedentes de la problemtica a tratar; lo cual, permitir identificar el medio ambiente y las reas donde se desenvuelve el problema. Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. En esta fase, se identifican las amenazas internas y externas, incluyendo concentraciones de riesgo, permitiendo su gestin de priorizacin y control para formar una base en la que se establezca un programa de control y un plan de accin de gestin de riesgo, identificando las actividades de misin crtica de la organizacin, sus dependencias y sus puntos de fallas as como el anlisis de impacto y el efecto que se generara en caso de la prdida, o interrupcin de las actividades de misin crtica. Fase III.- Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres. En esta fase, se determinan los recursos mnimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudacin y recuperacin. As mismo, se definen los procedimientos de notificacin y escalamiento de emergencias y los criterios y procedimientos de activacin de los planes de contingencia. Fase IV.- Capacitar, probar y ejercitar. En esta fase, se determina la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupcin, evaluando el equipo y personal a cargo de cada
Pgina 26
actividad crtica, realizando una prueba al sistema demostrando competencia y capacidad de continuidad del negocio, a travs de la revisin de los estndares y mejores prcticas, identificando defectos y dificultades, proporcionando recomendaciones. Fase V.- Auditora, Mantenimiento y Actualizacin. En esta fase, se revisan los estndares de Continuidad del Negocio y Recuperacin ante Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estndares predefinidos, desarrollando una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. La figura 3.2, describe de forma ms general la metodologa propuesta:
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Conoceryplanificarel medio ambiente organizacional.
Analizar, evaluary diagnosticarriesgosysu impacto alnegocio.
Desarrollarelplande continuidad yestrategias derecuperacin ante desastres.
Capacitar,probary ejercitar.
Auditora, mantenimientoy actualizacin.
A1.1. Conocerel medioambiente general. A1.2. Identificarla estructura organizacional.de la empresa. A1.3. Definirla arquitecturade macroprocesos. A1.4. Definirequipos de planificacinysus responsabilidades. A1.5. Definicinde objetivos,alcance y escenariosdel problema. A1.6. Concientizacin yaprobacinpor parte de losdirectivos.
A2.1. Identificacin de lasfunciones, serviciosyrecursos crticosdelrea. A2.2. Anlisis, evaluaciny diagnsticode riesgos. A2.3. Controlde riesgos. A2.4. Anlisisde impactoalnegocio. A2.5. Evaluaciny diagnsticodelanlisis de impactoalnegocio.
A3.1. Disearlas estrategiasde continuidadde la organizacin. A3.2. Presentarel anlisiscosto/beneficio de lasestrategiasde continuidad. A3.3. Negociaciny firmadecontratoscon losproveedoresde servicios. A3.4. Adquisicinde lainfraestructurade TICs. A3.5. Preparacindel sitioalterno. A3.6. Definirlos procedimientosde recuperacin.
A4.1. Definir objetivosde entrenamiento. A4.2. Desarrollare implementarvarios tiposde programas de entrenamiento. A4.3. Identificarotras oportunidadesde educacin. A4.4. Descripcinde laspruebas. A4.5. Planificarlos escenariosdepruebay superiodicidad. A4.6. Ejercitacinde laspruebas.
A5.1. Auditoradel PlandeContinuidad. A5.2. Mantenimiento delPlande Continuidad. A5.3. Mecanismode almacenamiento.Del PlandeContinuidad. A5.4. Mecanismode actualizacindelPlan de Continuidad. A5.5. Mecanismode distribucindelPlande Continuidad.
Figura 3.2 Descripcin de la metodologa propuesta [Elaboracin propia].
Pgina 27
Marco metodolgico integral para el desarrollo de la metodologa propuesta. El siguiente cuadro muestra el marco metodolgico [Basado en Galindo, 2008], el cual describe una serie de actividades a emplear, sus correspondientes tcnicas, herramientas y productos a obtener para el desarrollo de la metodologa propuesta:
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Inicio). Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de TICs en la Industria de la Manufactura.
METODOLOGA (Qu hacer general?) ACTIVIDADES (Qu hacer particular?) TCNICAS (Cmo hacerlo?) HERRAMIENTAS (Con qu hacerlo?) METAS (Qu obtener en particular?)
Fase I.Conocer y Planificar el Medio Ambiente Organizacional.
Actividad 1.1 Conocer el Medio Ambiente General. Actividad 1.2 Identificar la Estructura Organizacional de la Empresa. Actividad 1.3 Definir la Arquitectura de Macroprocesos. Actividad 1.4 Definir equipos de planificacin y sus responsabilidades. Actividad 1.5 Definicin de objetivos, alcance y escenarios del problema. Actividad 1.6 Concientizacin y aprobacin por parte de los directivos.
-Observacin -Investigacin -Recopilacin -Definir una visin global del tema en cuestin a tratar. -Conocer conceptos bsicos para la definicin de Objetivos. -Definicin del marco Conceptual.
-Mtodo cientfico. -Procesador de textos. -Editor de imgenes.
- Establecer la necesidad de la continuidad del negocio. - Comunicar la necesidad de un Plan para la Continuidad del Negocio. - Comprometer la Alta Gerencia en los procesos de Continuidad del Negocio. - Establecer el Comit de Proyecto. -Identificar y ejecutar los requerimientos presupuestales. -Identificar los equipos de planificacin y sus responsabilidades. - Dar respuesta a los requerimientos de la Gerencia y de documentacin de los procesos de Continuidad del Negocio. - Reportar y obtener la aprobacin del avance del proyecto.
Fase II.Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.
Actividad 2.1 Identificacin de las funciones, servicios y recursos crticos del rea. Actividad 2.2 Anlisis, Evaluacin y Diagnstico de riesgos. Actividad 2.3 Control de riesgos. Actividad 2.4 Anlisis de Impacto al Negocio. Actividad 2.5 Evaluacin y Diagnstico del Anlisis de Impacto del Negocio.
- Evaluar los efectos de las interrupciones, daos e impactos al negocio - Establecer la metodologa BIA (cuestionarios, talleres, entrevistas, ...) - Definir y categorizar las funciones y registros crticos - Determinar las franjas de tiempo de recuperacin y requerimientos de recursos mnimos - Identificar y categorizar los procesos del negocio
-Mtodo cientfico. -Procesador de textos. -Editor de imgenes. -Hoja de clculo
- La probabilidad de ocurrencia, en la organizacin, a un tipo especfico de amenaza. - Una evaluacin y anlisis de riesgos. - Una estrategia de gestin de control de riesgo y plan de accin. - Inventario de los procesos crticos del negocio. - Secuencia de recuperacin de procesos y sistemas crticos - Estimacin del impacto operacional y financiero de una interrupcin en los procesos crticos del negocio. - Identificacin de los tiempos de recuperacin para cada proceso crtico del negocio. - Identificacin de los requerimientos mnimos de los procesos o aplicaciones crticas del negocio durante las operaciones de recuperacin.
Pgina 28
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Continuacin). Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de TICs en la Industria de la Manufactura.
Fase III.Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres.
Actividad 3.1 Disear las estrategias de continuidad de la organizacin. Actividad 3.2 Presentar el anlisis costo/beneficio de las estrategias de continuidad. Actividad 3.3 Negociacin y firma de contratos con los proveedores de servicios. Actividad 3.4 Adquisicin de la infraestructura de TICs. Actividad 3.5 Preparacin del sitio alterno. Actividad 3.6 Definir los procedimientos de recuperacin.
- Desarrollar alternativas de estrategias para: Refinar los requerimientos mnimos para la recuperacin. - Identificar las alternativas viables para la recuperacin. - Seleccionar una estrategia de recuperacin eficiente. - RFP/RFQ. - Respuesta a Emergencias. - Respuesta a emergencia y recuperacin.
-Mtodo cientfico. -Procesador de textos. -Editor de imgenes. -Sistemas de informacin basados en computadoras, especializados en seguimiento, control y planes de proyectos
- Identificar requerimientos para el desarrollo de los planes. - Definir requerimientos de control y administracin de la continuidad. - Identificar y definir un formato y la estructura principal de los componentes de los planes. - Definir el sistema de gestin de crisis y continuidad del negocio. - Definir el sistema de evaluacin de daos y reanudacin. - Desarrollar el sistema de control de documentos de los equipos de operacin del negocio. - Desarrollar la documentacin de los equipos de recuperacin de tecnologa de informacin. Desarrollar el sistema de telecomunicaciones. - Implementar los planes. - Establecer los procedimientos de control y distribucin de los planes.
Fase IV.Capacitar, probar y ejercitar.
Actividad 4.1 Definir objetivos de entrenamiento. Actividad 4.2 Desarrollar e implementar varios tipos de programas de entrenamiento. Actividad 4.3 Identificar otras oportunidades de educacin. Actividad 4.4 Descripcin de las pruebas. Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. Actividad 4.6 Ejercitacin de las pruebas
-Establecer un programa de ejercicios. -Definir escenarios de desastre -Crear un cronograma de ejercicios. -Crear un plan de control y reporte de los ejercicios Retroalimentar y monitorear los resultados de los ejercicios -Definir un cronograma de mantenimiento de los planes -Formular los procedimientos de control de cambios
- Verificacin y validacin que los miembros y personal se familiarizan con el entendimiento de roles, responsabilidades y autoridades en la operacin de la continuidad del negocio y proceso de administracin de crisis. - La formacin de conciencia involucrando individuos usando la continuidad del negocio y los planes de gestin de crisis. Probar la organizacin e infraestructura de la gestin de continuidad del negocio que incluye centros de comando, reas de trabajo, recursos de recuperacin de tecnologa y telecomunicaciones. - Verificacin y validacin que el plan de continuidad de negocio refleja las actuales prioridades del negocio. - La oportunidad de identificar defectos y mejoras de la organizacin del Plan, administracin de crisis y planes de continuidad de negocio. - Documentacin y evaluacin del ejercicio.
Pgina 29
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Final). Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de TICs en la Industria de la Manufactura.
Fase V.Auditora, Mantenimiento y Actualizacin.
Actividad 5.1 Auditoria al Plan de Continuidad. Actividad 5.2 Mantenimiento al Plan de Continuidad. Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. Actividad 5.4 Mecanismo de actualizacin del Plan de Continuidad. Actividad 5.5 Mecanismo de distribucin del Plan de Continuidad.
- Definicin y documentacin del programa de auditoria. - Auditar el plan de auditoria. - Buscar expertos internos y externos. - Aplicar los estndares de auditoria. - Actualizar estrategias del Plan, normas de requerimientos, legislacin, directrices de buenas prcticas, estndares. - Actualizar anlisis de impacto, estrategias y planes a ser auditados.
- Pruebas definidas y documentadas para la gestin y gobierno pro activo del programa de mantenimiento y monitoreo del Plan respecto a actividades de misin crtica y sus dependencias. - Detalles de todos los cambios de estrategias del Plan documentados con toda la historia de estrategias y detalles de control de versiones. - Identificacin e inclusin de cambios en los sistemas y procesos de la organizacin. - Verificacin y validacin de anlisis de impacto y de riesgos basados en las estrategias y planes de continuidad. - Verificacin y validacin que las estrategias y planes son actualizados, precisos y completos. - Verificacin y validacin que los planes continuidad de negocio siguen una secuencia lgica, formato, estructura conforme a las directrices y estndares de buenas prcticas. - Verificacin y validacin que el personal tiene entendido los roles de responsabilidad y le es claro el plan.
A continuacin, se presenta la metodologa propuesta a nivel de detalle:
Pgina 30

Fase1. Conocery planificarel medioambiente organizacional.
Fase2.
Fase I.- Conocer y Planificar el Medio Ambiente Organizacional.
BCP
Metodologaparala creacindeun Plan paralaContinuidad y Recuperacin ante Desastres en los SistemasdeTICsen laindustriadela manufactura.
Fase 3. Fase4. Capacitar, probary ejercitar. Desarrollarel plande continuidady estrategiasde recuperacin antedesastres.
DRP
El objetivo de esta primera fase, es establecer la necesidad de desarrollar el Plan de Continuidad en la organizacin, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante: conocer previamente en trminos generales, la naturaleza de la situacin, en cuestin. Por tal motivo, es necesario investigar los antecedentes de la problemtica a tratar; lo cual, permitir identificar el medio ambiente y las reas donde se desenvuelve el problema, as como los elementos y relaciones fundamentales que sern objeto de estudio [Galindo, 2005]. Actividad 1.1 Conocer el Medio Ambiente General. Conocer el supra o macro sistema: Empresa. Es necesario conocer: su visin, misin, polticas, sus planes y estrategias correspondientes, los objetivos a cumplir para esos fines, las funciones que definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo. Una vez conocido el medio ambiente general, se procede a identificar la estructura organizacional. Actividad 1.2 Identificar la Estructura Organizacional de la Empresa. Un aspecto fundamental en el conocimiento del medio ambiente es: identificar la estructura organizacional de la empresa o institucin, y de las reas particulares. Esto ayudar a ubicar las reas que apoyar el sistema; as como, a quien se deber entrevistar y pedir informacin para la construccin del mismo. Como una siguiente actividad, se procede a definir la Arquitectura de Macroprocesos de la Organizacin. Actividad 1.3 Definir la Arquitectura de Macroprocesos. Una vez ubicada el rea reas principales se debe, identificar una coleccin de procesos interrelacionados que generan un resultado bien definido dentro del funcionamiento de la empresa (macroproceso). Ahora bien, la estructura interna de cada macroproceso es similar en el sentido que contiene, a lo menos, una instancia de cada uno de los siguientes tipos de procesos: Ejecucin: conjunto de subprocesos y actividades que transforma ciertos insumos y recursos en un producto que tiene valor para la empresa; Gestin: conjunto de
Pgina 31
subprocesos y actividades que, a partir de requerimientos de clientes, dirigen la Ejecucin; Mantencin estado: conjunto de subprocesos y actividades que se alimenta de flujos de informacin que informan la situacin de la Ejecucin y Gestin y retroalimenta informacin actualizada de estado a stos. La figura 3.3, modela las relaciones definidas en base a flujos fsicos e informacin, siguiendo la notacin IDEF0 (mtodo de diagramacin de procesos que tiene contenido, en el sentido de establecer con precisin los diferentes elementos del modelo y darle sentido en el contexto de lo que pretende el proceso):
Informacin Output (Relacin con cliente) Informacin Input (Requerimientos de clientes)
Gestin
Control (Instrucciones de ejecucin)
Flujo fsico output ("Producto" al cliente externo o interno Informacin Input
Ejecucin
Informacin Cambio estado (Transacciones)
Mantencin estado
Informacin estado
Recurso
Figura 3.3 Diagrama de flujo (relaciones) entre procesos de negocio [Arquitectura y diseo de procesos de negocio, Chile 2008].
Una vez conocido el medio ambiente organizacional, se procede a la definicin de los equipos de planificacin: Actividad 1.4 Definir equipos de planificacin y sus responsabilidades. Para comenzar a construir el plan de continuidad de cada rea, se conformar un equipo interdisciplinario apoyado por la direccin general de la entidad y coordinado por la direccin del rea funcional, identificando al personal clave de TI y usuarios para la toma
Pgina 32
de decisiones, detallando los roles e integrantes de cada equipo y asignando las responsabilidades en caso de desastre. La figura 3.4, muestra la participacin de los equipos de trabajo, dependiendo de la interrupcin y del tipo de activos afectados:
Figura 3.4 Equipos de trabajo para respuesta a incidentes [Elaboracin propia]
Establecidos los equipos de trabajo, se procede a la definicin de objetivos, alcance y escenarios del problema de continuidad. Actividad 1.5 Definicin de objetivos, alcance y escenarios del problema. Los equipos definirn los objetivos, el alcance y los escenarios que se abarcarn con el plan que se est construyendo. Un aspecto importante, sobre el cual radica la continuidad del proyecto, es la concientizacin de los directivos. Actividad 1.6 Concientizacin y aprobacin por parte de los directivos. Una vez terminadas estas tareas, el grupo debe presentar un informe a los directivos, quienes despus de revisarlo deciden si dan su aprobacin para que el proyecto siga adelante o, en caso contrario, solicitan revisin de alguno de los puntos expuestos.
Pgina 33
Las responsabilidades del coordinador de esta etapa son: Dirigir la definicin de objetivos, polticas y actividades crticas. Coordinar y organizar directores por cada fase del proyecto. Controlar el proceso del Plan a travs de mtodos de control efectivo y gestin de cambio. Presentar el proceso a Directivos y personal. Desarrollar el Plan y presupuesto para iniciar el proceso. Definir y recomendar procesos de estructura y gestin. Dirigir el proyecto a desarrollar e implementar el proceso del Plan. Para ello, se proponen las siguientes acciones: Establecer la necesidad de la continuidad del negocio Comunicar la necesidad de un Plan para la Continuidad del Negocio Comprometer la Alta Gerencia en los procesos de Continuidad del Negocio Establecer el Comit de Proyecto Identificar y ejecutar los requerimientos presupuestales Identificar los equipos de planificacin y sus responsabilidades Desarrollar y coordinar las actividades de implementacin del Plan Dar respuesta a los requerimientos de la Gerencia y de documentacin de los procesos de Continuidad del Negocio. Reportar y obtener la aprobacin del avance del proyecto.
Una vez conocido y planificado el medio ambiente organizacional, en la Fase I, se procede realizar la Fase II, para lo cual se requiere:
Pgina 34

Fase 5.
Fase2.
Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.
Auditora, mantenimiento yactualizacin.
BCP
Metodologaparala creacin deunPlan paralaContinuidady Recuperacinante Desastres enlos SistemasdeTICs en laindustriadela manufactura.
Fase3. Fase 4. Capacitar, probar y ejercitar. Desarrollarel plande continuidady estrategiasde recuperacin ante desastres.
DRP
Identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que puedan causar la interrupcin o prdida de las actividades crticas de la organizacin, permitiendo su gestin de priorizacin y control para formar una base en la que se establezca un programa de control y un plan de accin de gestin de riesgo, identificando las actividades de misin crtica de la organizacin, sus dependencias y sus puntos de fallas as como analizar el impacto y el efecto que se generara en caso de la prdida, o interrupcin de las actividades de misin crtica. El anlisis de impacto al negocio (BIA, por sus siglas en ingls) tiene en cuenta el Tiempo Objetivo de Recuperacin (RTO) y el Punto Objetivo de Recuperacin (RPO), como se muestra en la figura 3.5: RTO: El tiempo entre el punto de interrupcin, y el punto en el cul los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados. RPO: El punto en el cul fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento.
Figura 3.5 Tiempos y puntos objetivos de recuperacin [Fuente, Norma BS 25999, 2009].
Pgina 35
El anlisis de Impacto al Negocio, tiene por objetivo, la identificacin de los procesos de gestin y supervisin de la Organizacin, para definir el compromiso compartido de todos los involucrados y plantear constancia de los riesgos. A continuacin, se presenta la informacin bsica a tener en cuenta para disear el cuestionario para el desarrollo del Anlisis de Impacto al Negocio: Datos bsicos del proceso y de su dueo Frecuencia del proceso Perodos de tiempo crticos Tiempo mximo de interrupcin Volumen de trabajo del proceso Indicadores y medidas de desempeo existentes Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos legales, imagen - reputacin y en general para la organizacin como negocio. Dependencias internas y externas Aplicaciones informticas que lo soportan Procedimientos alternos existentes o sugeridos Efectividad de los procedimientos alternos Registros vitales de cada proceso Complejidad de recuperacin de las dependencias evaluadas Recursos mnimos para la recuperacin de cada dependencia.
Actividad 2.1 Identificacin de las funciones, servicios y recursos crticos del rea. En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el rea y se priorizan de acuerdo con la razn de ser de la misma dentro de la organizacin, determinando, a su vez, en qu recursos (computacionales o logsticos) se apoya, y de esta manera establecer la criticidad de los recursos. Para cada prioridad se sealar el tiempo mximo de espera para que se reanuden los servicios, as como la identificacin de los registros de datos e informacin vital para la operacin de dichas funciones y servicios. Con la informacin anterior, se est en condicin para la identificacin de los riesgos por prioridad y de esta manera iniciar el Anlisis, Evaluacin y Diagnstico de riesgos.
Pgina 36
Actividad 2.2 Anlisis, Evaluacin y Diagnstico de riesgos. Determinar la probabilidad anual de ocurrencia de un riesgo, el impacto potencial de un riesgo y la matriz de nivel de riesgo; para de sta manera, obtener las vulnerabilidades frente a las prdidas y valoracin del riesgo por recurso en cada actividad que interviene; lo anterior, es presentado en los siguientes cuadros:
Cuadro 3.2 Probabilidad de Ocurrencia de un riesgo [Elaboracin propia]. Tabla de probabilidad de ocurrencia Cualidad Descripcin
Raro Improbable Posible Probable Casi certeza Puede ocurrir slo en circunstancias excepcionales Puede ocurrir en algn momento Podra ocurrir en algn momento Probablemente ocurra en la mayora de circunstancias Se espera que ocurra en la mayora de circunstancias
Calificacin
1 2 3 4 5
Cuadro 3.3 Impacto potencial de un riesgo [Elaboracin propia]. Tabla de impacto potencial Detalle
Sin perjuicios, baja perdida financiera Tratamiento de primeros auxilios, liberado localmente, se contuvo inmediatamente,perdida financiera media Requiere tratamiento mdico, liberado localmente, contenido con asistencia externa, perdida financiera alta Perjuicios extensivos, prdida de capacidad de produccin, liberacin externa, sin efectos nocivos, perdida financiera mayor Muerte, liberacin txica externa con efectos nocivos, enorme prdida financiera
Calificacin
1 2 3 4 5
Descriptor
Insignificante Menor Moderado Mayor Catastrfico
Cuadro 3.4 Matriz de nivel de riesgo [Elaboracin propia]. Matriz de nivel de riesgo Probabilidad de ocurrencia
1 2 3 4 5 1 B B B M A 2 B B M A A
Impacto potencial
3 M M A A C 4 A A C C C 5 A C C C C
B = Bajo, M = Medio, A = Alto, C = Catastrfico.
Pgina 37
Actividad 2.3 Control de riesgos. Una vez que se determina el Anlisis/Evaluacin/Diagnstico de riesgos de la actividad anterior, se procede a determinar un conjunto de estrategias a implementar para que cada proceso tenga condiciones mnimas para poder reanudarse y de sta manera iniciar con el Anlisis de Impacto al Negocio. Actividad 2.4 Anlisis de Impacto al Negocio. Una vez realizado el Control de Riesgos, se procede a la identificacin de actividades de misin crtica, sus dependencias y puntos de falla, para determinar impactos y efectos (consecuencias) financieros y no financieros como resultado de una interrupcin o prdida de una o ms actividades de misin crtica durante varios periodos de tiempo. Una vez efectuada la actividad presente, se est en condiciones de realizar la Evaluacin y Diagnstico del Anlisis de Impacto al Negocio. Actividad 2.5 Evaluacin y Diagnstico del Anlisis de Impacto del Negocio. Identificar y categorizar los procesos del negocio, determinando los tiempos de reemplazo, para determinar las franjas de tiempo de recuperacin y requerimientos de recursos mnimos, como se muestra en la figura 3.6:
Describirlosefectos quederivandelas causas Describirlascausas defallaquepuede generarelescenario Describirel escenarioaanalizar
Escenario defallao perdida
Causas
Efectos
I P
Accin
Control deRiesgos
Calificarelimpacto, probabilidadyriesgo segnelanlisisde riesgos. Describirlaaccina realizar,unavezquese presenteelevento Describirlostiposde controlesconsiderados paramitigarelriesgo
Figura 3.6 Evaluacin y Diagnstico del anlisis de impacto al negocio [Elaboracin propia].
Pgina 38
Despus de realizar la evaluacin y el control de riesgos, los resultados obtenidos incluyen la identificacin y documentacin de: La probabilidad de ocurrencia, en la organizacin, a un tipo especfico de amenaza. Concentracin de riesgos donde el nmero de Actividades de Misin Crtica es localizado dentro del mismo edificio o en el mismo lugar. Una evaluacin y anlisis de riesgos (combinado con un Anlisis de Impacto del Negocio). Una estrategia de gestin de control de riesgo y plan de accin. El enfoque de priorizacin del Plan de Continuidad y control de riesgos. Para ello, se proponen las siguientes acciones: Entender las prdidas potenciales Identificar la exposicin de la organizacin a prdidas potenciales Identificar controles y medidas para prevenir o mitigar el efecto de las prdidas potenciales o Proteccin fsica o Proteccin lgica o Localizacin de activos Evaluar, seleccionar y utilizar apropiadas metodologas y herramientas de anlisis de riesgos Identificar e implementar las actividades de recoleccin de informacin Evaluar la efectividad de los controles y medidas Evaluacin de riesgos y controles o Escenarios de riesgo Administracin de registros vitales
Despus de realizado el Anlisis de Impacto al Negocio, se obtendrn como resultados, la identificacin y documentacin de: Objetivos y salidas (servicios y productos). Actividades de Misin Crtica, sus dependencias y puntos de falla. Impactos y efectos (consecuencias) financieros y no financieros como resultado de una interrupcin o prdida de una o ms actividades de misin crtica durante varios periodos de tiempo. Los objetivos del Plan para cada actividad de misin crtica y sus dependencias.
Pgina 39
Una priorizacin mnima y aceptable de la recuperacin de los recursos. Registros/datos vitales Usuarios y Clientes Claves Proveedores (tanto dentro como fuera de la organizacin) Para ello, se proponen las siguientes acciones: Evaluar los efectos de las interrupciones, daos e impactos al negocio Establecer la metodologa de Anlisis de Impacto al Negocio (por sus siglas en ingles, BIA) (cuestionarios, talleres, entrevistas, ...) Definir y categorizar las funciones y registros crticos Determinar las franjas de tiempo de recuperacin y requerimientos de recursos mnimos Identificar y categorizar los procesos del negocio Determinar tiempos de reemplazo Por lo que es necesario realizar una evaluacin de los procesos y sistemas del negocio, con el objetivo de identificar: reas, funciones y/o procesos sensibles a interrupciones Interdependencia entre procesos internos y externos Impactos financieros de las interrupciones Impactos Operacionales de las interrupciones Sistemas de informacin crticos para la operacin Tiempos objetivo de recuperacin (por siglas en ingls, RTO) Puntos Objetivo de recuperacin (por sus siglas en ingls, RPO) Clientes y proveedores crticos de la organizacin Recursos necesarios para la recuperacin de operaciones pocas crticas para la operacin del negocio
Obteniendo las siguientes actividades: Inventario de los procesos crticos del negocio. Secuencia de recuperacin de procesos y sistemas crticos Estimacin del impacto financiero de una interrupcin en los procesos crticos del negocio.
Pgina 40
Estimacin del impacto operacional de una interrupcin en los procesos crticos del negocio. Identificacin de los tiempos de recuperacin para cada proceso crtico del negocio. Identificacin de los requerimientos mnimos de los procesos o aplicaciones crticas del negocio durante las operaciones de recuperacin.
Una vez desarrollado el anlisis de riegos, su evaluacin en el Impacto al Negocio y conocido su correspondiente diagnstico, en la Fase II, se procede a efectuar la Fase III, para lo cual se requiere:
Pgina 41

Fase2.
Fase III.- Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres.
BCP
DRP
En esta etapa se identifican las alternativas de recuperacin de las operaciones en los marcos de tiempo definidos por los RTOs identificados, se determinan los recursos mnimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudacin y recuperacin. As mismo, se definen los procedimientos de notificacin y escalamiento de emergencias, los criterios y procedimientos de activacin de los planes de contingencia, al igual que los equipos de reanudacin y recuperacin, encargados de coordinar las actividades de recuperacin en el evento de activacin del plan. Actividad 3.1 Disear las estrategias de continuidad de la organizacin. Una vez identificados los requerimientos de continuidad de la organizacin en la Fase II, se identificarn los recursos necesarios y la forma de consecucin de los mismos para cada uno de los controles propuestos (desarrollo, compra de recursos, contrataciones, convenios, etc.). Actividad 3.2 Presentar el anlisis costo/beneficio de las estrategias de continuidad. Determinada la estrategia de continuidad, se analizar el impacto de esta sobre la operacin del rea funcional, tomando los costos tanto de nivel cualitativo como cuantitativo e incluyendo un anlisis costo/beneficio de la implantacin de un control. Actividad 3.3 Negociacin y firma de contratos con los proveedores de servicios. Una vez definida la estrategia de continuidad y el costo/beneficio de la misma, se procede a la negociacin y firma de los contratos con los proveedores de servicios de: Cold Site (Infraestructura bsica, varios das en operar), Hot Site (Parcialmente configurado, menos de un da en operar) y Warm Site (Listo para operar en pocas horas), este contrato debe incluir, los siguientes trminos, inscritos en la Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ, enviado a los proveedores de servicios: Configuraciones de los Sistemas de Informacin hospedados. Plan de Recuperacin ante Desastres del sitio alterno. Velocidad de disponibilidad de los Sistemas de Informacin hospedados. Pgina 42
Abonados por sitio. Abonados por rea. Preferencia en la disponibilidad de servicios. Pliza de seguros. Perodo de uso del sitio alterno. Comunicaciones del sitio alterno. Garantas por prdida parcial o total de informacin y/o equipos. Auditora de los servicios ofrecidos. Pruebas de seguridad y disponibilidad. Confiabilidad de servicios.
Actividad 3.4 Adquisicin de la infraestructura de TICs. Concluida la negociacin y firma de los contratos con los proveedores de servicios, se est en condicin de: adquirir y dar mantenimiento a la infraestructura tecnolgica que satisface el requisito del negocio, para adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI enfocndose en proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TICs y estndares de tecnologa en continuidad del negocio. Actividad 3.5 Preparacin del sitio alterno. Una vez adquirida la infraestructura de TICs necesaria, se consolida la informacin del centro alterno, su ubicacin, el mapa de los elementos que estn en el sitio, la funcionalidad de cada puesto de trabajo y el responsable de los elementos que all se encuentran, as como, el procedimiento para ingresar, teniendo en cuenta consideraciones de horario (hbil o no hbil). Actividad 3.6 Definir los procedimientos de recuperacin. Finalmente, se procede al diseo de la respuesta inicial, procedimientos de emergencia, activacin de los equipos de recuperacin de desastres y continuidad del negocio, activacin del sitio de recuperacin (recuperacin en el sitio alterno, recuperacin de actividades en paralelo o recuperacin en el sitio original) y notificaciones, requerimientos de los usuarios finales, as como, monitoreo de la recuperacin, progreso de la reanudacin y revisiones para conducir a la post-reanudacin.
Pgina 43
Despus de realizado el desarrollo de la estrategia de continuidad, se obtendrn como resultado, la identificacin y documentacin de: Categoras de Estrategias: Centro de procesamiento de datos: o Hardware requerido en el centro de procesamiento de datos. o Software requerido en el centro de procesamiento de datos. o Redes requeridas en el centro de procesamiento de datos. o Backup y recuperacin de la informacin Telecomunicaciones (voz y datos) reas de trabajo o Espacio o Muebles o Equipos Personal Seguros Recuperacin del Centro de Procesamiento de Datos: Alternativas de recuperacin: o Contratacin de sitios de recuperacin externos (Infraestructura bsica: varios das en operar Cold Sites; Parcialmente configurado: menos de un da en operar Hot Sites, Listo para operar en pocas horas Warm Sites, Instalaciones duplicadas) o Recuperacin interna o Acuerdos recprocos o Procedimientos manuales o Reduccin de servicios o Suspensin de servicios o Combinacin de estrategias. Calidad en el Servicio Quality of Service (QoS): Alta Disponibilidad o High Availability o Implementacin de controles preventivos, detectivos y correctivos para procurar la disponibilidad contina de los sistemas crticos de la organizacin. Tolerancia a Fallas Fault Tolerance o Un sistema fault-tolerant puede continuar brindado servicios a pesar de fallas de software o hardware. Balanceo de Cargas Load Balancing
Pgina 44
o Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeo (performance). Alta Disponibilidad: Redundancia en los Puntos Probables de Falla: SPFs (Single Point of Failure) Cunto tiempo de Cada de los Sistemas downtime estamos dispuestos a aceptar?
Cuadro 3.5 Disponibilidad de los Servicios [Fuente DRII, 2010].
QoS Clase 1 Clase 2 Clase 3 Clase 4 Clase 5 Porcentaje de disponibilidad 90 % 99 % 99.9 % 99.99 % 99.999 % Tiempo de Downtime 52.560 minutos/ao = 36,5 das/ao 5.256 minutos/ao = 3,65 das/ao 525,6 minutos/ao = 8,76 das/ao 52,56 minutos/ao 5,26 minutos/ao
Para ello, se proponen las siguientes acciones: Desarrollar alternativas de estrategias para: Refinar los requerimientos mnimos para la recuperacin. Incluyendo consideraciones para: o RTOs o Capacidad del Sitio de Recuperacin o Requerimientos de comunicaciones (voz y datos) o Viabilidad de recuperacin de acuerdo al planteo del peor escenario o Requerimientos de reas de trabajo (espacio, equipos, insumos, archivos vitales, etc.) o Requerimientos de recursos humanos o Situacin geogrfica y de transporte. Identificar las alternativas viables para la recuperacin: Contratacin de sitios de recuperacin externos (Infraestructura bsica: varios das en operar Cold Sites; Parcialmente configurado: menos de un da en operar Hot Sites, Listo para operar en pocas horas Warm Sites, Instalaciones duplicadas) Recuperacin interna (Dentro de las instalaciones de la organizacin) Acuerdos recprocos (Sitios alternos y recuperacin interna)
Pgina 45
Procedimientos manuales de recuperacin. Respuesta de reduccin de servicios de TICs Suspensin de servicios de TICs Combinacin de estrategias. Seleccionar una estrategia de recuperacin eficiente. Seleccin del Proveedor: Hacer un anlisis inicial de los proveedores existentes. Preseleccionar los ms viables para el proyecto de acuerdo a: o Importancia o Experiencia o Clientes actuales o Referencias o Respaldo financiero. Confeccionar una Solicitud de Propuestas/Solicitud de Calificaciones (Por sus siglas en ingls RFP/RFQ) para enviar a los proveedores preseleccionados. Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ: Lineamientos bsicos de la propuesta o Consideraciones Generales o Consideraciones de Seguridad Informtica Alternativas a Cotizar por ejemplo: o Alternativa 1: Cold Site (Infraestructura bsica, varios das en operar) o Alternativa 2: Hot Site (Parcialmente configurado, menos de un da en operar) o Alternativa 3: Warm Site (Listo para operar en pocas horas) Detalle de equipos y dispositivos a cotizar Respuesta a Emergencias: Identificar componentes de los procedimientos de respuesta a emergencia Especificar los procedimientos de respuesta a emergencia Identificar requerimientos de control y autoridad Elaborar procedimientos de control y autoridad Respuesta a emergencia y recuperacin Salvamento y restauracin Respuesta a emergencia y recuperacin: Dividir la respuesta ante una emergencia en 5 fases: o Fase de Prevencin: Prevencin de los activos corporativos, manejo de riesgos.
Pgina 46
o Fase de Respuesta: Manejo de crisis, contener el dao, activar organizacin de recuperacin. o Fase de Reanudacin: Reanudar las operaciones sensibles al tiempo, en la localidad alterna. o Fase de Recuperacin: Recuperar todas las dems operaciones. o Fase de Restauracin: Reparar/restaurar facilidades y contenidos Regreso a Casa.
Despus de realizado el desarrollo del Plan de Continuidad, se obtendrn como resultados, la identificacin y documentacin de: Identificar requerimientos para el desarrollo de los planes. Definir requerimientos de control y administracin de la continuidad. Identificar y definir un formato y la estructura principal de los componentes de los planes. Elaborar un borrador de los planes. Definir procedimientos de gestin de crisis y continuidad del negocio. Definir las estrategias de evaluacin de daos y reanudacin. Desarrollar una introduccin general a los planes. Desarrollar la documentacin de los equipos de operacin del negocio. Desarrollar la documentacin de los equipos de recuperacin de tecnologa de informacin. Desarrollar el sistema de comunicaciones. Desarrollar los planes de los usuarios finales de aplicaciones. Implementar los planes. Establecer los procedimientos de control y distribucin de los planes.
Desarrollado el plan de continuidad y su estrategia de recuperacin ante desastres, en la Fase III, se inicia la Fase IV de capacitacin del personal, prueba y ejercitacin del correspondiente Plan de Continuidad, para lo cual se requiere:
Pgina 47

Fase2.
Fase IV.- Capacitar, probar y ejercitar.
BCP
DRP
Determinar la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupcin, evaluando el equipo y personal a cargo de cada actividad crtica, realizando una prueba al sistema demostrando competencia y capacidad de continuidad del negocio, a travs de la revisin de los estndares y mejores prcticas, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a estndares predefinidos. Actividad 4.1 Definir objetivos de entrenamiento. Establecer las estrategias y procedimientos de los programas de entrenamiento, para proveer de direccionamiento, soporte, metodologas y estndares para garantizar la continuidad del negocio y servicios de TICs; con ello, se est en condicin de implementar varios tipos de programas de entrenamiento. Actividad 4.2 Desarrollar entrenamiento. e implementar varios tipos de programas de
Definidos los objetivos de entrenamiento, se desarrollan los programas de capacitacin en todos los niveles de la organizacin en lo referente a los planes de continuidad de los procesos del negocio y servicios de TIC, incluyendo las definiciones de los trminos usados, los objetivos del plan, los supuestos y limitaciones, el anlisis de riesgos y su impacto al negocio realizado y los escenarios contemplados, as como las estrategias y procedimientos definidos, asignando a cada uno de los participantes su rol dentro de dichos planes; de esta manera se pueden identificar algunas otras oportunidades de educacin. Actividad 4.3 Identificar otras oportunidades de educacin Los gerentes y el personal de Recursos Humanos deben permanecer alerta a los tipos de capacitacin que se requieren, cundo se necesitan, quin lo precisa y qu mtodos son mejores para dar a los empleados el conocimiento, habilidades y capacidades necesarias. Para asegurar que la capacitacin sea oportuna y est enfocada en los aspectos prioritarios los gerentes deben abordar la evaluacin de necesidades en forma sistemtica y con ello, iniciar la planificacin de los escenarios de prueba.
Pgina 48
Actividad 4.4 Descripcin de las pruebas. Esta etapa se orienta a probar con antelacin y coordinar ejercicios, documentando y evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una adecuada recuperacin de las operaciones de TI, de acuerdo con la direccin estratgica del negocio, y de sta manera iniciar con la planificacin de los escenarios de prueba y su periodicidad. Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. Incluir un grupo de administracin, logstica, recursos, listas de verificacin, y estructura, especificando las estrategias que se probarn. Posterior a la planificacin del ejercicio se harn las consideraciones del programa, se documentar el ejercicio junto con la informacin de los participantes, asegurando la vigencia de las pruebas, indicando su periodicidad y sus responsables; para su posterior ejercitacin. Actividad 4.6 Ejercitacin de las pruebas. Descrito y planificado el escenario de prueba, se debe realizar una bitcora de ejecucin con los resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecucin, resultado y responsable, para su posterior anlisis y evaluacin con el objetivo de tenerlos en cuenta en pruebas posteriores junto con sus recomendaciones.
Con la realizacin del ejercicio se determinan varios aspectos, entre los cuales se encuentran: Identificar el nivel de madures del Plan de Continuidad y Recuperacin ante Desastres de la organizacin. Verificacin y validacin a los planes de continuidad del negocio, gestin de crisis y estrategias son viables, efectivas, actualizadas, ajustadas al propsito y permiten la gestin, control y coordinacin de eventos y estrategias del Plan a nivel tctico y operacional. Verificacin y validacin que los miembros y personal se familiarizan con el entendimiento de roles, responsabilidades y autoridades en la operacin de la continuidad del negocio y proceso de administracin de crisis. La formacin de conciencia involucrando individuos usando la continuidad del negocio y los planes de gestin de crisis.
Pgina 49
Pruebas tcnicas, logsticas, de administracin y otras de sistemas operacionales de continuidad del negocio y planes de gestin de crisis. Probar la organizacin e infraestructura de la gestin de continuidad del negocio que incluye centros de comando, reas de trabajo, recursos de recuperacin de tecnologa y telecomunicaciones. El ensayo de la disponibilidad y traslado del personal. Verificacin y validacin que el plan de continuidad de negocio refleja las actuales prioridades del negocio. La oportunidad de identificar defectos y mejoras de la organizacin del Plan, administracin de crisis y planes de continuidad de negocio. Documentacin y evaluacin del ejercicio. Para ello, se propone las siguientes acciones: Establecer un programa de ejercicios (pruebas) Determinar requerimientos de los ejercicios Definir escenarios de desastre Establecer criterios de evaluacin y documentar los hallazgos Crear un cronograma de ejercicios Crear un plan de control y reporte de los ejercicios Facilitar la realizacin de los ejercicios Reporte post-ejercicios Retroalimentar y monitorear los resultados de los ejercicios Definir un cronograma de mantenimiento de los planes Formular los procedimientos de control de cambios Establecer procedimientos para informar el estado de los planes Objetivos de auditoria
Desarrollado el programa de capacitacin del personal, prueba y ejercitacin del correspondiente Plan de Continuidad, en la Fase IV, se inicia la Fase V de Auditoria, Mantenimiento y Actualizacin del correspondiente Plan de Continuidad, para lo cual se requiere:
Pgina 50

Fase2.
Fase V.- Auditora, Mantenimiento y Actualizacin.
BCP
DRP
En esta fase se revisan los estndares de Continuidad del Negocio y Recuperacin ante Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estndares predefinidos, desarrollando una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. Actividad 5.1 Auditoria al Plan de Continuidad. Revisar los estndares de Continuidad del Negocio y Recuperacin ante Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estndares predefinidos, documentado el proceso para realizar un plan de accin y un programa de monitoreo. Una vez efectuada la auditora, se procede a desarrollar las polticas de mantenimiento, en base a las observaciones hechas por la misma. Actividad 5.2 Mantenimiento al Plan de Continuidad. Las modificaciones al Plan de Continuidad, se basan principalmente en las observaciones efectuadas por la Auditora, por lo que se debe hacer una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. Cada vez que se modifique el plan, se deber llevar una bitcora en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento cambiado, la descripcin de la modificacin, quin la hizo y si ya se distribuy o no. Lo anterior, da hincapi al desarrollo de los mecanismos de almacenamiento, actualizacin y distribucin. Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. Una vez terminado el plan de continuidad, ste se deber almacenar en diferentes medios y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnticos no estn disponibles en el momento de un incidente. Dichas copias se deben almacenar tambin en los centros alternos.
Pgina 51
Actividad 5.4 Mecanismo de actualizacin del Plan de Continuidad. Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran importancia verificar que todas las copias contengan la misma informacin. Actividad 5.5 Mecanismo de distribucin del Plan de Continuidad. Cada vez que se modifique o actualice el plan, se debern distribuir y divulgar las nuevas actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, stas se tendrn que realizar con la mayor brevedad posible. La auditora revisar varios aspectos en la organizacin algunos de ellos son: Resistencia (aplicacin de planes y estrategias en crisis) Polticas, estrategias, marcos y planes, contina bajo presin de acuerdo a estrategias, prioridades y objetivos. Polticas, estrategias, marcos y planes, contina bajo presin de acuerdo a las directrices de buenas prcticas. El Plan es competente de acuerdo al propsito Los planes y soluciones son efectivos y actualizados de acuerdo al propsito Implementacin de programas. Documenta el control, procesos y procedimientos operando efectivamente. Para ello, se proponen las siguientes acciones: Definicin y documentacin del programa de auditoria. Auditar el plan de auditoria. Buscar expertos internos y externos. Aplicar los estndares de auditoria. Actualizar estrategias del Plan, normas de requerimientos, legislacin, directrices de buenas prcticas, estndares. Realizar programas de conciencia y formacin. Actualizar anlisis de impacto, estrategias y planes a ser auditados.
Pgina 52
Despus del desarrollo de sta fase, se obtendrn como resultados, la identificacin y documentacin de: Pruebas definidas y documentadas para la gestin y gobierno pro activo del programa de mantenimiento y monitoreo del Plan respecto a actividades de misin critica y sus dependencias. Detalles de todos los cambios de estrategias del Plan documentados con toda la historia de estrategias y detalles de control de versiones. Identificacin e inclusin de cambios en los sistemas y proceso de la organizacin Verificacin y validacin de anlisis de impacto y de riesgos basados en las estrategias y planes de continuidad. Verificacin y validacin que las estrategias y planes son actualizados, precisos y completos. Verificacin y validacin que los planes de continuidad del negocio siguen una secuencia lgica, formato, estructura conforme a las directrices y estndares de buenas prcticas. Verificacin y validacin que los cambios de procedimiento y procesos son puestos. Verificacin y validacin que el personal tiene entendido los roles de responsabilidad y le es claro el plan. Disparadores de actualizacin del Plan de Continuidad: Cambios en el personal clave. Cambios en el organigrama (Ej. Creacin de nuevas posiciones). Cambios de direccin / telfono de algn componente del equipo de recuperacin. Cambios en cualquier equipo o dispositivo informtico incluido dentro del esquema de recuperacin. Cambio en algn procedimiento. Reubicacin de instalaciones. Nuevos proveedores para los recursos crticos. Cambios en la configuracin de los sistemas o los dispositivos de almacenamiento (Storage). Cambios en la configuracin de comunicaciones o de las redes.
Pgina 53
Por ltimo, se deben tener en cuenta los elementos mnimos en las revisiones del plan: Requerimientos operacionales Requerimientos de seguridad Procedimientos tcnicos Hardware, software y otros equipos (tipos, especificaciones y cantidad) Nombres e informacin de contacto de los miembros de los equipos de recuperacin Nombres e informacin de contacto de los proveedores Archivos vitales (impresos y electrnicos).
En el presente captulo, se estudi como una amenaza nunca va a desaparecer, siempre estar presente en todos los procesos de una organizacin. Por lo anterior, buscando un mejoramiento permanente en los estndares de respuesta y continuidad, se ha esforzado en perfeccionar y formalizar el mtodo expuesto, proporcionando una secuencia definida de pasos para elaborar de manera sistemtica un plan para la continuidad y recuperacin ante desastres en los Sistemas de Tecnologas de la Informacin y Comunicaciones aplicado a la Industria de la Manufactura, tomando como base los Marcos de Referencia: de la Norma BS 25999, ISO/IEC 24762 y la metodologa DRII sobre Continuidad del Negocio. En el siguiente captulo, se aplicar la metodologa propuesta, se estudiar la criticidad de las TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin perjudique o degrade los objetivos y la calidad de la actividad en concreto.
Pgina 54
Captulo 4
Aplicacin de la Metodologa. Caso de Estudio: Empresa de Manufactura de Empaques de Cartn.
Captulo 4 Aplicacin de la metodologa propuesta
CAPTULO 4. APLICACIN DE LA METODOLOGA. CASO DE ESTUDIO: EMPRESA DE MANUFACTURA DE EMPAQUES DE CARTN. En el captulo anterior, se propone una metodologa para la continuidad y recuperacin ante desastres de TICs en la industria de la manufactura, por lo que una aproximacin acertada es conocer con detalle la organizacin que se quiere proteger. No slo se deben identificar los riesgos, tambin evaluarlos para posteriormente decidir sobre las medidas que puedan mitigarlos. Para ello, se deber identificar los activos de la empresa; as como, las debilidades que puedan padecer, estimando probabilidades de ocurrencia y asignndoles una importancia para la misin de la empresa. En el presente captulo, se aplicar la metodologa propuesta, se estudiar la criticidad de las TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin perjudique o degrade los objetivos y la calidad de la actividad en concreto. 4.1 Introduccin. Hoy las empresas son ms dependientes de la tecnologa y compiten en escenarios complejos debido a la globalizacin, se hacen ms susceptibles a que una serie de amenazas puedan penetrar sus vulnerabilidades y causarles dao, al grado de dejarlas fuera del mercado. Los mercados y la cadena de suministros exigen hoy en da a las empresas poder demostrar que se posee un plan de continuidad del negocio ante la supuesta presencia de una tragedia. La empresa tiene que asegurar a terceros que ante la ocurrencia de un evento mayor o menor, ella seguir operando. Se necesita demostrar confianza de ser un proveedor confiable; la metodologa propuesta, est concentrada en proteger los procesos vitales del negocio, en el escenario que se presente un incidente crtico, se busca que los componentes esenciales de la organizacin sigan operando.
Pgina 55
4.2 Desarrollo de la metodologa propuesta. Estudio de la criticidad de las TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin perjudique o degrade los objetivos y la calidad de la actividad en concreto.
Fase1. Conocery planificarel medioambiente organizacional. Fase 5. Auditora, mantenimiento yactualizacin. Fase2.
Fase 1. Conocer y planificar el medio ambiente organizacional.
BCP
Metodologaparala creacindeunPlan paralaContinuidady Recuperacinante Desastres enlos SistemasdeTICs en laindustriadela manufactura.
Fase 3. Fase 4. Capacitar, probar y ejercitar. Desarrollarel plande continuidady estrategiasde recuperacin antedesastres.
DRP
Establecer la necesidad de desarrollar el Plan de Continuidad en la organizacin, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante: conocer previamente en trminos generales, la naturaleza de la situacin, en cuestin. Por tal motivo, es necesario investigar los antecedentes de la problemtica a tratar; lo cual, permitir identificar el medio ambiente y las reas donde se desenvuelve el problema, as como los elementos y relaciones fundamentales que sern objeto de estudio [Galindo, 2005].
FaseI. FaseII. FaseIII. FaseIV. FaseV.
Conocery planificarel medio ambiente organizacional. Analizar, evaluary diagnosticarriesgosy su impactoalnegocio. Desarrollarelplan de continuidad yestrategias derecuperacin ante desastres. Capacitar, probary ejercitar. Auditora, mantenimiento y actualizacin.
A1.1. Conocer el medio ambiente general.
Actividad 1.1 Conocer el medio ambiente general.
A1.2. Identificarla estructura organizacional.de la empresa. A1.3. Definirla arquitecturade macroprocesos. A1.4. Definirequipos de planificacinysus responsabilidades. A1.5. Definicinde objetivos,alcancey escenariosdel problema. A1.6.Concientizacin yaprobacinporparte delosdirectivos.
A2.1. Identificacin de las funciones, serviciosyrecursos crticos del rea. A2.2. Anlisis, evaluaciny diagnsticode riesgos. A2.3. Control de riesgos. A2.4. Anlisisde impactoal negocio. A2.5. Evaluaciny diagnsticodel anlisis de impactoalnegocio.
A3.1. Disearlas estrategiasde continuidaddela organizacin. A3.2. Presentarel anlisiscosto/beneficio de lasestrategiasde continuidad. A3.3. Negociaciny firmade contratoscon losproveedores de servicios. A3.4.Adquisicinde lainfraestructurade TICs. A3.5. Preparacindel sitioalterno. A3.6. Definirlos procedimientosde recuperacin.
A4.1. Definir objetivosde entrenamiento. A4.2. Desarrollare implementarvarios tiposde programas de entrenamiento. A4.3. Identificarotras oportunidadesde educacin. A4.4. Descripcinde las pruebas. A4.5. Planificarlos escenariosde pruebay superiodicidad. A4.6. Ejercitacinde las pruebas.
A5.1. Auditora. A5.2.Polticasde mantenimiento. A5.3.Mecanismode almacenamiento. A5.4.Mecanismode actualizacin. A5.5.Mecanismode distribucin.
Conocer el supra o macro sistema: Empresa. Es necesario conocer su visin, misin, polticas, sus planes y estrategias correspondientes, los objetivos a cumplir para esos fines, las funciones que definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo.
La empresa objeto de estudio, est considerada como una de las principales convertidoras de empaques en las Artes Grficas dentro de Amrica Latina, dedicada a la produccin de papeles liner, mdium y cartoncillo para caja plegadiza, as como a la manufactura de cajas corrugadas, plegadizas y pre-impresas. Inici sus actividades como un productor de cartn que abasteca un pequeo volumen al mercado, pero a travs de los aos sus actividades crecieron y la calidad del cartn domin el mercado mexicano. Ahora abastecen cartn y empaque a los principales consumidores a lo largo de la Repblica Mexicana. Cuenta con dos plantas de conversin y tres molinos de papel, en el ltimo de ellos, se concentr la mayor tecnologa en la produccin de papel y cartn que actualmente compite con las empresas ms desarrolladas del ramo a nivel mundial y la ms avanzada de Latinoamrica.
Pgina 56
El personal es la razn de ser de la empresa. A travs de su involucramiento y dedicacin se ha logrado como resultado el crecimiento de la organizacin, en la figura 4.1, se detalla la estructura organizacional de la empresa en estudio. La figura 4.1, muestra el diagrama tipo mapa mental de la organizacin, que ayuda a la integracin de los elementos identificados permitiendo la visin grfica e integral del contexto:
Visin: Consolidacin como una excelente opcin, competitiva en el mercado nacional, con reconocimiento a nivel internacional
Misin: Proporcionar soluciones de empaque y embalaje de papel y cartn con calidad y servicio.
Valores: Calidad, comunicacin, congruencia, honestidad, lealtad, respeto, responsabilidad, trabajo en equipo.
Poltica de Calidad: Asegurar que los productos fabricados cumplan los requisitos de calidad
Aseguramiento de Calidad: El sistema de calidad adoptado cumple con la norma ISO 9001:2000
Ecologa: Planta recuperadora de solventes, planta de tratamiento de aguas, manejo y control de residuos, generacin de energa elctrica.
Empresaobjetode estudio.
Preprensa: Diseo estructura, preprensa, transporte,
Papel: Fabricamos varios tipos de papeles y cartoncillos reciclados, en mayor porcentaje para autoconsumo.
Plegadizo: Impresin, Rotograbado, Suaje, Engomado
Corrugado y Preimpreso: Corrugar y laminar flautas tipo F, E, B, C, CB y Single-Face. Manufactura de cajas especiales y estndar, terminaciones especiales.
Tecnologa: Integracin vertical, la mayora de nuestros procesos son controlados y operados por nosotros directamente.
Figura 4.1 Diagrama tipo mapa mental de la Organizacin.
Una vez conocido el medio ambiente general, se procede a identificar la estructura organizacional.
Pgina 57
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Conocery planificarel medio ambiente organizacional.
Analizar, evaluary diagnosticarriesgosy su impactoalnegocio.
Desarrollarelplan de continuidad yestrategias derecuperacin ante desastres.
Capacitar, probary ejercitar.
Auditora, mantenimiento y actualizacin.
A1.1. Conocerel medioambiente general.
Actividad 1.2 Identificar la Estructura Organizacional de la Empresa o Institucin.
A1.2. Identificarla estructura organizacional.dela empresa.

A1.3. Definirla arquitecturade macroprocesos. A1.4. Definirequipos deplanificacinysus responsabilidades. A1.5.Definicinde objetivos,alcance y escenariosdel problema. A1.6. Concientizacin yaprobacinpor parte de losdirectivos.
Un aspecto fundamental en el conocimiento del medio ambiente es: identificar la estructura organizacional de la empresa o institucin, y de las reas particulares de desarrollo. Esto ayudar a ubicar las reas que apoyar el sistema; as como, a quien se deber entrevistar y pedir informacin para la construccin del mismo.
COMIT EJECUTIVO SECRETARIA DE COMIT
ISO
Septiem bre/2008
DIRECTOR GENERAL
GERENTE GENERAL
DIRECTOR CORP. DE RECURSOS HUMANOS
DIRECTOR CORP. DE AUDITORIA
DIRECTOR DE PLANTA TIZAYUCA
DIRECTOR CORP. DE ADMON. Y FINANZAS
LEGAL
DIRECTOR DE CONVERSIN
GERENTE DE INGENIERA
GERENTE CORPORATIVO ISO 9000 DIRECTOR COMERCIAL VALLEJO GERENTE DE MANTENIMIENTO ELCTRICO GTE. DE VTAS. PLEGADIZO Y PRE-IMPRESO Y CORRUGADO GERENTE DE VENTAS CARTONCILLO PAPEL GERENTE SERVICIO A CLIENTES
GERENTE CORP. DE PLANTA DE FUERZA
CONTRALOR
GERENTE DE ROTOGRABADO
GERENTE DE CALIDAD CONVERSIN
GERENTE COMPRAS Y ALMACENES
GERENTE TESORERA
COORDINADOR DE MATERIAS PRIMAS
GERENTE DE TALLER MECNICO
GERENTE DE LOGSTICA
GERENTE DE PRODUCCIN CARTONCILLO
GERENTE CORPORATIVO DE SISTEMAS
rea Funcional de Apoyo, TI.

GERENTE TCNICO
reas Funcionales de Manufactura.
reas Funcionales de Distribucin.
reas Funcionales de Finanzas.
Figura 4.2 Organigrama general de la empresa objeto de estudio.
La capacidad de produccin es el mximo nivel de actividad que puede alcanzarse con la estructura productiva antes mencionada. El estudio de la capacidad es fundamental para la gestin empresarial, permite analizar el grado de uso que se hace de cada uno de los recursos en la organizacin y as tener oportunidad de optimizarlos.
Pgina 58
Una vez ubicada el rea o reas principales ahora, se debe de ubicar el rea particular donde se desarrollar el Plan de Continuidad y Recuperacin ante desastres, ello ayuda a conocer el medio ambiente ms cercano al desarrollo del proyecto: para tal fin, en la figura 4.3, se presenta el organigrama particular del rea funcional de apoyo:
COMIT EJECUTIVO SECRETARIA DE COMIT
ISO
Septiem bre/2008
DIRECTOR GENERAL
GERENTE GENERAL
DIRECTOR CORP. DE RECURSOS HUMANOS
DIRECTOR CORP. DE AUDITORIA
DIRECTOR DE PLANTA TIZAYUCA
LEGAL
DIRECTOR DE CONVERSIN
GERENTE DE INGENIERA
GERENTE CORPORATIVO ISO 9000 DIRECTOR COMERCIAL VALLEJO GERENTE DE MANTENIMIENTO ELCTRICO GTE. DE VTAS. PLEGADIZO Y PRE-IMPRESO Y CORRUGADO GERENTE DE VENTAS CARTONCILLO PAPEL GERENTE SERVICIO A CLIENTES
GERENTE CORP. DE PLANTA DE FUERZA
CONTRALOR
GERENTE DE ROTOGRABADO
GERENTE DE CALIDAD CONVERSIN
GERENTE COMPRAS Y ALMACENES
GERENTE TESORERA
GERENTE DE LOGSTICA
GERENTE DE PRODUCCIN CARTONCILLO
GERENTE CORPORATIVO DE SISTEMAS
rea Funcional de Apoyo, TI.

GERENTE TCNICO
reas Funcionales de Manufactura. reas Funcionales de Distribucin.
reas Funcionales de Finanzas.
ISO
Septiem bre/2008
GERENTE CORP. DE SISTEMAS
GERENTE DE DESARROLLO DE SISTEMAS
GERENTE SOPORTE TCNICO
PLANEACIN Y DESARROLLO
LDER DE PROYECTO MANUFACTURA
LDER DE PROYECTO DISTRIBUCIN
LDER DE PROYECTO NOMINA Y RH
LDER DE PROYECTO FINANZAS
LDER TELECOMUNICACIONES
LDER ADMINISTRACIN DE SISTEMAS
LDER SOPORTE TCNICO
PLANEACIN, EVALUACIN Y SEGUIMIENTO
DESARROLLO TECNOLGICO
Figura 4.3 Organigrama del rea funcional de apoyo TI, de la empresa objeto de estudio.
Como una siguiente actividad, se procede a definir la Arquitectura de Macroprocesos de la Organizacin.
Pgina 59
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 1.3 Definir la Arquitectura de Macroprocesos.
A1.1. Conocerel medioambiente general. A1.2. Identificarla estructura organizacional.de la empresa.
A1.3. Definirla arquitecturade macroprocesos.

A1.4. Definirequipos deplanificacinysus responsabilidades. A1.5.Definicinde objetivos,alcance y escenariosdel problema. A1.6. Concientizacin yaprobacinpor parte de losdirectivos.
Una vez ubicada el rea o reas principales se debe, identificar una coleccin de procesos interrelacionados que generan un resultado bien definido dentro del funcionamiento de la empresa (macroproceso).
Existen procesos de negocios bien definidos y diseados que ejecutan las actividades de la organizacin, stos se pueden tipificar en cuatro grandes grupos o macro procesos, As, la estructura de procesos de la empresa objeto de estudio, se muestra en la Figura 4.4, donde tiene los siguientes macro procesos: Diseo de productos que equivale a Macro2; Desarrollo del negocio, a Macro3; Procesos Habilitadores, a Macro4; y Cadena con el cliente y Cadena de suministros, que juntos equivalen a Macro1:
Procesoshabilitadores
Nivel0:Divisin organizacionalen cuatro dominios principales
Recursos
Diseode productos
Desarrollodel negocio
Cadenacon el cliente
Clientes
Cadenade suministros
Planificacin Investigacin Nivel1:Procesos Nivel2:Variaciones Diseo Integracin Correccin
Planificacin Abastecimiento Produccin Distribucin Devolucin
Planificacin Estudiodemercado Anlisisdelnegocio Diseodelnegocio Revisindelnegocio
Planificacin Contacto Venta Soporte Relacin
3.1 Nivel3: Subprocesos Recepcin, validaciny aprobacin
3.2 Definirmtodo decontacto
3.3 Capturar necesidadesdel cliente
3.4 Determinar perfildel cliente
3.5 Informarreglas delnegocio
3.6 Liberacinpara venta
Nivel4:Actividades especficasparala empresayproceso enparticular
Tablaspara cada procesoy subproceso Mtricas Mejoresprcticas
Figura 4.4 Macro procesos de la empresa objeto de estudio.
Pgina 60
En la manufactura de productos de papel, el Producto al cliente (externo) es, por ejemplo, empaques o rollos de papel; el Flujo fsico est compuesto de los insumos necesarios: celulosa, tintas y otros productos qumicos; la Ejecucin es la transformacin en mquinas papeleras de los insumos en productos; la Gestin va desde la atencin a los clientes para recibir pedidos hasta la confeccin de planes y programas de produccin para las mquinas, y un seguimiento para asegurar el cumplimiento de stos y la satisfaccin de los clientes; Mantencin del estado son los sistemas que permiten capturar lo que sucede en Gestin y Ejecucin (pedidos, especificaciones, planes, programas, trabajo ejecutado, etc.) para saber en todo momento la situacin del proceso y retroalimentarlo a las actividades del mismo. La figura 4.5, incluye los procesos y relaciones modelados segn las convenciones de IDEF0. La Produccin y entrega de productos o servicios es un proceso de Ejecucin; Gestin de produccin y entrega, Administracin relacin con proveedores y Administracin relacin con el cliente son instancias de un proceso de Gestin; y Mantencin del estado corresponde al proceso homnimo:
Planes Nuevos productos y servicios
Requerimientos e informacin de mercado
Informacion al mercado
Cliente e informacin
Administracin relacin con el cliente 1

Mensaje requerimientos productos y servicios Cliente a proceso y antecedentes producto o servicio Cambios de estado
Respuesta requerimientos
Informacin proveedores
Administracin relacin con proveedores 2 Gestin produccin y entrega 3

Necesidades insumos y otros
Informacion y rdenes a proveedores
Ideas cambio productos y procesos produccin Mensaje plan e instrucciones
Producto o servicio al cliente
Insumos y otros recursos proveedores
Produccin y entrega bien o servicio 4
Cliente procesado
Necesidades e informacin control Estado 1 Estado 2 Estado 3 Estado 4
Mantencin estado 5
Informacin a otros procesos
Informacin de otros procesos
Informacin estado Otros recursos
Figura 4.5 Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la empresa objeto de estudio.
Pgina 61
Una vez conocido el medio ambiente organizacional, se procede a la definicin de los equipos de planificacin:
Conocery planificarel medio ambiente organizacional. Analizar, evaluary diagnosticarriesgosy su impactoalnegocio. Desarrollarelplan de continuidad yestrategias derecuperacin ante desastres. Capacitar, probary ejercitar. Auditora, mantenimiento y actualizacin.
Actividad 1.4 Definir equipos de planificacin y sus responsabilidades.
A1.1. Conocerel medioambiente general. A1.2. Identificarla estructura organizacional.de la empresa. A1.3. Definirla arquitecturade macroprocesos.
A1.4. Definir equiposde planificacin ysus responsabilidades.

A1.5.Definicinde objetivos,alcance y escenariosdel problema. A1.6. Concientizacin yaprobacinpor parte de losdirectivos.
Para comenzar a construir el plan de continuidad de cada rea, se conformar un equipo interdisciplinario apoyado por la direccin general de la entidad y coordinado por la direccin del rea funcional, identificando al personal clave de TI y usuarios para la toma de decisiones, detallando los roles e integrantes de cada equipo y asignando las responsabilidades en caso de desastre.
Los equipos de planificacin propuestos se detallan en la figura 4.6, los cuales se obtienen a partir de la estructura organizacional de la empresa y la arquitectura de macroprocesos identificadas anteriormente, donde esta ltima nos detalla los procesos crticos a considerar en la fabricacin del producto:
EQUIPO DE RESPUESTA A INCIDENTES DIRECTOR CORP. DE RECURSOS HUMANOS DIRECTOR GENERAL
ISO
Septiem bre/2008
EQUIPO DE ACCIN DE EMERGENCIA
EQUIPO ADMINISTRADOR DE LA EMERGENCIA
EQUIPO DE EVALUACIN DE DAOS
GERENTE GENERAL
LDER DE PROYECTO MANUFACTURA
LDER TELECOMUNICACIONES
GERENTE DE MANTENIMIENTO ELCTRICO
GERENTE DE COMPRAS Y ALMACENES
LDER DE PROYECTO DISTRIBUCIN
LDER ADMINISTRACIN DE SISTEMAS
LDER DE PROYECTO FINANZAS
LDER SOPORTE TCNICO
rea Funcional de Apoyo ,TI
reas Funcionales de Manufactura, Distribucin y Finanzas.
Subreas Tcnicas.
Figura 4.6 Equipos de trabajo para respuesta a incidentes.
Pgina 62
El cuadro 4.1, detalla las funciones de los diferentes elementos que integran los equipos de respuesta a incidentes de la estructura anterior:
Cuadro 4.1 Funciones de los equipos de respuesta a incidentes (Inicio). Equipo Empleado
Coordinador
Funcin
Dirigir la definicin de objetivos, polticas y actividades crticas. Coordinar y organizar directores por cada fase del proyecto. Controlar el proceso del Plan a travs de mtodos de control efectivo y gestin de cambio. Presentar el proceso a Directivos y personal. Desarrollar el Plan y presupuesto para iniciar el proceso. Definir y recomendar procesos de estructura y gestin. Dirigir el proyecto a desarrollar e implementar el proceso del Plan.
Equipo de Accin de Emergencia
Gerente General (Manufactura)
Gerente de Compras y Almacenes (Distribucin)
Director de Finanzas (Finanzas)
Participar en las sesiones de trabajo programadas para la evaluacin de los riesgos e impactos del proceso bajo su responsabilidad. Aportar su conocimiento del proceso de negocios en el anlisis y diseo de los procedimientos de recuperacin. Liderar la recuperacin del proceso de negocios a su cargo en los simulacros y prcticas, y en las situaciones reales. Identificar e implantar mejoras al plan de contingencia y a los procedimientos de recuperacin bajo su responsabilidad. Servir de enlace entre los equipos de accin de emergencia, administracin de emergencia y evaluacin de daos. Mantenimiento de la informacin del estado de recuperacin. Coordinar con otros equipos de recuperacin.
Coordinador
Equipo de Evaluacin de Daos Gerente de Mantenimiento Elctrico
Gerente de Taller Mecnico
Determinar el dao en la red elctrica y asegurar la provisin del equipo de reemplazo. Coordinar con entes externos para restaurar el servicio. Probar que la red elctrica se haya establecido adecuadamente. Coordinar con otros equipos de recuperacin. Apreciacin de daos, identificacin de causas e impactos y estimacin del tiempo de recuperacin. Supervisar equipos de pruebas, sistemas y redes. Implantar reglamentaciones y procedimientos de seguridad.
Notacin para el marcado de las funciones: Funcin Crtica Funcin Muy Importante Funcin Importante
Pgina 63
Cuadro 4.1 Funciones de los equipos de respuesta a incidentes (Final). Equipo Empleado
Coordinador
Funcin
Lder de proyecto Manufactura. Lder de proyecto Distribucin. Lder de Proyecto Finanzas.
Coordinar la recuperacin de las aplicaciones en el computador alterno y en el computador principal, en caso necesario. Reconstruir el ambiente de operacin de las aplicaciones que residen en los servidores. Soportar el esfuerzo de los usuarios para actualizar los datos de la aplicacin. En caso necesario, desarrollar un plan de trabajo detallado para moverse del sitio-alterno al sitio principal.
Equipo Administrador de la Emergencia Lder de proyecto Telecomunicaciones.
Desarrollar y documentar las configuraciones de las comunicaciones de datos. Determinar el dao en la red de comunicaciones y asegurar la provisin del equipo de reemplazo. Coordinar la instalacin del software del sistema operativo que permita la restauracin de las comunicaciones. Ordenar e instalar el hardware necesario para establecer comunicaciones con las oficinas. Coordinar con entes externos para restaurar el servicio y ordenar las comunicaciones. Probar que las comunicaciones se hayan establecido adecuadamente.
Lder de proyecto Administracin de Sistemas.
Asegurar la disponibilidad de los respaldos necesarios en la recuperacin. Restaurar archivos y sistema operativo en el sitio de recuperacin. Elaborar calendarios de operaciones en el sitio de recuperacin. En caso necesario, coordinar actividades necesarias para restaurar las facilidades en el sitio principal o en la nueva ubicacin. Ordenar e instalar el hardware necesario para el procesamiento normal en el sitio permanente.
Lder de proyecto Soporte Tcnico.
Analizar los reportes de daos. Reportar el estado de la recuperacin y cualquier otro problema que surja. Notificar al personal del equipo de recuperacin de TI. Servir como punto focal para todas las consultas planteadas por el personal de recuperacin del rea de Tecnologa de Informacin. Habilitar el sitio alterno de tal forma que est listo para recuperar las aplicaciones.
Notacin para el marcado de las funciones: Funcin Crtica Funcin Muy Importante Funcin Importante
Pgina 64
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 1.5 Definicin de objetivos, alcance y escenarios del problema.
A1.1. Conocerel medioambiente general. A1.2. Identificarla estructura organizacional.de la empresa. A1.3. Definirla arquitecturade macroprocesos. A1.4. Definirequipos deplanificacinysus responsabilidades.
A1.5. Definicin de objetivos,alcancey escenariosdel problema.

A1.6. Concientizacin yaprobacinpor parte de losdirectivos.
Los equipos definirn los objetivos, el alcance y los escenarios que se abarcarn con el plan que se est construyendo.
El cuadro 4.2, define para cada equipo de respuesta a incidentes, el objetivo, alcance y escenarios de interrupcin de servicios, como disipador del Plan de Continuidad:
Cuadro 4.2 Definicin de objetivos, alcance y escenarios de los equipos de respuesta a incidentes. Equipo Objetivo Alcance

Escenarios
Accin ante emergencias.
Coordinar la primera respuesta ante una emergencia para evitar la interrupcin de los servicios crticos de la organizacin.
Acciones a seguir para corregir la interrupcin de servicios que puedan provocar eventos desastrosos.
Suministro de Energa Elctrica. Telecomunicaciones. Gas Natural. Amenazas de Bomba. Empleados Inconformes. Empleados Mal Capacitados. Fallas en el Equipo de Soporte del Centro de Cmputo. Infeccin de Virus Falla de aplicaciones.
Evaluacin de daos
Determinar el dao en la red de servicios de la organizacin identificando causas e impactos, estimando el tiempo de recuperacin para asegurar la provisin de los equipos de reemplazo.
Acciones para evaluar los daos despus de la presencia de un evento de interrupcin o un evento de desastre, identificando posibles eventos futuros que puedan impactar la continuidad de operaciones en tecnologa, recurso humano, imagen y financieramente.
Despus de un escenario de interrupcin de servicios o de desastre.
Administracin de la emergencia.
Atender y ejecutar eficiente y oportunamente las labores de recuperacin de datos crticos y vitales para el restablecimiento de la red de usuarios y sistemas de informacin de la organizacin.
Acciones para recuperar estado operativo, despus de una interrupcin que hace, que los recursos crticos de TI, queden inoperantes por un tiempo que impacte adversamente al negocio. En el peor de los casos, se usar instalacin alterna, se restaurar software y datos resguardados en sitio alterno.
Incendios. Terremotos. Inundaciones. Tornados. Huracanes. Hundimientos. Exhalaciones volcnicas. Huelgas. Plantones. Disturbios Sociales. Fallas en el Equipo de Cmputo o algn Perifrico Fallas en Equipo de Telecomunicaciones o algn componente de la red Fallas en el Enlace
Pgina 65
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 1.6 Concientizacin y aprobacin por parte de los directivos.
A1.1. Conocerel medioambiente general. A1.2. Identificarla estructura organizacional.de la empresa. A1.3. Definirla arquitecturade macroprocesos. A1.4. Definirequipos deplanificacinysus responsabilidades. A1.5.Definicinde objetivos,alcance y escenariosdel problema.
A1.6. Concientizaciny aprobacin por partedelos directivos.
Una vez terminadas estas tareas, el grupo debe presentar un informe a los directivos, quienes despus de revisarlo deciden si dan su aprobacin para que el proyecto siga adelante o, en caso contrario, solicitan revisin de alguno de los puntos expuestos.
El cuadro 4.3, muestra en una sola vista, la metodologa propuesta:

Cuadro 4.3 Tabla de solucin integral para el desarrollo de la metodologa propuesta [Basado en Galindo, 2009].
METODOLOGA PROPUESTA
Fase I.- Conocer y Planificar el Medio Ambiente Organizacional. -Conocer el medio ambiente organizacional. -Definir los equipos de planificacin. Identificar el medio ambiente de ejecucin del sistema. - Establecer la necesidad de la continuidad del negocio. - Identificar los equipos de planificacin y sus responsabilidades. Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. -Analizar y evaluar riesgos operacionales. -Anlisis de Impacto al Negocio. Obtener la probabilidad de ocurrencia, a un tipo especfico de amenaza. Estimacin del impacto financiero de una interrupcin en los procesos crticos del negocio. Fase III.-Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres. -Disear las estrategias de continuidad. -Definir los procedimientos de recuperacin. Definir requerimientos de control y administracin de la continuidad. Desarrollar la documentacin de los equipos de recuperacin de tecnologa de informacin. Fase IV.- Capacitar, probar y ejercitar. Fase V.- Auditora, Mantenimiento y Actualizacin.
A L C A N C E S METAS Qu obtener? OBJETIVOS Hasta dnde? ACTIVIDADES Qu hacer para hacer?
-Desarrollar varios tipos de programas de entrenamiento. -Planificar los escenarios de prueba y su ejercitacin. Definir escenarios de desastre.
-Auditora. -Polticas de mantenimiento.
La formacin de conciencia involucrando individuos usando la continuidad del negocio y los planes de gestin de crisis.
Identificacin e inclusin de cambios en los sistemas y proceso de la organizacin. Verificacin y validacin que las estrategias y planes son actualizados, precisos y completos.
RECURSOS REQUERIDOS:
T E C N O L O G I C O S B A S I C O S -Observacin -Investigacin -Recopilacin -Definir una visin global del tema en cuestin a tratar. -Mtodo cientfico. -Procesador de textos. -Editor de imgenes. 10 das hbiles. Da normal de los implicados. Organizacin interna. Comprometer la Alta Gerencia en los procesos de Continuidad del Negocio. Director del proyecto. Director del proyecto. Socio comercial externo. - Determinar las franjas de tiempo de recuperacin y requerimientos de recursos mnimos de operacin. -Procesador de textos. -Editor de imgenes. -Hoja de clculo. 15 das hbiles. Da normal de los implicados. Organizacin interna. Estimar el impacto operacional de una interrupcin en los procesos crticos del negocio. Director/Equipos de planificacin. Director del proyecto. Socio comercial externo. - Seleccionar una estrategia de recuperacin eficiente. -Establecer un programa de capacitacin, ejercicios y prueba. Usar estrategias del Plan, requerimientos, legislacin, directrices de buenas prcticas, y estndares.
TCNICA Cmo hacerlo?
HERRAMIENTAS Con qu hacerlo? TIEMPOS Cundo hacer? COSTOS Cunto cuesta hacer? LUGARES Dnde hacer? MOTIVACIN Por qu y para qu hacer? EQUIPO DE TRABAJO Quin lo har? LDER Quin lo dirigir? SUPERVISOR Quin lo evaluar?
-Mtodo cientfico. -Procesador de textos. -Editor de imgenes 20 das hbiles Equipos de TI, en la estrategia de continuidad. Organizacin/sitio alterno. Respuesta a emergencia y recuperacin. Director/Equipos de planificacin. Director del proyecto. Socio comercial externo.
-Procesador de textos. -Editor de imgenes. -Hoja de clculo. 25 das hbiles Capacitacin externa de los implicados. Organizacin/sitio alterno. - El ensayo de la disponibilidad y traslado del personal. Director/Equipos y personal. Director del proyecto. Socio comercial externo.
-Procesador de textos. -Editor de imgenes. -Hoja de clculo. 15 das hbiles Capacitacin externa de los implicados. Organizacin/sitio alterno. Validacin que el Plan de continuidad siguen una secuencia lgica, formato y estructura definidos. Director/Equipos y personal. Director del proyecto. Socio comercial externo.
H U M A N O S
Pgina 66

Fase5.
Fase 2.
Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.
Auditora, mantenimiento yactualizacin.
BCP
Metodologapara la creacindeunPlan paralaContinuidady Recuperacinante Desastresenlos SistemasdeTICs en laindustriadela manufactura.
Fase3. Fase 4. Capacitar, probar y ejercitar. Desarrollarel plande continuidady estrategias de recuperacin ante desastres.
DRP
Identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que puedan causar la interrupcin o prdida de las actividades crticas de la organizacin, permitiendo su gestin de priorizacin y control para formar una base en la que se establezca un programa de control y un plan de accin de gestin de riesgo, identificando las actividades de misin crtica de la organizacin, sus dependencias y sus puntos de fallas as como, analizar el impacto y el efecto que se generara en caso de la prdida, o interrupcin de las actividades de misin crtica. Una vez conocido el medio ambiente general y particular, as como, definidos los equipos de respuesta, de la Fase anterior; se procede a identificar, analizar, evaluar y diagnosticar los riesgos inherentes en la operacin, as como su impacto al negocio:
Conoceryplanificarel medioambiente organizacional. Analizar, evaluary diagnosticarriesgosysu impactoalnegocio. Desarrollarelplan de continuidad y estrategias derecuperacinante desastres. Capacitar, probary ejercitar. Auditora, mantenimiento y actualizacin.
Actividad 2.1 Identificacin de las funciones, servicios y recursos crticos del rea.
A1.1. Conocerel medioambiente general. A1.2. Identificarla estructura organizacional.de la empresa. A1.3. Definirla arquitecturade macroprocesos. A1.4.Definirequipos de planificacinysus responsabilidades. A1.5. Definicinde objetivos,alcancey escenarios del problema. A1.6. Concientizacin yaprobacinpor parte delos directivos.
A 2.1. Identificacindelas funciones,servicios y recursoscrticos delrea.

A2.2.Anlisis, evaluaciny diagnsticoderiesgos. A2.3. Controlde riesgos. A2.4. Anlisisde impactoalnegocio. A2.5. Evaluaciny diagnsticodelanlisis de impactoalnegocio.
A3.1.Disearlas estrategiasde continuidadde la organizacin. A3.2. Presentarel anlisiscosto/beneficio de lasestrategiasde continuidad. A3.3. Negociaciny firmade contratoscon losproveedoresde servicios. A3.4. Adquisicinde lainfraestructurade TICs. A3.5. Preparacindel sitioalterno. A3.6. Definirlos procedimientosde recuperacin.
A4.1. Definir objetivos de entrenamiento. A4.2. Desarrollare implementarvarios tipos de programas de entrenamiento. A4.3. Identificarotras oportunidadesde educacin. A4.4. Descripcinde laspruebas. A4.5. Planificarlos escenarios depruebay superiodicidad. A4.6. Ejercitacinde laspruebas.
A5.1. Auditora. A5.2. Polticas de mantenimiento. A5.3. Mecanismode almacenamiento. A5.4. Mecanismode actualizacin. A5.5. Mecanismode distribucin.
En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el rea y se priorizan de acuerdo con la razn de ser de la misma dentro de la organizacin, determinando, a su vez, en qu recursos (computacionales o logsticos) se apoya, y de esta manera establecer la criticidad de los recursos. Para cada prioridad se sealar el tiempo mximo de espera para que se reanuden los servicios, as como la identificacin de los registros de datos e informacin vital para la operacin de dichas funciones y servicios.
El cuadro 4.4, detalla las funciones por rea de la organizacin objeto de estudio y sus correspondientes recursos crticos (Prioridad, Recursos de apoyo, Tiempo mximo de reanudacin y Registros de datos vitales):
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Inicio).
rea Funcional: GERENCIA GENERAL Sub-rea:
Recursos crticos. Funciones. 1 Revisin del cumplimiento de estrategias y objetivos. Cierres de Ventas y convenios. Acontecimientos, entorno nacional, precios, convenios internacionales, etc. Cumplimiento a reglamentacin. Prioridad 1.1 1.2 1.3 1.4 2 Recursos de apoyo SIBC SIBC MP MP 3 Tiempo mximo de reanudacin 1 da 1 da 2 das 7 das 4 Registros de datos vitales SIBC SIBC MP MP
SIBC = Sistema de Informacin Basado en Computadora.
MP = Manual de Procedimientos
Pgina 67
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL Sub-rea: DIRECCIN DE CONVERSIN Y ROTO GRABADO
Recursos crticos Funciones 1 Prioridad 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12 2.13 2.14 2.15 2.16 2.17 2.18 2 Recursos de apoyo SIBC SIBC SIBC SIBC SIBC/MP MP SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC MP MP 3 Tiempo mximo de reanudacin 1 hora 1 da 2 horas 1 da 2 das 2 horas 7 das 1 hora 1 hora 1 hora 2 das 1 horas 2 horas 2 das 1 hora 1 da 2 horas 1 da 4 Registros de datos vitales SIBC SIBC SIBC SIBC SIBC MP SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC MP MP
Programacin de la produccin. Fechas de entrega Inventarios Anlisis de costo de operacin Revisin y entrega de resultados Reportes de indicadores, Planes y esquemas de trabajo. Desarrollo, especificaciones y productos nuevos. Liberacin de Producto y producto no conforma Requerimientos de refacciones e insumos Rechazos, resultados y quejas de clientes internos y externos. Proyectos y viabilidad Aspectos relacionados con el personal Requisicin de compra Requerimientos y mantenimiento de Software y Hardware Toma de decisiones en la elaboracin de herramentales Proyectos y asistencia tcnica Asistencia Tcnica Intercambio de informacin tcnica
rea Funcional: GERENCIA GENERAL Sub-rea: GERENCIA DE INGENIERA Y PRE PRENSA

3.1 3.2 3.3 SIBC SIBC SIBC 2 horas 2 horas 1 hora SIBC SIBC SIBC
Manejo de especificaciones y caractersticas del producto Requerimientos de clientes Verificar que las especificaciones, se cumplan basndose en las indicaciones de ingeniera, as como la toma de decisiones para mejoras en el proceso. Monitoreo constante de los costos, rutas y estructuras de los productos Embalajes, informacin relacionada con cdigos de productos Especificaciones, sugerencias, mejoras, factibilidad de fabricacin y asesora tcnica Todo lo relacionado con el manejo del SI El manejo del personal de las reas a cargo Reporte de actividades Innovaciones, manejo de mquinas, cotizaciones y negociaciones Herramentales que se les fabrica Contratos y pagos del mantenimiento de equipos Brindar los elementos tanto cuantitativo y cualitativos.
3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13
SIBC SIBC/MP MP SIBC SIBC MP SIBC/MP SIBC/MP SIBC SIBC/MP
1 hora 1 hora 2 das 2 horas 2 horas 1 hora 1 hora 1 hora 2 das 2 horas
SIBC SIBC MP SIBC SIBC MP SIBC SIBC SIBC MP
Pgina 68
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL Sub-rea: GERENCIA DE CALIDAD CONVERSIN
Recursos crticos Funciones 1 Prioridad 4.1 4.2 4.3 2 Recursos de apoyo SIBC SIBC SIBC 3 Tiempo mximo de reanudacin 1 hora 3 horas 2 das 4 Registros de datos vitales SIBC SIBC SIBC
Aprovechamiento de tiempo y recursos. Establecer prdidas potenciales. Cotejar y guardar informacin proporcionada.
rea Funcional: GERENCIA GENERAL Sub-rea: GERENCIA DE LOGSTICA

5.1 SIBC 2 horas SIBC
Coordinar con las reas de impresin a los departamentos de Corte, Sacado y Engomado, as como los herramentales utilizados para cada departamento.
rea Funcional: GERENCIA GENERAL Sub-rea: DIRECCIN COMERCIAL

6.1 6.2 6.3 6.4 6.5 6.6 6.7 MP SIBC SIBC SIBC SIBC MP SIBC 1 da 2 das 1 da 1 da 2 das 3 das 2 das MP SIBC SIBC SIBC SIBC MP SIBC
Venta, Servicio, Asesora y Desarrollo Licitaciones, cotizaciones y proyectos Elaboracin de presupuesto y revisin de resultados Implicaciones de lneas de crdito y autorizacin de venta Programas de los pedidos en produccin Lograr que los pedidos se elaboren con la calidad y en el tiempo especificado Lo referente a la planeacin de su personal y recursos
rea Funcional: GERENCIA DE COMPRAS Y ALMACENES Sub-rea:

7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 SIBC SIBC SIBC SIBC/MP SIBC SIBC/MP SIBC MP 1 hora 1 hora 1 hora 2 horas 2 horas 1 da 1 da 7 das SIBC SIBC SIBC SIBC SIBC SIBC SIBC MP
Compras Pago de proveedores Supervisar el material terminado Traslado de materiales Entrega de producto terminado Materiales o servicios que soliciten Liberacin de mercancas Legislacin
Pgina 69
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Final).
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS Sub-rea:
Recursos crticos Funciones 1 Prioridad 8.1 8.2 8.3 8.4 8.5 8.6 8.7 2 Recursos de apoyo SIBC SIBC/MP SIBC/MP SIBC SIBC SIBC SIBC 3 Tiempo mximo de reanudacin 1 da 3 das 7 das 2 das 2 das 1 da 2 das 4 Registros de datos vitales SIBC SIBC SIBC SIBC SIBC SIBC SIBC
Uso y optimizacin de los recursos Aspectos de carcter legal de la organizacin Obligaciones y responsabilidades a cargo de la empresa Movimientos para brindar el servicio de la compaa Referente a la informacin y controles de la informacin Lo referente a la planeacin de su personal y recursos Informacin comercial para efectuar registros
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS Sub-rea: GERENCIA DE CONTRALORA

9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 SIBC SIBC SIBC SIBC SIBC SIBC MP MP 1 hora 4 horas 8 horas 1 da 2 das 1 da 4 das 2 das SIBC SIBC SIBC SIBC SIBC SIBC MP MP
Controlar el consecutivo de facturas y notas de crdito Controlar la facturacin de la compaa Controlar la emisin de notas de crdito Controlar la reparacin de: Mquinas de escribir, telfonos, aire acondicionado, etc Revisar las plizas S.O. (Ventas). Controlar la emisin de facturas varias Archivar los listados de contabilidad Distribuir la mensajera y valijas
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS Sub-rea: GERENCIA DE TESORERA

10.1 10.2 10.3 SIBC SIBC SIBC 2 horas 1 da 2 das SIBC SIBC SIBC
Informacin oportuna para la toma de decisiones Recuperacin de ingresos por las ventas generadas Pago de obligaciones financieras segn corresponda
Es indispensable para la organizacin, reanudar las funciones de acuerdo a su prioridad, despus de un tiempo mximo de suspensin del servicio, con la ayuda de los recursos de apoyo disponibles y sus correspondientes registros de datos vitales. Con la informacin anterior, se est en condicin para la identificacin de los riesgos por prioridad y de esta manera iniciar el Anlisis, Evaluacin y Diagnstico de riesgos.
Pgina 70
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Conoceryplanificarel medioambiente organizacional.
Analizar, evaluary diagnosticarriesgosysu impactoalnegocio.
Desarrollarelplan de continuidad y estrategias derecuperacinante desastres.
Actividad 2.2 Anlisis, Evaluacin y Diagnstico de riesgos.
A2.1. Identificacin de lasfunciones, servicios yrecursos crticosdelrea.
A2.2. Anlisis, evaluaciny diagnsticode riesgos.

A2.3. Controlde riesgos. A2.4.Anlisis de impactoalnegocio. A2.5.Evaluaciny diagnsticodelanlisis deimpactoalnegocio.
Determinar la probabilidad anual de ocurrencia de un riesgo, el impacto potencial de un riesgo y la matriz de nivel de riesgo por prioridad, descrito en la actividad anterior; para de sta manera, obtener las vulnerabilidades frente a las prdidas y valoracin del riesgo por recurso en cada actividad que interviene.
Los cuadros 4.5a, 4.5b y 4.5c, muestran las categoras de probabilidad de ocurrencia, el impacto potencial de un riesgo y la matriz del nivel de riesgo, respectivamente:
Cuadro 4.5a Probabilidad de Ocurrencia de un riesgo [Elaboracin propia]. Tabla de probabilidad de ocurrencia Cualidad Descripcin
Raro Improbable Posible Probable Casi certeza Puede ocurrir slo en circunstancias excepcionales Puede ocurrir en algn momento Podra ocurrir en algn momento Probablemente ocurra en la mayora de circunstancias Se espera que ocurra en la mayora de circunstancias
Calificacin
1 2 3 4 5
Cuadro 4.5b Impacto potencial de un riesgo [Elaboracin propia]. Tabla de impacto potencial Detalle
Sin perjuicios, baja perdida financiera Tratamiento de primeros auxilios, liberado localmente, se contuvo inmediatamente,perdida financiera media Requiere tratamiento mdico, liberado localmente, contenido con asistencia externa, perdida financiera alta Perjuicios extensivos, prdida de capacidad de produccin, liberacin externa, sin efectos nocivos, perdida financiera mayor Muerte, liberacin txica externa con efectos nocivos, enorme prdida financiera
Calificacin
1 2 3 4 5
Descriptor
Insignificante Menor Moderado Mayor Catastrfico
Cuadro 4.5c Matriz de nivel de riesgo [Elaboracin propia]. Matriz de nivel de riesgo Probabilidad de ocurrencia
1 2 3 4 5 1 B B B M A 2 B B M A A
Impacto potencial
3 M M A A C 4 A A C C C 5 A C C C C
B = Bajo, M = Medio, A = Alto, C = Catastrfico.
Pgina 71
Basndose en los cuadros 4.5a y 4.5b anteriores, el cuadro 4.6, analiza y evala para cada categora de riesgo, la probabilidad de ocurrencia y su impacto potencial, en la organizacin objeto de estudio:
Cuadro 4.6 Anlisis y evaluacin de la probabilidad ocurrencia y el impacto potencial de un riesgo. Categora Probabilidad de ocurrencia Impacto potencial
Amenazas Naturales: 1.Inundaciones internas 2. Inundaciones externas 3. Fuego interno 4. Fuego externo 5. Terremoto 6. Volcanes 7. Huracanes 8. Tornado 9. Rayos 10. Nevada 11. Avalancha Amenazas Humanas: 12. Explosin 13. Vandalismo 14. Huelga 15. Robo obstruccin para ir al trabajo 16. Desechos txicos 17. Cadas de aviones 18. Accidentes 19. Terrorismo Amenazas Tcnicas: 20. Fallas de energa 21. Fallas en las comunicaciones de datos 22. Fallos del aire acondicionado 23. Fallos del CPU y Hardware 24. Fallos del Software del Sistema Operativo 25. Fallos del Software aplicativo 26. Interferencia electromagntica 27. Otro 5 5 5 4 5 4 2 3 5 3 4 4 4 3 2 2 4 3 3 4 3 1 4 2 4 2 5 2 2 1 1 3 3 3 4 3 4 1 1 1 3 1 1 4 3 5 3 5 3 3 3 4 3 3
De acuerdo al cuadro anterior, la mayor probabilidad de ocurrencia con un impacto potencial elevado en la organizacin, son las amenazas de tipo tcnicas, seguidas de las amenazas humanas.
Pgina 72
El siguiente cuadro, muestra el diagnstico de las categoras de nivel de riesgo del cuadro anterior, a travs de la matriz del nivel de riesgo:
Cuadro 4.7a Diagnstico del nivel de riesgo. Matriz de nivel de riesgo Probabilidad de ocurrencia
1 2 3 4 5 18 1 17 26 13, 16, 27 15 2
Impacto potencial
3 6, 7, 8, 10, 11 19 2, 4 25 21 1, 9 12, 23 22, 24 14 3, 5 20 4 5
Categoras del nivel de riesgo Bajo Medio Alto Catastrfico
Para la empresa objeto de estudio, el diagnstico presentado por el cuadro 4.7a, demuestra que los riesgos se agrupan, segn su probabilidad de ocurrencia y el impacto potencial en el negocio, teniendo las siguientes calificaciones del nivel de riesgo, como se muestra en el cuadro 4.7b:
Cuadro 4.7b Nivel de riesgos. Nivel de riesgo de la empresa objeto de estudio Descriptor Riesgo Detalle
Bajo Medio 17,26 6,7,8,10,11,13, 16,18,19,27 3 Alto 2,4,15,25 Sin perjuicios. Tratamiento de primeros auxilios, liberado
Calificacin
1 2
localmente, se contuvo inmediatamente. Requiere tratamiento mdico, liberado
localmente, contenido con asistencia externa. 4 Catastrfico 1,3,5,9,12,14,20, 21,22,23,24 Muerte, liberacin txica externa con efectos nocivos.
De acuerdo a las tablas 4.7a y 4.7b, se debe poner especial inters en los riesgos: 20. Fallas de energa, 3. Fuego interno, 5. Terremoto, 22. Fallas del aire acondicionado y 24. Falla del software del Sistema Operativo.
Pgina 73
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 2.3 Control de riesgos.
A2.1. Identificacin de lasfunciones, servicios yrecursos crticosdelrea. A2.2. Anlisis, evaluaciny diagnsticode riesgos.
A2.3. Controlde riesgos.

A2.4.Anlisis de impactoalnegocio. A2.5.Evaluaciny diagnsticodelanlisis deimpactoalnegocio.
Una vez que se determina el Anlisis/Evaluacin/Diagnstico de riesgos de la actividad anterior, se procede a determinar un conjunto de estrategias a implementar para que cada proceso tenga condiciones mnimas para poder reanudarse y de esta manera iniciar con el Anlisis de Impacto al Negocio.
El cuadro 4.8, muestra las estrategias a implementar, dependiendo del tipo de riesgo, para que cada proceso tenga condiciones mnimas de operacin:
Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mnimas de operacin (Inicio). Riesgo Aspectos mnimos a considerar
Interrupcin elctrica.
Fuentes alternas de generacin elctrica: UPS y plantas elctricas; Mantenimiento de las fuentes alternas de generacin elctrica; Estado de la instalacin elctrica y capacidad elctrica instalada; Lmparas de emergencia; Sealamiento iluminado de salidas y puertas de emergencia.
Fallos en Hardware.
Equipo de cmputo utilizado y obsolescencia; Capacidad de redundancia entre servidores; Monitoreo de problemas en los servidores; Contratos de mantenimiento preventivo y correctivo; Condiciones fsicas y ambientales (limpieza, humedad, temperatura).
Fallas en Software.
Desarrollo local de aplicaciones (metodologas/ estndares); Cambios y configuracin en aplicaciones; Trascendencia de los sistemas incluidos en el estudio.
Fallas en Comunicaciones.
Soporte tcnico de los equipos utilizados; Mantenimiento preventivo y correctivo de los equipos de comunicacin.
Desastres naturales.
Plizas de seguro vigentes; Brigadas de atencin ante situaciones de emergencia; Capacitacin al personal; Rutas de evacuacin; Iluminacin de pasillos y puertas y salidas de emergencia.
Pgina 74
Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mnimas de operacin (Final). Riesgo Aspectos mnimos a considerar
Incendio.
Plizas vigentes de seguro; Sistemas automticos y manuales contra incendio (gabinetes, extintores, aspersores); Uso de materiales retardantes del fuego; Almacenamiento de material combustible; Detectores de humo revisados regularmente.
Fallas en Respaldos.
Procedimientos para respaldo y recuperacin de informacin, fuentes, objetos, documentacin, y configuracin de los sistemas; Periodicidad de los respaldos; Facilidades y proteccin para el almacenamiento dentro y fuera de sitio; Configuracin de los discos duros de los servidores; Documentacin actualizada sobre procedimientos de respaldo y recuperacin.
Virus
Programa antivirus instalado en computadoras y servidores; Configuracin y actualizacin del software antivirus; Consultas regulares de fuentes de informacin para actualizaciones sobre virus; Capacitacin al personal para identificar potenciales fuentes de ataque de virus; Polticas para el ataque de virus.
Violaciones a la Seguridad fsica.
Seguridad fsica para el ingreso al edificio, oficinas y cuartos de servidores y equipos de comunicacin; Capacitacin al personal para detectar situaciones que puedan representar riesgo o cuestionar la presencia de personas desconocidas o sin identificacin; Sistemas de seguridad: circuitos cerrados de televisin, sensores de movimiento, alarmas; Revisin y control de salida e ingreso de equipo de cmputo; Utilizacin de bitcoras para el registro de ingresos.
Intrusin (hackeo).
Procedimientos para otorgamiento de acceso a las aplicaciones y polticas de acceso lgico; Procedimientos para el acceso a los recursos tecnolgicos (redes y aplicaciones); Administracin y configuracin de firewalls; Monitoreo de los accesos tanto legtimos como ilegtimos; Disponibilidad de herramientas para el monitoreo de la seguridad.
Recurso Humano.
Dependencia en el personal; Capacitacin; Documentacin de las funciones del personal.
Los aspectos a considerar anteriores, proporcionan una proteccin ante los riesgos descritos, cuya ocurrencia se puede atenuar instrumentando controles adecuados.
Pgina 75

Actividad 2.4 Anlisis de Impacto al Negocio.
A2.1. Identificacin de lasfunciones, servicios yrecursos crticosdelrea. A2.2. Anlisis, evaluaciny diagnsticode riesgos. A2.3. Controlde riesgos.
A2.4. Anlisisde impactoalnegocio.

A2.5.Evaluaciny diagnsticodelanlisis deimpactoalnegocio.
Una vez realizado el Control de Riesgos, se procede a la identificacin de actividades de misin crtica, sus dependencias y puntos de falla, para determinar impactos y efectos (consecuencias) financieros y no financieros como resultado de una interrupcin o prdida de una o ms actividades de misin crtica durante varios periodos de tiempo.
Las actividades 2.2. y 2.3, nos ayudaron a determinar las categoras de riesgos, su probabilidad e impacto al negocio, as como el nivel de riesgo y el conjunto de estrategias a implementar para que cada proceso tenga condiciones mnimas para poder reanudarse . Ahora, con ayuda de la actividad 2.1, se procede a la identificacin de actividades de misin crtica, sus dependencias y puntos de falla, para determinar impactos y efectos financieros y no financieros como resultado de una interrupcin. El cuadro 4.9, detalla el nivel de riesgo y su impacto en el negocio, para cada funcin identificada en el cuadro 4.4, apoyndonos desde luego, de los cuadros 4.5b y 4.7b del impacto potencial de un riesgo y nivel de riesgo, respectivamente:
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones, servicios y recursos crticos por rea (Inicio).
rea Funcional: GERENCIA GENERAL Sub-rea:
Recursos crticos. Funciones. 1 Revisin del cumplimiento de estrategias y objetivos. Cierres de Ventas y convenios. Acontecimientos, entorno nacional, precios, convenios internacionales, etc. Cumplimiento a reglamentacin. Prioridad 1.1 1.2 1.3 1.4 2 Recursos de apoyo SIBC SIBC MP MP 3 Tiempo objetivo de recuperacin 2 2 3 5 4 Impacto potencial 2 5 3 4
Pgina 76
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones, servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL Sub-rea: DIRECCIN DE CONVERSIN Y ROTO GRABADO
Recursos crticos Funciones 1 Prioridad 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12 2.13 2.14 2.15 2.16 2.17 2.18 2 Recursos de apoyo SIBC SIBC SIBC SIBC SIBC/MP MP SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC SIBC MP MP 3 Tiempo objetivo de recuperacin 1 2 1 2 3 1 5 1 1 1 3 1 1 3 1 2 1 2 4 Impacto potencial 5 5 5 4 4 3 3 2 2 4 4 1 2 3 2 3 1 1
Programacin de la produccin. Fechas de entrega Inventarios Anlisis de costo de operacin Revisin y entrega de resultados Reportes de indicadores, Planes y esquemas de trabajo. Desarrollo, especificaciones y productos nuevos. Liberacin de Producto y producto no conforma Requerimientos de refacciones e insumos Rechazos, resultados y quejas de clientes internos y externos. Proyectos y viabilidad Aspectos relacionados con el personal Requisicin de compra Requerimientos y mantenimiento de Software y Hardware Toma de decisiones en la elaboracin de herramentales Proyectos y asistencia tcnica Asistencia Tcnica Intercambio de informacin tcnica
rea Funcional: GERENCIA GENERAL Sub-rea: GERENCIA DE INGENIERA Y PRE PRENSA

3.1 3.2 3.3 SIBC SIBC SIBC 1 1 1 5 4 4
Manejo de especificaciones y caractersticas del producto Requerimientos de clientes Verificar que las especificaciones, se cumplan basndose en las indicaciones de ingeniera, as como la toma de decisiones para mejoras en el proceso. Monitoreo constante de los costos, rutas y estructuras de los productos Embalajes, informacin relacionada con cdigos de productos Especificaciones, sugerencias, mejoras, factibilidad de fabricacin y asesora tcnica Todo lo relacionado con el manejo del SI El manejo del personal de las reas a cargo Reporte de actividades Innovaciones, manejo de mquinas, cotizaciones y negociaciones Herramentales que se les fabrica Contratos y pagos del mantenimiento de equipos Brindar los elementos tanto cuantitativo y cualitativos.
3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13
SIBC SIBC/MP MP SIBC SIBC MP SIBC/MP SIBC/MP SIBC SIBC/MP
1 1 3 1 1 1 1 1 3 1
3 3 2 3 1 1 2 1 3 2
Pgina 77
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones, servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL Sub-rea: GERENCIA DE CALIDAD CONVERSIN
Recursos crticos Funciones 1 Prioridad 4.1 4.2 4.3 2 Recursos de apoyo SIBC SIBC SIBC 3 Tiempo objetivo de recuperacin 1 2 3 4 Impacto potencial 5 4 3
Aprovechamiento de tiempo y recursos. Establecer prdidas potenciales. Cotejar y guardar informacin proporcionada.
rea Funcional: GERENCIA GENERAL Sub-rea: GERENCIA DE LOGSTICA

5.1 SIBC 1 5
Coordinar con las reas de impresin a los departamentos de Corte, Sacado y Engomado, as como los herramentales utilizados para cada departamento.
rea Funcional: GERENCIA GENERAL Sub-rea: DIRECCIN COMERCIAL

6.1 6.2 6.3 6.4 6.5 6.6 6.7 MP SIBC SIBC SIBC SIBC MP SIBC 2 3 2 2 3 4 3 5 4 3 4 3 4 1
Venta, Servicio, Asesora y Desarrollo Licitaciones, cotizaciones y proyectos Elaboracin de presupuesto y revisin de resultados Implicaciones de lneas de crdito y autorizacin de venta Programas de los pedidos en produccin Lograr que los pedidos se elaboren con la calidad y en el tiempo especificado Lo referente a la planeacin de su personal y recursos
rea Funcional: GERENCIA DE COMPRAS Y ALMACENES Sub-rea:

7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 SIBC SIBC SIBC SIBC/MP SIBC SIBC/MP SIBC MP 1 1 1 1 1 2 2 5 5 5 4 4 4 3 2 1
Compras Pago de proveedores Supervisar el material terminado Traslado de materiales Entrega de producto terminado Materiales o servicios que soliciten Liberacin de mercancas Legislacin
Pgina 78
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones, servicios y recursos crticos por rea (Final).
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS Sub-rea:
Recursos crticos Funciones 1 Prioridad 8.1 8.2 8.3 8.4 8.5 8.6 8.7 2 Recursos de apoyo SIBC SIBC/MP SIBC/MP SIBC SIBC SIBC SIBC 3 Tiempo objetivo de recuperacin 2 4 5 3 3 2 3 4 Impacto potencial 5 5 4 4 3 3 2
Uso y optimizacin de los recursos Aspectos de carcter legal de la organizacin Obligaciones y responsabilidades a cargo de la empresa Movimientos para brindar el servicio de la compaa Referente a la informacin y controles de la informacin Lo referente a la planeacin de su personal y recursos Informacin comercial para efectuar registros
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS Sub-rea: GERENCIA DE CONTRALORA

9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 SIBC SIBC SIBC SIBC SIBC SIBC MP MP 1 2 2 2 3 2 4 3 5 5 5 4 3 3 1 1
Controlar el consecutivo de facturas y notas de crdito Controlar la facturacin de la compaa Controlar la emisin de notas de crdito Controlar la reparacin de: Mquinas de escribir, telfonos, aire acondicionado, etc Revisar las plizas S.O. (Ventas). Controlar la emisin de facturas varias Archivar los listados de contabilidad Distribuir la mensajera y valijas
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS Sub-rea: GERENCIA DE TESORERA

10.1 10.2 10.3 SIBC SIBC SIBC 1 2 3 5 4 4
Informacin oportuna para la toma de decisiones Recuperacin de ingresos por las ventas generadas Pago de obligaciones financieras segn corresponda
El objetivo de sta actividad es identificar el tiempo objetivo de recuperacin (RTO) y su correspondiente impacto potencial para cada una de las funciones priorizadas y apoyadas de sus correspondientes Sistemas de Informacin Basados en Computadoras.
Pgina 79
Una vez obtenido el tiempo objetivo de recuperacin y el impacto potencial de un riesgo para cada una de las funciones identificadas, se procede a desarrollar la matriz de impacto al negocio, con ayuda de la figura 3.4 y el cuadro 4.5b, como se muestra en el siguiente cuadro:
Cuadro 4.10 Anlisis de impacto al negocio. Matriz de impacto al negocio Nivel del tiempo objetivo de recuperacin
1
Impacto potencial
1 2.12,2.17,3.8,3.9, 3.11 2.18 2 2.8,2.9,2.13,2.15, 3.10,3.13 1.1,7.7 3 2.6,3.4,3.5,3.7 4 2.10,3.2,3.3,7.3, 7.4,7.5 2.4,4.2,6.4,9.4, 10.2 2.5,2.11,6.2, 8.4,10.3 6.6 8.2 5 2.1,2.3,3.1,4.1, 5.1,7.1,7.2,9.1, 10.1 1.2,2.2,6.1,8.1, 9.2,9.3
2.16,6.3,7.6,8.6, 9.6 1.3,2.14,3.12,4.3, 6.5,8.5,9.5
6.7,9.8
3.6,8.7
4 5
9.7
7.8
2.7
1.4,8.3
Categora del nivel de impacto al negocio Bajo Medio Alto Catastrfico
La matriz anterior, es el resultado del estudio de los tiempos objetivo de recuperacin y el impacto potencial de los riesgos en las funciones identificadas en la estructura de la organizacin objeto de estudio, por lo que el anlisis anterior, permite determinar las prioridades y riesgos de los sistemas de informacin que apoyan a las funciones anteriores. Una vez obtenida la estimacin del impacto operacional y financiero de una interrupcin en los procesos crticos del negocio, se procede a efectuar el cruce de informacin de esos procesos crticos de negocio, con los Sistemas de Informacin Basados en Computadoras, que apoyan a tales procesos, para obtener la estimacin del impacto tecnolgico de una interrupcin.
Pgina 80
El cuadro 4.11, detalla el cruce de informacin de los Sistemas de Informacin Basados en Computadora [Galindo, 2007], existentes y el apoyo de stos a las funciones primordiales de las reas de la organizacin objeto de estudio:
Cuadro 4.11 Cruz de informacin Sistemas vs Funciones [Basado en Galindo, 2007].
Gerencia General Gerencia de Compras y Almacenes Direccin de Administracin y Finanzas
Obligaciones y responsabilidades a cargo de la empresa Movimientos para brindar el servicio de la compaa X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Revisin del cumplimiento de estrategias y objetivos.
precios,
Funcin
Lo referente a la planeacin de su personal y recursos Uso y optimizacin de los recursos X X X X X X X X X
Informacin comercial para efectuar registros
Pago de proveedores
Apoyo a la Funcin
Sistema de Informacin
Cotizacin y Orden de Venta Programacin de Clientes Estructura del Producto Formulas y Procesos Rutas y Centros de Trabajo Ordenes de trabajo y control de Piso. Produccin repetitiva Inspeccin en recibo y por muestreo. Inspeccin en Proceso Plan de Recursos Plan maestro de produccin y planeacin de requerimientos de materiales. Inventarios Programacin de Proveedores. Compras Planeacin de Requerimientos de Distribucin Inventario Cclico Contabilidad General Presupuestos y proyectos Report Writer Cuentas por Cobrar Cuentas por Pagar Grupo de Costos Control de Activos Fijos
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Grandes Subsistemas de Informacin Basados en Computadoras
Referente a la informacin y controles de la informacin Aspectos de carcter legal de la organizacin X X
nacional,
Materiales o servicios que soliciten
Supervisar el material terminado
Cumplimiento a reglamentacin.
Entrega de producto terminado
Cierres de Ventas y convenios.
Traslado de materiales, pagos
Acontecimientos, entorno convenios internacionales
Liberacin de mercancas
Legislacin
Compras
Pgina 81
El cuadro 4.12, detalla el cruce de informacin de los Sistemas de Informacin contra los Sistemas de Informacin Basados en Computadora [Galindo, 2007] existentes, ahora con el objetivo de encontrar el apoyo entre Sistemas:
Cuadro 4.12 Cruz de informacin Sistemas vs Sistemas [Basado en Galindo, 2007]
Planeacin de Requerimientos de Distribucin
Plan maestro de produccin y planeacin de requerimientos de materiales
Ordenes de trabajo y control de Piso
Inspeccin en recibo y por muestreo
Programacin de Proveedores
Cotizacin y Orden de Venta
Rutas y Centros de Trabajo
Programacin de Clientes
Cotizacin y Orden de Venta Programacin de Clientes Estructura del Producto Formulas y Procesos Rutas y Centros de Trabajo Ordenes de trabajo y control de Piso. Produccin repetitiva Inspeccin en recibo y por muestreo. Inspeccin en Proceso Plan de Recursos Plan maestro de produccin y planeacin de requerimientos de materiales. Inventarios Programacin de Proveedores. Compras Planeacin de Requerimientos de Distribucin Inventario Cclico Contabilidad General Presupuestos y proyectos Report Writer Cuentas por Cobrar Cuentas por Pagar Grupo de Costos Control de Activos Fijos
X X
X X X X
X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X
X X
Grandes Subsistemas de Informacin Basados en Computadoras
Los cuadros anteriores, nos ayudan a obtener los sistemas que apoyan a las funciones y su correspondiente interaccin para priorizar la recuperacin y restauracin de los Sistemas de Informacin Basado en Computadoras.
Pgina 82
Control de Activos Fijos
Estructura del Producto
Apoyo entre Sistemas
Presupuestos y proyectos
Inspeccin en Proceso
Formulas y Procesos
Contabilidad General
Produccin repetitiva
Cuentas por Cobrar
Cuentas por Pagar
Plan de Recursos
Inventario Cclico
Grupo de Costos
Report Writer
Inventarios
Compras
El siguiente cuadro, muestra la prioridad y nivel de riesgo (ver cuadro 4.7b), por Sistema de Informacin Basado en Computadora visto en los cuadros anteriores:
Cuadro 4.13 Prioridad y nivel de riesgo de los Sistemas de Informacin Basados en Computadora.
rea Funcional Sistema de Informacin Prioridad Alta Baja
X X X X X X X X X X X X
Nivel de Riesgo Alta Baja

X X X X X X X X X X
Gerencia General
1 Cotizacin y Orden de Venta 2 Programacin de Clientes 3 Estructura del Producto 4 Formulas y Procesos 5 Rutas y Centros de Trabajo 6 Ordenes de trabajo y control de Piso. 7 Produccin repetitiva 8 Inspeccin en recibo y por muestreo. 9 Inspeccin en Proceso 10 Plan de Recursos 11Plan maestro de produccin y planeacin de requerimientos de materiales. 12 Inventarios 13 Programacin de Proveedores. 14 Compras 15 Planeacin de Requerimientos de Distribucin 16 Inventario Cclico Contabilidad General Presupuestos y proyectos Report Writer Cuentas por Cobrar Cuentas por Pagar Grupo de Costos Control de Activos Fijos
Gerencia de Compras y Almacenes
17 18 Direccin de 19 Administracin 20 y Finanzas 21 22 23
En base a la informacin anterior, se procede a determinar la matriz de prioridad y nivel de riesgo para la recuperacin de los Sistemas de Informacin Basados en Computadora, como se muestra en el cuadro 4.14:
Cuadro 4.14 Matriz de prioridad y nivel riesgo para la recuperacin de los Sistemas de Informacin.
15 Alto 6, 7, 10, 16, 18, 19, 22, 23 Bajo Nivel de Riesgo Bajo Prioridad Categora de Prioridad Alta Media Baja Ultimo Alto 3, 5, 14, 17, 1, 2, 4, 8, 9, 11, 12, 13, 20, 21
Pgina 83
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 2.5 Evaluacin y Diagnstico del Anlisis de Impacto del Negocio.
A2.1. Identificacin de lasfunciones, servicios yrecursos crticosdelrea. A2.2. Anlisis, evaluaciny diagnsticode riesgos. A2.3. Controlde riesgos. A2.4.Anlisis de impactoalnegocio.
A 2.5. Evaluaciny diagnsticodel anlisis deimpacto alnegocio.
Identificar y categorizar los escenarios de falla, determinando las causas y efectos, para determinar las acciones a seguir y el control de riesgos a desarrollar.
El cuadro 4.15, muestra el diagnstico del anlisis de impacto al negocio, donde el impacto (I), probabilidad (P) y riesgo ( R), son calificados de acuerdo a los cuadros 4.5b, 4.5a y 4.7b respectivamente para cada una de las categoras de riesgo ahora escenario de falla, del cuadro 4.6, analizando la causa, el efecto y su correspondiente control:
Cuadro 4.15 Evaluacin y diagnstico del anlisis de impacto al negocio.
Escenario de falla o perdida Causas Efectos I P R Accin Control de Riesgos
Naturales
- Incendios; - Terremotos; - Inundaciones; - Tornados; - Huracanes; - Hundimientos; - Exhalaciones volcnicas.
Prdida total de la operacin en sitio.
5,4
1,2
4,3
-Plizas de seguro vigentes.
- Brigadas de atencin ante situaciones de emergencia; - Capacitacin al personal; - Rutas de evacuacin; - Iluminacin de pasillos y puertas y salidas de emergencia. - Recuperacin de operaciones
en ubicacin alterna.
- Capacitacin; - Documentacin de las funciones del personal. - Capacitacin al personal para detectar situaciones que puedan representar riesgo o cuestionar la presencia de personas desconocidas o sin identificacin; - Sistemas de seguridad: circuitos cerrados de televisin, sensores de movimiento, alarmas;
Humanos
- Amenazas de Bomba; - Huelgas; - Plantones; - Empleados Inconformes; - Empleados mal Capacitados; - Disturbios sociales; - Incendios.
Prdida total/parcial de la operacin en sitio.
4,3
2,3
3,2
- Plizas de seguro vigentes; - Seguridad fsica para el ingreso al edificio, oficinas y cuartos de servidores y equipos de comunicacin.
- Recuperacin de operaciones en ubicacin alterna/local.
Tcnicos
- Fallas en el Equipo de Cmputo o algn Perifrico; - Fallas en el Equipo de Soporte del Centro de Cmputo; - Fallas en Equipo de Telecomunicaciones o algn componente de la red; - Fallas en el Enlace; - Infeccin de Virus; - Falla de aplicaciones.
Prdida parcial de la operacin en sitio.
3,2,1
4,5
2,1
- Plizas de seguro vigentes; - Fuentes alternas de generacin elctrica: UPS y plantas elctricas; - Procedimientos para respaldo y recuperacin de informacin, fuentes, objetos, documentacin, y configuracin de los sistemas.
- Capacidad de redundancia entre servidores; - Mantenimiento de las fuentes alternas de generacin elctrica; - Cambios y configuracin en aplicaciones; - Soporte tcnico de los equipos utilizados; - Periodicidad de los respaldos; - Facilidades y proteccin para el almacenamiento dentro y fuera de sitio; -Programa antivirus instalado en computadoras y servidores. - Procedimientos para el acceso a los recursos tecnolgicos (redes y aplicaciones);
- Recuperacin de operaciones en ubicacin local.
Pgina 84
Fase2.
Fase III.- Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres.
BCP
DRP
En esta etapa se identifican las alternativas de recuperacin de las operaciones en los marcos de tiempo definidos por los RTOs identificados, se determinan los recursos mnimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudacin y recuperacin. As mismo, se definen los procedimientos de notificacin y escalamiento de emergencias, los criterios y procedimientos de activacin de los planes de contingencia.
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 3.1 organizacin.
Disear
las
estrategias
de
continuidad
de
la
A2.1. Identificacin de lasfunciones, servicios yrecursos crticosdelrea. A2.2. Anlisis, evaluaciny diagnsticode riesgos. A2.3. Controlde riesgos. A2.4.Anlisis de impactoalnegocio. A2.5.Evaluaciny diagnsticodelanlisis deimpactoalnegocio.
A3.1. Disearlas estrategiasde continuidaddela organizacin.

A3.2. Presentarel anlisis costo/beneficiodelas estrategiasde continuidad. A3.3. Negociaciny firmadecontratoscon losproveedores de servicios. A3.4. Adquisicinde lainfraestructurade TICs. A3.5. Preparacindel sitioalterno. A3.6. Definirlos procedimientos de recuperacin.
Una vez identificados los requerimientos de continuidad de la organizacin en la Fase II, se identificarn los recursos necesarios y la forma de consecucin de los mismos para cada uno de los controles propuestos (desarrollo, compra de recursos, contrataciones, convenios, etc.).
Antes de iniciar con el diseo de las estrategias de continuidad, es necesario conocer el ambiente actual de TI de la organizacin; el cuadro 4.16, detalla los recursos del Centro de Procesamiento de Datos (CPD):
Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio (Inicio).
Recurso Hardware:
Servidor HP Integrity NonStop NS2000 Server; 4 procesadores Dual-core Intel Itanium serie 9100; 32 GB en RAM; 146 GB Disco Duro; arquitectura multi core. HP Integrity NonStop NS1200 Server; 2 procesadores Intel Itanium serie 9100; 16 GB en RAM; 146 GB Disco Duro; arquitectura single core. HP StorageWorks P9000 Disk Arrays Planeador de Recursos Empresariales (ERP), nmina y recursos humanos. Servidor espejo del Planeador de Recursos Empresariales (ERP), nmina y recursos humanos. Almacenamiento, virtualizacin y balanceo de carga de las Bases de Datos. Respaldo de las Bases de Datos y ambiente operativo. Firewall. Correo electrnico. Web, fax, anti-spam, anti-virus. Enrutador principal red LAN y WAN para voz y datos
Detalle
Aplicacin
Servidor
Arreglo de Discos
Unidad de cinta Servidor Servidor Servidor Enrutador
HP M8609A LTO 4 FC Manual Load Tabletop Tape Drive for HP NonStop Integrity NS-Series Servers and Blade Systems. HP Integrity NonStop NS1200 Server; 1 procesadores Intel Itanium serie 9100; 8 GB en RAM; 80 GB Disco Duro; arquitectura single core. HP ProLiant ML150 serie G6; 2 procesadores Intel XEON 5500; 4 GB en RAM; 350 GB Disco Duro HP ProLiant ML110 serie G6; 1 procesadores Intel XEON 5500; 2 GB en RAM; 250 GB Disco Duro Enrutador HP serie A-MSR20; Procesador RISC @ 400 MHz, 256 MB compact flash, 256 MB SDRAM; tamao de la tabla de enrutamiento 100000 entradas
Pgina 85
Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio (Final). Recurso
Software:
Sistema Operativo Base de Datos ERP Arreglo de discos Arreglo de discos Unidad de cinta Firewall Sistema Operativo Sistema Operativo Web Anti-spam Anti-virus Enrutador HP UX 11 i V 3 QAD Progress V 9.2 QAD MFG-PRO e-Business HP StorageWorks Cluster Extension Software HP StorageWorks Storage Mirroring Software HP TapeAssure Raptor for Axent V 9 Fedora Core V.7, sendmail Windows 2008 Server IIS, Internet Information Server v 10 McAfee viruscan v 12 Kaspersky Internet Security 2010 IMC - Intelligent Management Center Sistema Operativo para el sistema ERP y Firewall. Base de Datos del sistema ERP. ERP Administracin del cluster del arreglo de discos. Administracin de la replicacin en espejo del arreglo de discos. Administracin de la unidad de cintas. Firewall. Correo electrnico. Sistema operativo para el ambiente web, anti-spam y anti-virus. Web Anti-spam Anti-virus Administracin de los servicios del enrutador.
Detalle
Aplicacin
Telecomunicaciones:
Enlaces de voz y datos Enlaces de voz y datos DS0 512 Kbps VPNs Enlacen entre plantas Enlacen entre plantas redundantes
Respaldo y recuperacin de la informacin:

Cintas de Respaldo Respaldo parcial y total de las bases de datos a las 13:00 y 22:00 horas respectivamente; respaldo total del equipo los fines de semana; 5 juegos de 6 cintas; resguardo de las cintas de fin de mes. Respaldo
Un Sistema en Cluster de Alta disponibilidad, es aquel que tiene Redundancia en los Puntos Probables de Falla: SPFs (Single Point of Failure), de acuerdo al tiempo de Cada de los Sistemas downtime que se est dispuesto a aceptar. Las figuras 4.7a, 4.7b y 4.7c, detallan las arquitecturas del sistema ERP, del Centro de Procesamiento de Datos (CPD) y de telecomunicaciones respectivamente, de la empresa objeto de estudio:
Pgina 86
La siguiente figura representa las aplicaciones del negocio dentro de la arquitectura del Sistema de Informacin actual, de la empresa objeto de estudio:
Figura 4.7a Arquitectura del Sistema ERP de la empresa objeto de estudio.
La figura 4.7b, describe la arquitectura del cluster de alta disponibilidad actual, del CPD de la empresa objeto de estudio:
Figura 4.7b Arquitectura del Centro de Procesamiento de Datos CPD, de la empresa objeto de estudio.
Pgina 87
La siguiente figura, describe la arquitectura de Telecomunicaciones para la provisin de servicios de Tecnologas de la Informacin actual, de la empresa objeto de estudio:
Figura 4.7c Arquitectura del Sistema de Telecomunicaciones de la empresa objeto de estudio.
Con la informacin anterior, se est en condiciones de disear la estrategia de continuidad de la organizacin a travs de: Categoras de estrategias: Centro de procesamiento de datos y telecomunicaciones: o Hardware, software, respaldo y recuperacin de datos de la organizacin, de acuerdo a la informacin del cuadro 4.16, figura 4.7a y figura 4.7b. o Consideraciones de los tiempos objetivos de recuperacin RTO del cuadro 4.4. o Requerimientos de comunicaciones (voz y datos) de acuerdo a la figura 4.7c. o Requerimientos de las reas de trabajo de acuerdo a los cuadros 4.10 y 4.14.
Pgina 88
Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ:
Consideraciones para seleccionar el proveedor de servicios del CPD, ver cuadro 4.17:
Cuadro 4.17 Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ. Solicitud de Propuestas RFP:
Contiene la informacin necesaria de la organizacin colegial, de su entorno, del sector y de la necesidad que justifica el servicio solicitado, as como de las acciones previas en este mbito, del servicio previsto y sus objetivos generales, dentro de un calendario y con una estimacin de econmica.
Solicitud de Calificaciones RFQ:

DESCRIPCIN DE NECESIDADES Resumen Ejecutivo Descripcin breve del objeto del proyecto Lugar y plazo de presentacin de ofertas Informacin General Introduccin Antecedentes Objetivo del proyecto Aspectos contractuales Alcance del proyecto Objetivos a cubrir Requerimientos funcionales o Configuraciones de los Sistemas de Informacin hospedados. o Plan de Recuperacin ante Desastres del sitio alterno. o Velocidad de disponibilidad de los Sistemas de Informacin hospedados. o Abonados por sitio. o Abonados por rea. o Preferencia en la disponibilidad de servicios. o Pliza de seguros. o Perodo de uso del sitio alterno. o Comunicaciones del sitio alterno. o Garantas por prdida parcial o total de informacin y/o equipos. o Auditora de los servicios ofrecidos. o Pruebas de seguridad y disponibilidad. o Confiabilidad de servicios. Condicionantes tcnicos Entregables Fechas objetivo de implantacin RELACIN DE REQUISITOS Generales Presentacin de la Compaa Referencias Tcnicos Caractersticas tcnicas generales de la solucin y equipos ofertados. Medios especficos que se destinan para la prestacin del servicio Equipo de trabajo Otros medios Metodologa que pretende emplearse para la prestacin del servicio Calendario de trabajo propuesto, incluyendo actividades e hitos principales Planes de control de calidad Las propuestas de mejora que se estimen convenientes Detalle de componentes de la oferta: Hardware Software Servicios
Pgina 89
Alternativas de recuperacin del centro de procesamiento de datos: o Recuperacin interna: en cuanto a fallas de energa elctrica, ver figura 4.8. o Recuperacin interna: en cuanto a fallas de Hardware, ver figura 4.8. o Recuperacin interna: en cuanto a fallas de Software, ver figura 4.8. o Recuperacin interna: en cuanto a fallas de Telecomunicaciones, ver figura 4.8 o Instalaciones duplicadas: para proteccin de amenazas humanas, ver figura 4.8. o Sitio de recuperacin externo: para proteccin de amenazas naturales, parcialmente configurado, menos de un da en operar Hot Site, ver figura 4.8.
La siguiente figura, detalla las alternativas de recuperacin del centro de procesamiento de datos CPD propuesto, estas alternativas cubren la mayora de las amenazas de fallas tcnicas, humanas y naturales, propuestas en el cuadro 4.8:
Figura 4.8 Arquitectura del Centro de Procesamiento de Datos CPD, propuesta.
Pgina 90
La arquitectura mostrada en la figura 4.8, cumple con la siguiente categora de la estrategia: Calidad en el Servicio Quality of Service (QoS): o Alta Disponibilidad o High Availability, implementa controles preventivos, detectivos y correctivos para procurar la disponibilidad contina de los sistemas crticos de la organizacin, a travs del cluster de alta disponibilidad, del arreglo de discos en espejo, el cluster elctrico y el sitio de recuperacin externo. o Tolerancia a Fallas Fault Tolerance, sistema que puede continuar brindado servicios a pesar de fallas de software o hardware, a travs del cluster de alta disponibilidad. o Balanceo de Cargas Load Balancing, sistema que comparte la carga de trabajo para evitar recursos ociosos y bajo desempeo (performance), a travs del arreglo de discos.
Estos Sistemas en Cluster de Alta disponibilidad, tienen Redundancia en los Puntos Probables de Falla: SPFs (Single Point of Failure), de acuerdo a los tiempos de Cada de los Sistemas downtime que se est dispuesto a aceptar, segn el cuadro 4.4. Con ello, se procede a presentar el anlisis costo/beneficio de las estrategias de continuidad.
Pgina 91
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 3.2 Presentar el anlisis costo/beneficio de las estrategias de continuidad.
A3.1.Disearlas estrategiasde continuidadde la organizacin.
A3.2. Presentar el anlisis costo/beneficiode las estrategiasde continuidad.

A3.3. Negociaciny firmade contratoscon losproveedoresde servicios. A3.4. Adquisicinde lainfraestructurade TICs. A3.5. Preparacindel sitioalterno. A3.6. Definirlos procedimientosde recuperacin.
Determinada la estrategia de continuidad, se analizar el impacto de sta sobre la operacin del rea funcional, tomando los costos tanto de nivel cualitativo como cuantitativo e incluyendo un anlisis costo/beneficio de la implantacin de un control.
Los siguientes cuadros: 4.18a y 4.18b, detallan los costos de compra y arrendamiento respectivamente del hardware requerido para el CPD Local y CPD Duplicado:
Cuadro 4.18a Compra de Hardware requerido para la estrategia de continuidad propuesta.
Dependencia
Equipos
Servidores
Costo Compra Costo Mantto Anual
Arreglo de discos
Equipos Costo Compra Costo Mantto Anual
Equipo de respaldo UPS

Equipos Costo Compra Costo Mantto Anual Equipos
Totales
Costo Compra Costo Mantto Anual
CORPORATIVO PLANTAS SUCURSALES TOTAL
2 1 0 3
152306 35067 0 187373
16862 3600 0 20462
1 0 0 1
12600 0 0 12600
1130 0 0 1130
0 1 0 1
0 9750 0 9570
0 650 0 650
3 2 0 5
164906 44817 0 209723
17992 4250 0 22242
GRAN TOTAL Mantenimiento Segundo Ao Mantenimiento Tercer Ao Inversin Inicial: Inversin a 3 aos 231,965 Dolares 279,840 Dolares
209723
22242 23354 24521
Cuadro 4.18b Arrendamiento de Hardware requerido para la estrategia de continuidad propuesta.

Dependencia
Equipos
Servidores
Costo Arrenda miento Costo Mantto Anual
Arreglo de discos
Equipos Costo Arrenda miento Costo Mantto Anual
Equipo de respaldo UPS

Equipos Costo Arrenda miento Costo Mantto Anual Equipos
Totales
Costo Arrendami ento Costo Mantto Anual
2 1 0 2
50768 10830 0 61598
16862 3600 0 20462
1 0 0 1
3550 0 0 3550
1130 0 0 1130
0 1 0 1
0 3100 0 3100
0 650 0 650
3 2 0 5
54318 13930 0 68248
17992 4250 0 22242
68248
22242 23354 24521
Pgina 92
El costo anterior es expresado en dlares, debido a que los servicios tcnicos y de infraestructura en TI, as se detallan internacionalmente. Como se aprecia en el cuadro 4.18b, el costo del hardware a travs del arrendamiento es la mejor solucin econmica; ahora, el cuadro 4.18c detalla el costo de arrendamiento del software requerido en los CPD local y duplicado, as como el costo del arrendamiento del CPD externo:
Cuadro 4.18c Arrendamiento Software requerido para la estrategia de continuidad propuesta y CPD alterno.
Dependencia
Licencia s
Software
Costo Arrenda miento Costo Mantto Anual
CPD Cold Site Externo

Cantida d Costo Arrenda miento Costo Mantto Anual Licencia s
Totales
Costo Arrendami ento Costo Mantto Anual
10 4 0 14
14780 4320 0 19100
1265 410 0 1675
1 0 0 1
2150 0 0 2150
205 0 0 205
11 4 0 15
16930 4320 0 21250
1470 410 0 1880
15
21250
1880 1974 2072
El siguiente cuadro, detalla los costos de los cursos de capacitacin requeridos, para la administracin de los recursos crticos del Centro de Procesamiento de Datos CPD:
Cuadro 4.19 Cursos de capacitacin requeridos para la estrategia de continuidad propuesta.
Curso Lder
HP UX 11 i V 3 HP StorageWorks Cluster Extension Software HP StorageWorks Storage Mirroring Software HP Integrity NonStop NS2000 Server HP StorageWorks P9000 Disk Arrays 3 3 3 3 240 157 720 471 3 3 306 918 3 3
Personal Analista
Programador
No. Personas
3 3
Costo / Persona
369 409
Total
1107 1227
Total
$ 4,443 Dolares
Pgina 93
El cuadro 4.20, muestra los beneficios anuales estimados de la estrategia de continuidad por rea clave de la organizacin objeto de estudio, con un clculo de beneficios estimados, sobre una base de facturacin mensual de $ 2,564,102 Dolares:
Cuadro 4.20 Beneficios estimados de la estrategia de continuidad propuesta. Beneficios Cuantitativos Beneficio Cuantificacin
Garantizar la continuidad de las operaciones para el suministro de informacin por anticipado, de manera que los gerentes puedan ver el programa planeado antes de la expedicin real de los pedidos. Manufactura Minimizar la posibilidad de prdida de informacin para la toma de decisiones en cuanto al conjunto de costos que ocasionan la materia prima, el material o el producto semi terminado cuando no cumple con las especificaciones y la disposicin al manejo de estos.
Incremento de la produccin del orden del 1.2% $ 30,769
Mantener el servicio al cliente para proveer amplia informacin de la base instalada para maximizar todas las operaciones con el Cliente y Proveedor. Distribucin Rapidez de deteccin de dificultades en el cumplimiento de la programacin de Clientes y proveedores. Posibilidad de conocer rpidamente las consecuencias financieras de la planificacin.
Incremento en la capacidad de almacenaje y distribucin del 0.8% $ 20,512
Minimizar la posibilidad de prdida de informacin crtica para el negocio, manteniendo la informacin de cunto cuesta producir un artculo y en cuanto se puede vender Finanzas $ 25,641
Asegurar que los registros vitales estn disponibles ante el evento de contingencia, permitiendo conocer oportunamente cunto se est ganando o perdiendo.
Recuperacin de Cartera Vencida del 1%
Asegurar que los registros vitales estn disponibles ante el evento de contingencia, para el control de Cuentas por Cobrar de las Facturas Emitidas
Organizacin
Optimizacin de funciones y Recursos.
Ahorro de Recursos del 0.55%
$ 14,102
Total
$ 91,024 Dolares
Se observa que la inversin propuesta es muy atractiva, observando los beneficios estimados en comparacin con la facturacin promedio anual de $38,000,000 millones de dlares.
Pgina 94
Con la informacin proporcionada hasta este momento, se est en condiciones de determinar los parmetros para el anlisis de rentabilidad del cuadro 4.21, y el resumen de resultados del anlisis de sensibilidad del cuadro 4.22:
Cuadro 4.21 Parmetros para el anlisis de rentabilidad (TMAR), de la estrategia de continuidad propuesta. Flujo
+ + -
Concepto
Inversin, Materiales, Equipos, Capacitacin, Personal (Dolares) Beneficios Estimados (Dlares) Costo de mantenimiento Ao 1 (Dolares) Costo de Mantenimiento Ao 2 (Dolares) Costo de mantenimiento Ao 3 (Dolares) Impuestos (%) Valor de salvamento sobre la inversin en equipo (%) Depreciacin (%) Vida til de los equipos (aos) Tasa de Descuento (p.u) (%) Tasa de crecimiento anual (%)
Valor
$115,063 $91,024 $24,122 $25,328 $26,593 25 5 5 5 8,10 5
Los parmetros anteriores, proporcionan la base del clculo del anlisis de sensibilidad, cuyo resultado se expresa en el siguiente cuadro:
Cuadro 4.22 Resumen de resultados del anlisis de sensibilidad, de la estrategia de continuidad propuesta.
Concepto Anlisis de Sensibilidad Valor en Dolares 115,063 8% 30% 138,480 115,063 10% 30% 132,968
Inversin Tasa de descuento (%) T.M.A.R. (%) Valor presente neto T.I.R. (%) Relacin Beneficio / Costo Ao recuperacin de Inversin
1.91 5
1.89 5
Una vez obtenido el anlisis de rentabilidad (TMAR) y con tasas de descuento de 8% y 10%, se obtienen la relacin de costo beneficio y su correspondiente ao de recuperacin de la inversin propuesta.
Pgina 95
Los cuadros 4.23a y 4.23b, detallan el anlisis de rentabilidad a tasas del 8% y 10% respectivamente, proporcionando un tiempo estimado de recuperacin de la inversin de la estrategia de continuidad propuesta:
Cuadro 4.23a Anlisis de rentabilidad a tasa del 8%, de la estrategia de continuidad propuesta.
-1 Aos
-2 Invers.
Flujo de Costos -3 -4 Mantto Total
-5 Valor Pres. Costos (8%)
Flujo de Beneficios -6 -7 -8 Ingresos SalvaValor Pres. (5%) mento Beneficios (8%)
-9 Depreciacin
-10 Utilidad Bruta (6)-(4)(9)
-11 Impuesto s 25%(10)
-12 Flujo Neto Efectivo (10)(11)+(9) 0 50,466 52,960 55,311 58,051 58,805
Flujos de Efectivo -13 Flujo Descon (8%)
-14 Flujo Acum
0 1 2 3 4 5
2010 2011 2012 2013 2014 2015
115,063 0 0 0 0 0 115,063
0 24,122 25,328 26,953 28,300 32,545 140,349
115,063 24,122 25,328 26,953 28,300 32,545 255,412
115,063 22,192 23,301 24,796 26,036 29,941 241,329
0 91,024 95,575 100,353 105,370 110,638 502,960 941
0 83,742 87,929 92,324 96,940 101,786 462,721
0 1,156 1,098 1,043 991 941
0 65,746 69,151 72,357 76,079 77,152
0 16,436 17,287 18,089 19,019 19,288
-115,063 46,428 48,723 50,886 53,406 54,100
-115,063 -68,635 -19,912 30,974 84,380 138,480
Valor Presente Costos Relacin Beneficio / Costo Valor Presente Neto
241,329 1.91 138,480
Valor Presente Beneficios Tasa Interna de Retorno Ao de Recuperacin de la Inversin
462,721
En el cuadro anterior, se aprecia una relacin costo/beneficio de 1.91% a cinco aos de recuperacin de la inversin, a una tasa de descuento del 8%.
Cuadro 4.23b Anlisis de rentabilidad a tasa del 10%, de la estrategia de continuidad propuesta.
-1 Aos
-2 Invers.
Flujo de Costos -3 -4 Mantto Total
-5 Valor Pres. Costos (10%)
Flujo de Beneficios -6 -7 -8 Ingresos SalvaValor Pres. (5%) mento Beneficios (10%)
-9 Depreciacin
-10 Utilidad Bruta (6)-(4)(9)
-11 Impuesto s 25%(10)
-12 Flujo Neto Efectivo (10)(11)+(9) 0 50,466 52,960 55,311 58,051 58,805
Flujos de Efectivo -13 Flujo Descon (10%)
-14 Flujo Acum
0 1 2 3 4 5
2010 2011 2012 2013 2014 2015
115,063 0 0 0 0 0 115,063
0 24,122 25,328 26,953 28,300 32,545 140,349
115,063 24,122 25,328 26,953 28,300 32,545 489,307
115,063 21,709 22,795 24,257 25,470 29,290 238,584
0 91,024 95,575 100,353 105,370 110,638 502,960 941
0 81,921 86,017 90,517 94,833 99,574 452,862
0 1,156 1,098 1,043 991 941
0 65,746 69,151 72,357 76,079 77,152
0 16,436 17,287 18,089 19,019 19,288
-115,063 45,419 47,664 49,779 52,245 52,924
-115,063 -69,644 -21,980 27,799 80,044 132,968
Valor Presente Costos Relacin Beneficio / Costo Valor Presente Neto
238,584 1.89 132,968
Valor Presente Beneficios Tasa Interna de Retorno Ao de Recuperacin de la Inversin
452,862
En el cuadro anterior, se aprecia una relacin costo/beneficio de 1.89% a cinco aos de recuperacin de la inversin, a una tasa de descuento del 10%.
Pgina 96
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 3.3 Negociacin y firma de contratos con los proveedores de servicios.
A3.1.Disearlas estrategiasde continuidadde la organizacin. A3.2. Presentarel anlisiscosto/beneficio de lasestrategiasde continuidad.
A 3.3. Negociacin y firmade contratos con losproveedores deservicios.

A3.4. Adquisicinde lainfraestructurade TICs. A3.5. Preparacindel sitioalterno. A3.6. Definirlos procedimientosde recuperacin.
Una vez definida la estrategia de continuidad y el costo/beneficio de la misma, se procede a la negociacin y firma de los contratos con los proveedores de servicios de: Cold Site (Infraestructura bsica, varios das en operar), Hot Site (Parcialmente configurado, menos de un da en operar) y Warm Site (Listo para operar en pocas horas), este contrato debe incluir, los trminos tecnolgicos, inscritos en la Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ, enviado a los proveedores de servicios.
El cuadro 4.24, muestra los trminos contractuales generales a que debe estar sujeto el contrato de prestacin de servicios del proveedor del Centro de Procesamiento de Datos:
Cuadro 4.24 Contrato de prestacin de servicios informticos para el proveedor del CPD externo. Contrato de prestacin de servicios informticos
DEFINICIN: Contrato en virtud del cual una de la partes se compromete a prestar a la otra una serie de servicios informticos a cambio de un precio.
Desarrollo:
PARTES CONTRATANTES: Empresa prestadora de servicios informticos y cliente. CLUSULAS GENERALES: Definiciones. Objeto. Duracin. Precio y forma de pago. Comunicaciones entre las partes. Confidencialidad. Resolucin del contrato. Derechos y obligaciones de las partes. Responsabilidades de las partes. Ley aplicable y tribunales competentes. CLUSULAS ESPECFICAS: Servicios a prestar. Caractersticas del servicio. o Configuraciones de los Sistemas de Informacin hospedados. o Plan de Recuperacin ante Desastres del sitio alterno. o Velocidad de disponibilidad de los Sistemas de Informacin hospedados. o Abonados por sitio. o Abonados por rea. o Preferencia en la disponibilidad de servicios. o Pliza de seguros. o Perodo de uso del sitio alterno. o Comunicaciones del sitio alterno. o Garantas por prdida parcial o total de informacin y/o equipos. o Auditora de los servicios ofrecidos. o Pruebas de seguridad y disponibilidad. o Confiabilidad de servicios. Plazos. Suspensin y modificacin del servicio. Independencia entre las partes.
Pgina 97
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 3.4 Adquisicin de la infraestructura de TICs.
A3.1.Disearlas estrategiasde continuidadde la organizacin. A3.2. Presentarel anlisiscosto/beneficio de lasestrategiasde continuidad. A3.3. Negociaciny firmade contratoscon losproveedoresde servicios.
A3.4. Adquisicin dela infraestructura deTICs.

A3.5. Preparacindel sitioalterno. A3.6. Definirlos procedimientosde recuperacin.
Concluida la negociacin y firma de los contratos con los proveedores de servicios, se est en condicin de: adquirir y dar mantenimiento a la infraestructura tecnolgica que satisface el requisito del negocio, para adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI enfocndose en proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y estndares de tecnologa en continuidad del negocio.
Antes de la negociacin y firma del contrato de adquisicin de la infraestructura de TI, se requiere considerar los parmetros de seleccin y adquisicin de hardware y software del Centro de Procesamiento de Datos local y duplicado:
Cuadro 4.25 Parmetros a considerar en la seleccin y adquisicin de hardware y software del CPD (Inicio). Parmetros a considerar en la seleccin y adquisicin de hardware y software del Centro de Procesamiento de Datos CPD
PRECIO: CONVERSIN Facilidad Capacitacin de personal Apoyo al sistema Facilidades para pruebas de las aplicaciones del cliente Del sistema De instalacin Generales
SOPORTE DE LA FIRMA HARDWARE Seguridad funcional Tiempo total de mquina Posibilidades de comprobacin Rendimientos y caractersticas Asesoramiento comparado Posibilidades de crecimiento Compatibilidad Organizacin Plazos de entrega Mantenimiento y servicio Actitud de la oferta Posibilidad de utilizar otros equipos de cmputo
Pgina 98
Cuadro 4.25 Parmetros a considerar en la seleccin y adquisicin de hardware y software del CPD (Final). Parmetros a considerar en la seleccin y adquisicin de hardware y software del Centro de Procesamiento de Datos CPD
SOFTWARE Lenguajes Simulacin emulacin Sistemas operativos Soporte de programacin para tiempo real Programas de computacin
CRITERIOS POR APLICAR PARA SELECCIONAR A UN PROVEEDOR Criterios que se aplicaran para las evaluaciones Criterios que se aplicaran para la adjudicacin de los contratos
MATRIZ DE SELECCIN MTODOS DE EVALUACIN TCNICA Muestras Fachas para la entrega de los bienes y para la iniciacin de la prestacin del servicio Lugar para la entrega de los bienes y para la iniciacin de la prestacin de los servicios. Periodo de garanta de los bienes
INFORMACIN ADICIONAL Equipamiento Pruebas de desempeo Procedimientos para la inspeccin de los bienes Patentes marcas y derechos de autor
INSTRUCCIONES PARA LA ELABORACIN Y PRESENTACIN DE LAS OFERTAS Elaboracin de las ofertas Presentacin de las ofertas
DESCALIFICACIN DE PROVEEDORES ANEXOS QUE DEBER LLENAR EL PROVEEDOR Instructivo para el llenado de cuestionarios Cuestionario 1, Datos generales de la empresa Cuestionario 2, Asistencia tcnica Cuestionario 3, Mantenimiento Cuestionario 4, Capacitacin Cuestionario 5, Centros de servicio del proveedor
El problema de la seleccin de equipo de cmputo tiene matices profundamente subjetivos. A fin de poder realizar dicha seleccin de la forma ms objetiva posible, se expuso anteriormente una secuencia de parmetros de cuyo anlisis y posterior evaluacin puede derivarse una adecuada eleccin.
Pgina 99
Una vez seleccionado el hardware y software, el siguiente paso para su adquisicin, en base a los parmetros anteriores, se procede a la firma del contrato de adquisicin de la infraestructura de TI, ver cuadro 4.26:
Cuadro 4.26 Contrato para la adquisicin de la infraestructura de TI. Contrato de prestacin de servicios informticos
DEFINICIN: Contrato en virtud del cual una de la partes se compromete a prestar a la otra una serie de servicios informticos a cambio de un precio.
Desarrollo:
PARTES CONTRATANTES: Empresa prestadora de servicios informticos y cliente. CLUSULAS GENERALES: Definiciones. Objeto. Duracin. Precio y forma de pago. Comunicaciones entre las partes. Confidencialidad. Resolucin del contrato. Derechos y obligaciones de las partes. Responsabilidades de las partes. Ley aplicable y tribunales competentes. CLUSULAS ESPECFICAS: Servicios a prestar. Caractersticas del servicio. o PRECIO: Del sistema De instalacin Generales o CONVERSIN Capacitacin de personal Apoyo al sistema Facilidades para pruebas de las aplicaciones del cliente o SOPORTE DE LA FIRMA Plazos de entrega Mantenimiento y servicio Posibilidad de utilizar otros equipos de computo o HARDWARE Seguridad funcional Tiempo total de mquina Posibilidades de comprobacin Rendimientos y caractersticas Asesoramiento comparado Posibilidades de crecimiento Compatibilidad o SOFTWARE Lenguajes Simulacin emulacin Sistemas operativos Soporte de programacin para tiempo real Programas de computacin Plazos. Suspensin y modificacin del servicio. Independencia entre las partes.
Pgina 100
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 3.5 Preparacin del sitio alterno.
A3.1.Disearlas estrategiasde continuidadde la organizacin. A3.2. Presentarel anlisiscosto/beneficio de lasestrategiasde continuidad. A3.3. Negociaciny firmade contratoscon losproveedoresde servicios. A3.4. Adquisicinde lainfraestructurade TICs.
A3.5. Preparacin delsitioalterno.

A3.6. Definirlos procedimientosde recuperacin.
Una vez adquirida la infraestructura de TI necesaria, se consolida la informacin del centro alterno, su ubicacin, el mapa de los elementos que estn en el sitio, la funcionalidad de cada puesto de trabajo y el responsable de los elementos que all se encuentran, as como, el procedimiento para ingresar, teniendo en cuenta consideraciones de horario (hbil o no hbil).
El sitio alterno duplicado, ofrece mltiples soluciones de respaldo, sus principales caractersticas son la dedicacin exclusiva al servicio de continuidad y recuperacin del negocio, garanta de disponibilidad, flexibilidad segn necesidades, multiplataforma y facilidad de escalabilidad:
El sitio alterno es tan seguro y controlado como el sitio primario:
Accesos fsicos (cerrojos en puertas, no ventanas, vigilancia humana), identificacin desde el exterior y con letreros de ubicacin
No est sujeta al mismo desastre del sitio primario. Cuenta con detectores de humo y aspersores de agua.
Pgina 101
Monitoreo y control ambiental (humedad, temperatura, aire), para ptimas condiciones para medios, papelera, equipos y dispositivos.
Suministro ininterrumpido de energa
Piso Falso.
Sistema de extincin probado y en operacin.
Adems, cuenta con flexibilidad para adaptar el servicio a los cambios de configuracin que se produzcan en el futuro en la arquitectura de sistemas, cubriendo la necesidad de recuperacin del servicio en caso de desastre en el centro de produccin.
Pgina 102
El proveedor del sitio externo, cuenta con recursos que estn totalmente dedicados a la Recuperacin y Continuidad de los Sistemas mediante la externalizacin de servicios para evitar usos indebidos, logrando un rigor en la seguridad.
1500 m2 dedicados a soluciones de Continuidad de Negocio. 240 m2 de rea tcnica divididos en 4 salas. 125 puestos de respaldo para usuarios. Horario 7x24. Red elctrica redundante: UPS y generador elctrico. Red diversificada de telecomunicaciones: Telefnica, COLT, BT, NeoSky. Facilidad de acceso: o Transporte privado. o Transporte colectivo. o Autobs.
La compaa ofrece mltiples soluciones de respaldo que pueden ser dedicadas, compartidas o mixtas, sus principales caractersticas son la dedicacin exclusiva al servicio de continuidad y recuperacin del negocio, garanta de disponibilidad, flexibilidad segn necesidades, multiplataforma y facilidad de escalabilidad. Una vez preparado el sitio alterno tanto duplicado como externo, se procede a definir los procedimientos de recuperacin correspondientes a la estrategia seleccionada.
Pgina 103
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 3.6 Definir los procedimientos de recuperacin.
A3.1.Disearlas estrategiasde continuidadde la organizacin. A3.2. Presentarel anlisiscosto/beneficio de lasestrategiasde continuidad. A3.3. Negociaciny firmade contratoscon losproveedoresde servicios. A3.4. Adquisicinde lainfraestructurade TICs. A3.5. Preparacindel sitioalterno.
A3.6. Definir los procedimientosde recuperacin.
Finalmente, se procede al diseo de la respuesta inicial, procedimientos de emergencia, activacin de los equipos de recuperacin de desastres y continuidad del negocio, activacin del sitio de recuperacin (recuperacin en el sitio alterno, recuperacin de actividades en paralelo o recuperacin en el sitio original) y notificaciones, requerimientos de los usuarios finales, as como, monitoreo de la recuperacin, progreso de la reanudacin y revisiones para conducir a la postreanudacin.
Para iniciar la definicin de los procedimientos de recuperacin, primero se debe tener presente el flujo de informacin en los diferentes procesos que conforman la respuesta a emergencia y restauracin, ver figura 4.9:
Figura 4.9 Diagrama de flujo de respuesta a emergencia y restauracin.
Pgina 104
De acuerdo al diagrama de flujo anterior, a continuacin se resumen los procedimientos de respuesta a emergencia necesarios para el salvamento o restauracin de los servicios crticos:
Cuadro 4.27 Procedimientos de respuesta a emergencias y restauracin para el salvamento de los servicios crticos.
Emergencia
Interrupcin elctrica
Prevencin
Fuentes alternas de generacin elctrica: UPS y plantas elctricas. Fuentes alternas de generacin elctrica: UPS y plantas elctricas. Brigadas de atencin ante situaciones de emergencia
Respuesta
Cambio de suministro del proveedor elctrico a planta de fuerza, en lnea. Suministro de la fuente alterna de almacenamiento elctrico UPS, en lnea. Cambio al CPD duplicado y redireccionamiento del trfico de red. Cambio al CPD externo y redireccionamiento del trfico de red.
Lugar
CPD Local
Reanudacin
ERP y Bases de Datos
Recuperacin
Todas las dems operaciones del CPD. Todas las dems operaciones del CPD. Todas las dems operaciones del CPD.
Restauracin
Cambio de suministro al proveedor elctrico. Cambio de suministro al proveedor elctrico. Cambio al CPD Local
Interrupcin elctrica total
CPD Local
Interrupcin elctrica total / tiempo mximo de espera en CPD Local Interrupcin elctrica total / tiempo mximo de espera en CPD Local y CPD Duplicao Falla de hardware de disco
CDP Local, CPD Duplicado
ERP, Bases de Datos y Telecomunicaciones
Brigadas de atencin ante situaciones de emergencia
CPD Local, CPD Duplicado, CPD Externo. CPD Local
ERP, Bases de Datos y Telecomunicaciones
Todas las dems operaciones del CPD.
Cambio al CPD Local
Contratos de mantenimiento preventivo y correctivo Contratos de mantenimiento preventivo y correctivo Capacidad de redundancia entre servidores
Falla de hardware del servidor principal Falla de hardware de las tarjetas de red
Falla del segmento primario de red
Mantenimiento preventivo y correctivo de los equipos de comunicacin. Procedimientos para respaldo y recuperacin de informacin, fuentes, objetos, documentacin, y configuracin de los sistemas Cambios y configuracin en aplicaciones Procedimientos para el acceso a los recursos tecnolgicos (redes y aplicaciones). Circuitos cerrados de televisin, sensores de movimiento, alarmas
Fallas en software
Cambio de disco fsico del arreglo y actualizacin de la imagen en lnea. Activacin del cluster, cambio de servidor principal por el secundario en lnea. Redireccionamiento del trfico de red interno del servidor, al segmento secundario de red en lnea. Activacin y redireccionamiento del trfico de red al segmento secundario de red en lnea. Restauracin del histrico para Bases de Datos, ERP o Sistema Operativo.
Dems servicios del servidor principal Dems servicios del servidor principal Dems servicios del servidor principal
CPD Local
Disco en lnea con la imagen de informacin actualizada Servidor principal en lnea
CPD Local
ERP, Bases de Datos y servicios de comunicacin
Tarjeta de red y Segmento de red primario en lnea
CPD Local
ERP, Bases de Datos y servicios de comunicacin
Todas las dems operaciones del CPD.
Segmento de red primario en lnea
CPD Local
ERP, Bases de Datos y Sistema Operativo
Dems servicios del servidor principal
ERP, Bases de Datos y Sistema Operativo actualizado y en lnea
Fallas de respaldos de informacin
Intrusin (hackeo)
Violaciones de seguridad fsica
Restauracin del histrico duplicado para Bases de Datos, ERP o Sistema Operativo. Cierre automtico de todos los puertos de servicio de la red y servidor principal. Cierre automtico de emergencia de acceso al CPD
CPD Local
ERP, Bases de Datos y Sistema Operativo
Dems servicios del servidor principal Todas las dems operaciones del CPD. Todas las dems operaciones del CPD.
CPD Local
ERP y Bases de Datos.
CPD Local
ERP y Bases de Datos.
ERP, Bases de Datos y Sistema Operativo actualizado y respaldados Monitoreo de los accesos tanto legtimos como ilegtimos Monitoreo de los accesos legtimos e ilegtimos
Pgina 105
Una vez conocidos los procedimientos de respuesta a emergencias y restauracin para el salvamento de los servicios crticos, se procede a determinar los procedimientos de emergencia para las categoras especficas de crisis. A continuacin se detallan los procedimientos de manejo de crisis ante una interrupcin importante de la produccin (Desastres Naturales):
Cuadro 4.28 Interrupcin importante de la produccin: Desastres Naturales (Inicio). Propsito
El propsito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente cuando exista una interrupcin importante en la produccin.
Aplicacin
Aplica a cualquier prdida inesperada de capacidad de produccin o inventario de producto terminado, el cual resulte en imposibilidad para producir y/o despachar producto en un perodo de tiempo significativo. Ejemplos de una interrupcin importante de la produccin son: Dao de planta o equipo causado por fuego, explosin, inundacin, tornado, falla del equipo, etc., los cuales resultan en incapacidad para producir/distribuir producto. Falla del proveedor para suministrar una materia prima crtica necesaria para la produccin del producto. Paro de autotransportes que resulte en incapacidad para entrega de materias primas y/o distribucin de productos terminados. Accin legal, paro, o resultado de una decisin para discontinuar las operaciones. Este procedimiento no pretende cubrir reparaciones menores por fallas en equipo, interrupcin de la produccin por paro de trabajadores cuyo plan de contingencia ha sido desarrollado, o faltantes temporales de la produccin resultantes de calidad, salud o seguridad. Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa de la interrupcin (muerte accidental, medio ambiente, amenaza de bomba, etc.). Adems, este procedimiento no intenta reemplazar los procedimientos de emergencia desarrollados para fuego, terremoto, inundacin u otro desastre natural. Acciones a tomar: Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupcin importante en la produccin 1. Notificar al lder de equipo o gerente de la unidad (dependiendo de la disponibilidad) inmediatamente: No permitir que un posible evento de crisis no sea reportado por alguna razn. Si se identifica una interrupcin importante de la produccin, usando los ejemplos y el criterio general especificado anteriormente, se debe informar al lder de equipo de todos los hechos disponibles para fomentar una pronta comunicacin (si la situacin as lo demanda) al Gerente de la unidad. Si el gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al Director General. 2. Contener la Crisis de Inmediato: Conjuntamente con las acciones descritas anteriormente y hasta que el administrador de la crisis haya sido asignado y un plan haya sido desarrollado, actuar rpida y prudentemente para contener la crisis inmediatamente. Dependiendo de la naturaleza y seriedad del accidente, se deben tomar las siguientes acciones: A. B. C. Implementar todos los procedimientos de seguridad de emergencia aplicables para fuego, terremoto, inundacin u otro desastre natural, como sea apropiado. Determinar los procedimientos de administracin de crisis adicionales que deben ser implementados tales cmo muerte accidental o heridas graves, medio ambiente, amenaza de bomba, etc. Establecer la seguridad de los empleados y de la comunidad local, tomar todas las acciones apropiadas para resolver todas las condiciones de inseguridad.
Pgina 106
Cuadro 4.28 Interrupcin importante de la produccin: Desastres Naturales (Final). Aplicacin

D. E. F. G. H. I. J. 3. Llamar a hospitales y ambulancias si es apropiado. Asegurar el sitio accidentado/daado, el lugar de la planta y establecer la seguridad en el rea de produccin y unidad. Notificar a las autoridades locales aplicables y a las agencias de administracin de emergencias (Departamento de Bomberos, Departamento de Polica, etc.) si es apropiado. Notificar al Departamento de Recursos Humanos para desarrollar el plan de comunicaciones. Notificar al equipo de Administracin de la Emergencia. Notificar al equipo de Evaluacin de Daos, para efectuar la primera estimacin de los daos en productos terminados o ambientales Notificar al lder del sindicato, si es apropiado.
Definir la crisis: Una vez que la situacin inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Accin de Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva para determinar la causa del accidente, la naturaleza y extensin de las heridas sufridas y algn dao relacionado con la propiedad y algn otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar resmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigacin, se deber: A. B. C. D. E. F. G. H. I. J. Determinar la naturaleza y extensin de la interrupcin. Recoger los nombres, direcciones y nmeros telefnicos de todos los testigos del incidente y todas las otras personas heridas o de alguna forma comprometidas. Tomar fotografas, hacer dibujos y si es posible, grabaciones de la escena del accidente tan pronto como sea posible. Determinar la causa del evento o incidente y listar todas las respuestas tomadas en ese momento. Determinar la naturaleza y extensin de algunos heridos o muerte. Determinar la naturaleza y extensin de algunos daos a los activos de la corporacin. Determinar la naturaleza y extensin de algn dao al medio ambiente. Determinar la naturaleza y extensin de algn dao a la comunidad. Determinar el impacto potencial sobre la fuerza de trabajo (reduccin de la programacin, hacer asignaciones nuevas, plan temporal, etc.) Establecer algn riesgo vigente para los empleados, clientes o comunidad.
4.
Tomar las siguientes acciones adicionales: A. B. C. D. E. F. G. H. I. J. K. L. Comunicar y considerar reprogramar nuevamente todas las Materias Primas y Productos Terminados. Comunicar la prdida de produccin y/o capacidad de despacho a transportistas y ventas, e indicar las comunicaciones a ser seguidas de distribucin. Considerar las alternativas de fuentes estratgicas. Considerar estrategias de distribucin de productos. Revisar con el Departamento Legal para ver si los contratos con el vendedor o cliente pueden ser violados. Coordinar la estrategia de distribucin del producto con Mercadeo, Publicidad y Ventas. Considerar temporalmente la alternativa de planes de espacio para continuar la produccin hasta que la reparacin o construccin se lleve a cabo. Coordinar el flujo de los servicios pblicos con las compaas de servicios para coincidir con la salida de produccin. Si es apropiado, desarrollar estrategias para regresar la planta y equipo a su operacin normal. Considerar opciones para modificar y convertir equipos alternos que renan las demandas de produccin. Considerar la identificacin y cancelacin de activos. Si es apropiado, coordinar la terminacin y presentacin de los papeles de trabajo del reclamo de seguros.
5.
Revisin de la crisis: Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar cambios que se deben efectuar y otras acciones correctivas: A. B. C. Qu tan efectivos fueron los procedimientos de contencin, definicin y respuesta a la crisis? Cmo fue la respuesta y la disponibilidad de los recursos claves cuando fueron llamados para soportar los esfuerzos de administracin de crisis? Qu tan efectivo fue el equipo de Respuesta a Incidentes para responder la crisis?
Pgina 107
El cuadro 4.29, detalla los procedimientos de manejo de crisis ante una interrupcin importante de la produccin: Relaciones con empleados (Desastres Humanos):
Cuadro 4.29 Relaciones con empleados: Desastres Humanos (Inicio). Propsito
El propsito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente con un evento de crisis de relacin con empleados.
Aplicacin
Este procedimiento de respuesta aplica a cualquier problema de relacin con empleados que pueden afectar seriamente a la compaa para cumplir sus objetivos de seguridad de los activos y empleados, financieros, produccin y servicio al cliente. Ejemplos de eventos de crisis de relaciones con empleados son: Una huelga iniciada en una unidad sindicalizada en conjunto con el convenio normal de obligaciones. Un paro en la unidad sindicalizada o no iniciada por empleados en protesta por algunas acciones administrativas o en un intento por forzar un punto de vista.
La potencial seriedad de tales eventos debe ser evaluada en trminos de potenciales efectos adversos sobre la seguridad de los empleados, produccin, servicio al cliente, finanzas corporativas, presiones y reacciones pblicas. Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento (interrupcin importante de la produccin, publicidad adversa, etc.). Adems, este procedimiento no intenta reemplazar los planes detallados para huelgas que hayan sido desarrollados por la administracin del sindicato de la unidad, con guas del Departamento de Recursos Humanos y Departamento Legal. Ms bien este procedimiento intenta establecer esfuerzos para respuestas iniciales para todos los eventos de crisis en relacin con empleados. Acciones a tomar: Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupcin importante en la produccin: 1. Notificar al lder de equipo o gerente de la unidad (dependiendo de la disponibilidad) inmediatamente: No permitir que el potencial evento de crisis, no sea reportado por alguna razn. Identifica cualquier interrupcin importante de la produccin, usando los ejemplos y el criterio general especificado anteriormente, informar al lder de equipo de todos los hechos disponibles para fomentar una pronta comunicacin (si la situacin as lo demanda) al Gerente de la unidad. Si el gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al Director General. 2. Contener la Crisis de Inmediato: Conjuntamente con las acciones descritas anteriormente y hasta que el administrador de la crisis haya sido asignado y un plan haya sido desarrollado, actuar rpida y prudentemente para contener la crisis inmediatamente. Dependiendo de la naturaleza y seriedad del accidente, se deben tomar las siguientes acciones: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Determinar si procedimientos adicionales de administracin de crisis deben ser implementados tal cmo interrupcin importante de la produccin, publicidad adversa, etc. Instituir las condiciones del plan de huelga de la unidad, si es aplicable Contactar todos los empleados y motivarlos/persuadirlos para que continen trabajando, si es pertinente. Empezar una investigacin para conocer las causas de la crisis de relacin con empleados, y averiguar soluciones que sern necesarias para disminuir el impacto econmico, tanto como sea posible. Notificar al equipo de Administracin de la Emergencia. Notificar al equipo de Evaluacin de Daos. Notificar al Departamento de Recursos Humanos Corporativo. Notificar al Departamento Legal Notificar a seguridad corporativa, discutir y desarrollar planes que pueden ser la mejor proteccin para los empleados, equipo e instalaciones de la Compaa. Notificar al Departamento de Polica local, de la situacin y una posible necesidad de asistencia.
Pgina 108
Cuadro 4.29 Relaciones con empleados: Desastres Humanos (Final). Aplicacin

3. Definir la crisis: Una vez que la situacin inmediata ha sido estabilizada, y pendiente de instrucciones adicionales del equipo de Accin de Emergencias, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva para determinar la causa del problema, la naturaleza y extensin de las heridas sufridas y algn dao relacionado con la propiedad y algn otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar resmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigacin, se debe: A. Determinar la naturaleza, extensin y causa de la crisis de relacin con empleados, compilar y actualizar continuamente un registro o resumen objetivo y cronolgico del evento de crisis, incluyendo todas las respuestas de la compaa a la crisis. Si es aplicable preparar listas identificando todos los empleados envueltos en la huelga o paro de labores, tambin como aquellos empleados no envueltos en la crisis de relacin con empleados. Si es aplicable, compilar una lista de los nombres y direcciones de todos los lderes sindicales locales. Si es posible, averiguar la lista prioridad de demandas de los lderes de los empleados envueltos en el evento (lderes del sindicato, si es aplicable). Determinar el impacto potencial sobre la fuerza de trabajo (reduccin de la programacin, hacer asignaciones nuevas, plan temporal, fuentes alternas de produccin etc.)
B. C. D. E.
4.
Tomar las siguientes acciones adicionales: A. B. C. D. E. F. G. H. Establecer un comando central y comunicaciones continuas entre el personal del equipo de Accin de Emergencias y el equipo Administrador de la Emergencia. Si es apropiado, desarrollar y suministrar toda la informacin necesaria para Recursos Humanos, para una posible emisin de pronunciamientos. Mantener un archivo central de todos los papeles de trabajo y otros registros relacionados con los eventos de la crisis. Desarrollar un plan para salvar los ingresos y egresos de la localidad, acomodando empleados temporalmente, proveedores, contratistas externos, empleados no comprometidos y administracin. Considerar que la produccin y servicio al cliente son los ms esenciales y hacer recomendaciones para el Jefe de sector/unidad de servicio, en cuanto tales productos y servicios deben continuar sin interrupcin. Comunicar prdida potencial de la produccin y/o capacidad de despachos para transporte y ventas. Trabajar con el Departamento Legal, Considerar la necesidad de identificar y contactar consejeros legales locales externos. Reportes de progreso sobre todas las investigaciones de los equipos de Accin de Emergencia y Evaluacin de Daos.
5.
Revisin de la crisis: Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar cambios que se deben efectuar y otras acciones correctivas: A. B. C. Qu tan efectivos fueron los procedimientos de contencin, definicin y respuesta a la crisis? Cmo fue la respuesta y la disponibilidad de los recursos claves cuando fueron llamados para soportar los esfuerzos de administracin de crisis? Qu tan efectivo fue el equipo de Respuesta a Incidentes para responder a la crisis?
Estos procedimientos de respuesta incluyen los pasos iniciales de respuesta a la crisis, una lista de contactos claves internos y externos, sus responsabilidades y una lista de chequeo de asuntos especficos a ser dirigidos. Los procedimientos de respuesta para otras categoras de crisis sern desarrolladas cuando el Equipo de Respuesta a Incidentes lo considere necesario.
Pgina 109
A continuacin se detallan los procedimientos de manejo de crisis ante una interrupcin importante de la produccin: Avera del Centro de Procesamiento de Datos CPD (Desastres Tecnolgicos):
Cuadro 4.30 Avera del Centro de Procesamiento de Datos CPD: Desastres Tecnolgicos (Inicio). Propsito
El propsito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente cuando haya eventos de sabotaje y fallas del Centro de Procesamiento de Datos.
Aplicacin
Este procedimiento de respuesta aplica a cualquier situacin que pueda originar daos fsicos o prdida del procesamiento computarizado en algn perodo determinado. La falla puede resultar de una prdida del funcionamiento del procesamiento, la inhabilidad para obtener acceso a la computadora o una falla externa resultante de la inhabilidad para procesar informacin en un perodo de tiempo. Los siguientes ejemplos son eventos de fallas en el Centro de procesamiento de Datos: Una explosin en las instalaciones del Centro de procesamiento de Datos que impiden las operaciones de la unidad. Se daan las Telecomunicaciones que suministran servicio a una porcin importante de la red de datos. Los archivos de datos son saboteados por un hacker dando informacin no confiable.
Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento. Cada instalacin computarizada debe mantener un plan de continuidad de negocios, incorporando procedimientos de recuperacin de emergencias para restaurar las funciones de procesamiento del Centro de Procesamiento de Datos, Adems, este procedimiento no intenta reemplazar los procedimientos o planes desarrollados para restaurar el proceso del CPD, en el evento de una falla menor. Acciones a tomar: Las siguientes acciones deben ser tomadas en el evento de un sabotaje o falla en el Centro de Procesamiento de Datos: 1. Notificar inmediatamente a su supervisor o Jefe de Sector/Unidad de Servicio: No permitir que un posible evento de crisis se quede sin reportar por alguna razn. Si se identifica un evento de falla en el CPD, usando los ejemplos y criterio especificados anteriormente, se debe informar inmediatamente al Gerente de la unidad y a seguridad corporativa de todos los detalles disponibles. Si el Gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al Director General. 2. Contener la Crisis de Inmediato: Despus de notificar apropiadamente la falla del Centro de Procesamiento de Datos o sabotaje y hasta que el administrador de la crisis haya sido asignado y un plan haya sido desarrollado, actuar rpida y prudentemente para contener la crisis inmediatamente. Dependiendo de la naturaleza y seriedad del evento, se debe tomar las siguientes acciones: A. B. C. D. E. F. G. H. Establecer la seguridad de los empleados y de la comunidad local y tomar las acciones apropiadas para resolver las condiciones inseguras. Llamar a los equipos de rescate y agencias de administracin de emergencias (Departamento de Bomberos, Polica, etc.) si es apropiado. Seguridad en las instalaciones computarizadas daadas. Determinar si procedimientos adicionales de administracin de crisis necesitan ser implementados tales como muerte accidental o heridos graves, interrupcin importante de la produccin, amenaza de bomba, etc. Notificar a Recursos Humanos para desarrollar un plan de comunicaciones, referir alguna averiguacin de los medios a Recursos Humanos. Notificar al equipo de Accin de Emergencia. Notificar al Equipo de Evaluacin de Daos, para que establezca el dao en las instalaciones del CPD. Notificar al Equipo de Administracin de la Emergencia.
Pgina 110
Cuadro 4.30 Avera del Centro de Procesamiento de Datos CPD: Desastres Tecnolgicos (Final). Aplicacin
3. Definir la crisis: Una vez que la situacin inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Accin de Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva para determinar la causa del evento, la naturaleza de algn dao en la propiedad y algn otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar resmenes de sus investigaciones al equipo de Respuesta a Incidentes. Como parte de la investigacin, se debe: A. B. C. D. E. F. G. H. I. 4. Determinar la naturaleza y extensin de algunos heridos o muertos Recoger los nombres, direcciones y nmeros telefnicos de todos los testigos del incidente y todas las otras personas heridas o de alguna forma comprometidas. Tomar fotografas, hacer dibujos y si es posible, filmaciones de las reas y equipos afectados. Determinar la naturaleza y extensin de algn dao al equipo computarizado y de Telecomunicaciones. Determinar la causa del evento o incidente y listar todas las respuestas tomadas en ese momento. Determinar el impacto potencial sobre los empleados. Determinar la naturaleza y extensin de algn dao al medio ambiente Determinar la naturaleza y extensin de algn dao a la comunidad. Establecer algn riesgo vigente para los empleados o la comunidad.
Tomar las siguientes acciones adicionales: A. B. C. D. E. F. G. H. I. J. Considerar la activacin de la estrategia de continuidad vigente. Notificar al proveedor local de una situacin de desastre. Recobrar la informacin de respaldo almacenada en un lugar fuera del sitio Considerar un mensaje para llamadas de ayuda de escritorio para comunicar a todos los usuarios de computadores el progreso de la recuperacin. Notificar a los usuarios propietarios de aplicaciones crticas de negocios sobre el progreso de un proceso de recuperacin de desastres. Considerar el establecimiento de un Centro de Control de Emergencia para coordinar y monitorear el proceso de recuperacin. Considerar una oficina alterna para continuar recuperando las operaciones computarizadas. Coordinar el flujo de servicios pblicos (electricidad, telfono, etc.) con las empresas pblicas, para que coincida con la recuperacin de las operaciones del CPD. Considerar la identificacin de activos y cancelarlos. Coordinar la restauracin de los equipos de cmputo destruidos.
5.
Revisin de la crisis: Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar cambios que se deben efectuar y otras acciones correctivas: A. B. C. D. E. F. Qu tan efectivos fueron los procedimientos de contencin, definicin y respuesta a la crisis? Cmo fue la respuesta y la disponibilidad de los recursos claves cuando fueron llamados para soportar los esfuerzos de administracin de crisis? Qu tan efectivo fue el equipo de Respuesta a Incidentes para responder a la crisis? Qu consejo adicional es necesario, para los individuos afectados por la crisis? Qu medidas deben ser incluidas en un plan de prevencin para asegurar que no ocurrir otro incidente? Qu informacin debe ser comunicada a otras unidades computarizadas que puedan potencialmente tener situaciones similares?
Los procedimientos anteriores, son una respuesta a la crisis generada por una interrupcin importante de la produccin ante desastres naturales, humanos y tecnolgicos, proporcionado una gua para la activacin del Plan de Continuidad y sus correspondientes procedimientos de emergencia definidos. Pgina 111

Fase2.
Fase IV.- Capacitar, probar y ejercitar.
BCP
DRP
Determinar la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupcin, evaluando el equipo y personal a cargo de cada actividad crtica, realizando una prueba al sistema demostrando competencia y capacidad de continuidad del negocio, a travs de la revisin de los estndares y mejores prcticas, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a estndares predefinidos.
Actividad 4.1 Definir objetivos de entrenamiento.
A4.1. Definir objetivosde entrenamiento.

A4.2.Desarrollare implementarvarios tiposdeprogramas de entrenamiento. A4.3. Identificarotras oportunidadesde educacin. A4.4. Descripcinde laspruebas. A4.5.Planificarlos escenariosde pruebay superiodicidad. A4.6. Ejercitacinde laspruebas.
Establecer las estrategias y procedimientos de los programas de entrenamiento, para proveer de direccionamiento, soporte, metodologas y estndares para garantizar la continuidad del negocio y servicios de TICs.
Objetivo: Garantizar la adecuada capacitacin del personal en el entendimiento de la documentacin del Plan de Continuidad, y de todo documento que est relacionado con el escenario de y el alcance del mismo. Para esto se debe considerar el plan de pruebas, sugirindose los siguientes aspectos: Las presentaciones incluyen los siguientes temas: o Los componentes del plan de continuidad, o Porqu es importante el plan de continuidad, o Lderes y coordinadores, o Dnde el plan de continuidad puede tener lugar, o Presentacin del plan de pruebas, o Cmo el plan es activado. En lo referente al tipo de audiencias son: Gerencial, Miembros del equipo de planificacin y empleados. En temas de concientizacin, se podran utilizar videos, noticias, pster, Memo de la administracin, artculos promocionales. Etc. En cuanto a temas de concientizacin es importante revisar desastres recientes y lecciones aprendidas, por medio de forum de discusin, artculos en la intranet, etc.
Pgina 112
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 4.2 Desarrollar e implementar varios tipos de programas de entrenamiento.
A4.1. Definir objetivos de entrenamiento.
A4.2. Desarrollare implementarvarios tiposdeprogramas deentrenamiento.

A4.3. Identificarotras oportunidadesde educacin. A4.4. Descripcinde laspruebas. A4.5. Planificarlos escenarios depruebay superiodicidad. A4.6. Ejercitacinde laspruebas.
Definidos los objetivos de entrenamiento, se desarrollan los programas de capacitacin en todos los niveles de la organizacin en lo referente a los planes de continuidad de los procesos del negocio y servicios de TIC, incluyendo las definiciones de los trminos usados, los objetivos del plan, los supuestos y limitaciones, el anlisis de riesgos y su impacto al negocio realizado y los escenarios contemplados, as como las estrategias y procedimientos definidos, asignando a cada uno de los participantes su rol dentro de dichos planes.
El cuadro 4.31, define el plan de capacitacin permanente al personal involucrado en los esfuerzos para asegurar la continuidad de TICs. Los procesos de capacitacin debern ejecutarse al menos una vez al ao, o cuando un cambio en el negocio as lo fuerce:
Cuadro 4.31 Plan de adiestramiento, pruebas y ejercitacin del plan de continuidad.
Concepto rea Funcional Actividad 1
Componentes del plan de continuidad Importancia del plan de continuidad Anlisis de riesgos y su impacto al negocio Equipos de planificacin Lderes y coordinadores Escenarios para el plan de continuidad Plan de pruebas y ejercitacin Activacin del plan Supuestos y limitaciones Rol dentro del plan de continuidad Componentes del plan de continuidad Importancia del plan de continuidad Lderes y coordinadores Escenarios para el plan de continuidad Plan de pruebas y ejercitacin Activacin del plan Rol dentro del plan de continuidad Definicin de trminos Objetivos del plan Importancia del plan de continuidad Escenarios para el plan de continuidad Pruebas y ejercitacin Activacin del plan Lderes y coordinadores Rol dentro del plan de continuidad
Duracin Meses 5 6 7 8 9
10 11 12
Gerencial
Desarrollo del Plan de Adiestramiento,
Miembros del equipo de planificacin
Empleados
Pruebas y ejercitacin Mantenimiento
Gerencia Pruebas y ejercitacin del plan de continuidad Correspondiente Gerencia de Sistemas Mantenimiento del plan de continuidad
Con lo anterior, se pretende controlar el entrenamiento continuo de personas que son identificadas en este procedimiento como miembros potenciales del Equipo de atencin a incidentes.
Pgina 113
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 4.3 Identificar otras oportunidades de educacin.
A4.1. Definir objetivos de entrenamiento. A4.2. Desarrollare implementarvarios tipos de programas de entrenamiento.
A4.3. Identificar otrasoportunidades deeducacin.

A4.4. Descripcinde laspruebas. A4.5. Planificarlos escenarios depruebay superiodicidad. A4.6. Ejercitacinde laspruebas.
Los gerentes y el personal de Recursos Humanos deben permanecer alerta a los tipos de capacitacin que se requieren, cundo se necesitan, quin lo precisa y qu mtodos son mejores para dar a los empleados el conocimiento, habilidades y capacidades necesarias. Para asegurar que la capacitacin sea oportuna y est enfocada en los aspectos prioritarios los gerentes deben abordar la evaluacin de necesidades en forma sistemtica.
El cuadro 4.32, muestra la identificacin de las oportunidades de educacin; sta, no es mucho ms que la clarificacin de las demandas educativas del proyecto, la determinacin de estas necesidades, es una responsabilidad y una funcin de staff correspondiente al administrador de lnea:
Cuadro 4.32 Identificar oportunidades de educacin. Identificar otras oportunidades de educacin:
A. EVALUACIN DE DESEMPEO: Mediante la evaluacin de desempeo es posible descubrir no slo a los empleados que vienen efectuando sus tareas por debajo de un nivel satisfactorio, sino tambin averiguar qu sectores de la empresa reclaman una atencin inmediata de los responsables del entrenamiento. OBSERVACIN: Verificar donde haya evidencia de trabajo ineficiente, como excesivo dao de equipo, atraso con relacin al cronograma, perdida excesiva de materia prima, nmero acentuado de problemas disciplinarios, alto ndice de ausentismo, etc. CUESTIONARIOS: Investigaciones mediante cuestionarios y listas de verificacin (check list) que pongan en evidencia las necesidades de entrenamiento. SOLICITUD DE SUPERVISORES Y GERENTES: Cuando la necesidad de entrenamiento apunta a un nivel muy alto, los propios gerentes y supervisores se hacen propensos a solicitar entrenamiento para su personal. ENTREVISTAS CON SUPERVISORES Y GERENTES: Contactos directos con supervisores y gerentes, con respecto a posibles problemas solucionables mediante entrenamiento, por lo general se descubren en las entrevistas con los responsables de diversos sectores. REUNIONES NTER DEPARTAMENTALES: Discusiones nter departamentales acerca de asuntos concernientes a objetivos empresariales, problemas operacionales, planes para determinados objetivos y otros asuntos administrativos. EXAMEN DE EMPLEADOS: Prueba de conocimiento del trabajo de los empleados que ejecutan determinadas funciones o tareas. MODIFICACIN DE TRABAJO: Siempre que se introduzcan modificaciones totales o parciales de la rutina de trabajo, se hace necesario el entrenamiento previo de los empleados en los nuevos mtodos y procesos de trabajo. ENTREVISTA DE SALIDA: Cuando el empleado va a retirarse de la empresa es el momento ms apropiado para conocer no solo su opinin sincera acerca de la empresa, sino tambin las razones que motivaron su salida. Es posible que salgan a relucir varias diferencias de la organizacin, susceptibles de correcciones. ANLISIS DE CARGOS: El conocimiento y la definicin de lo que se quiere en cuanto a aptitudes, conocimientos y capacidad, hace que se puedan preparar programas adecuados de capacitacin para desarrollar la capacidad y proveer conocimientos especficos segn las tareas, adems de formular planes de capacitacin concretos y econmicos y de adaptar mtodos didcticos.
B.
C.
D.
E.
F.
G.
H.
I.
J.
Pgina 114
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 4.4 Descripcin de las pruebas.
A4.1. Definir objetivos de entrenamiento. A4.2. Desarrollare implementarvarios tipos de programas de entrenamiento. A4.3. Identificarotras oportunidadesde educacin.
A4.4. Descripcin delas pruebas.

A4.5. Planificarlos escenarios depruebay superiodicidad. A4.6. Ejercitacinde laspruebas.
Esta etapa se orienta a probar con antelacin y coordinar ejercicios, documentando y evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una adecuada recuperacin de las operaciones de TI, de acuerdo con la direccin estratgica del negocio, y de sta manera iniciar con la planificacin de los escenarios de prueba y su periodicidad.
El siguiente cuadro, detalla el contenido del documento para la descripcin de las pruebas aplicadas a cada uno de los escenarios de falla, y lograr los objetivos de sta fase: Establecer y ejercitar el Plan, Determinar los requerimientos de ejercitacin, Desarrollar escenarios realistas para las pruebas, Preparar reportes y procedimientos de control de los ejercicios, Ejecutar ejercicios, Obtener retroalimentacin de los resultados de las pruebas e implementar las mejoras requeridas:
Cuadro 4.33 Descripcin de las pruebas. Descripcin de las pruebas
Tipo de prueba: Fecha\hora de inicio: Equipo: Objetivos: Probar y ejercitar el Plan de Continuidad y Recuperacin ante Desastres, ante un escenario de falla tecnolgica, para determinar la eficacia de los procedimientos correspondientes. Riesgo Tecnolgico 18-08-10; 17:00 Administrador de la emergencia Sitio de ejecucin: Fecha\hora de fin: Involucrados: CPD Local 18-08-10; 18:43 Lder y equipo
Criterios de medicin: Criterio Tiempo de atencin Tiempo de respuesta Volumen de transacciones Tiempo de espera reas a ser probadas: rea\aplicativo Produccin Distribucin Finanzas Prueba\transaccin Equipo servidor fuera de lnea Equipo servidor fuera de lnea Equipo servidor fuera de lnea Resultado esperado ERP y BD en lnea ERP y BD en lnea ERP y BD en lnea Resultado obtenido ERP y BD en lnea y lento ERP y BD en lnea y lento ERP y BD en lnea y lento 45 minutos 2 minutos 1.2 miles 3 minutos Medio de validacin Resultado BD y ERP en lnea Equipo secundario en lnea Sin prdida de informacin Inicio de secuencia de cambio
Escenario: Falla del hardware del equipo servidor principal.
Resultado: Servidor secundario en lnea
Recomendaciones: Afinacin del Sistema Operativo y Software de Administracin del arreglo de discos, para que la transicin de equipos sea ms rpida.
Pgina 115
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 4.5 Planificar los escenarios de prueba y su periodicidad.
A4.1. Definir objetivos de entrenamiento. A4.2. Desarrollare implementarvarios tipos de programas de entrenamiento. A4.3. Identificarotras oportunidadesde educacin. A4.4. Descripcinde laspruebas.
A4.5. Planificarlos escenariosde pruebay su periodicidad.

A4.6. Ejercitacinde laspruebas.
Incluir un grupo de administracin, logstica, recursos, listas de verificacin, y estructura, especificando las estrategias que se probarn. Posterior a la planificacin del ejercicio se harn las consideraciones del programa, se documentar el ejercicio junto con la informacin de los participantes, asegurando la vigencia de las pruebas, indicando su periodicidad y sus responsables; para su posterior ejercitacin.
En sta actividad, se toman los escenarios de falla propuestos en el cuadro 4.27 (Respuesta a emergencias y restauracin) de la Actividad 3.6; y se considera, adems, algunas de las recomendaciones a seguir en la planificacin de los escenarios, ver cuadro 4.34:
Cuadro 4.34 Recomendaciones para la planificacin de los escenarios de prueba y su periodicidad. Recomendaciones para planificar los escenarios de prueba
1. Utilizar el documento del cuadro 4.33, para el planeamiento de los ejercicios a realizar. Este documento incorpora elementos que con su definicin, establecen un escenario claro y preciso para la realizacin de cada ejercicio. Los escenarios sobre los cuales se puede desarrollar un ejercicio pueden ser mltiples, desde problemas bsicos, como un respaldo de datos o un componente de un equipo de cmputo, hasta un evento de desastre que afecte la totalidad de las instalaciones de TICs. El escenario bajo el cual se har el ejercicio debe ser definido con anterioridad. El plan est preparado para reaccionar y dirigir las acciones de recuperacin en cualquiera de los casos descritos. Garantizar la adecuada capacitacin del personal en el entendimiento de la documentacin del Plan de Continuidad, y de todo documento que est relacionado con el tipo de ejercicio y el alcance del mismo. Documentar los procedimientos que se seguirn para la planeacin del escenario, para lo cual se considera al menos lo siguiente: A. B. C. D. E. F. 4. El detalle inicial del tipo de ejercicio que se desea realizar. El objetivo que se busca con el desarrollo del ejercicio. Los procedimientos de recuperacin que sern probados. El responsable del ejercicio. La planeacin y la calendarizacin del ejercicio, donde se indique qu da y hora se realizar el ejercicio. Las mtricas de evaluacin de los resultados.
2.
3.
Luego de la finalizacin del ejercicio, se debern obtener las conclusiones al respecto de: A. B. C. D. E. F. Informacin que debiera ser corregida en el Plan de Continuidad por deficiencias o errores encontrados durante el ejercicio; Informacin que debiera ampliarse para mejorar su claridad en el Plan al momento de ser utilizada; Informacin sobre elementos de riesgo que fueron identificados durante el ejercicio, como puede ser personal no encontrado, documentacin no identificada, etc.; Obtener conclusiones sobre si la documentacin de los procedimientos definidos es prctica, o bien, si los procedimientos pueden afinarse para obtener mejores resultados considerando variables como tiempo, costo y esfuerzo. La documentacin y revisin de todos los resultados generados durante el ejercicio, si es trascendental para el proceso de mejora continua. Periodicidad de los ejercicios, stos deben ser realizados al menos una vez al ao como se muestra en el cuadro 4.27 (Plan de adiestramiento, pruebas y ejercitacin del plan de continuidad), o en su defecto, de los cambios en el ambiente en las operaciones. No obstante, dependiendo del riesgo, es conveniente elaborar un calendario de ejercicios ms frecuente y riguroso. Es conveniente tener en cuenta que los resultados de los ejercicios deben ser formalmente reportados.
Pgina 116
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 4.6 Ejercitacin de las pruebas.
A4.1. Definir objetivos de entrenamiento. A4.2. Desarrollare implementarvarios tipos de programas de entrenamiento. A4.3. Identificarotras oportunidadesde educacin. A4.4. Descripcinde laspruebas. A4.5. Planificarlos escenarios depruebay superiodicidad.
A4.6. Ejercitacin delas pruebas.
Descrito y planificado el escenario de prueba, se debe realizar una bitcora de ejecucin con los resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecucin, resultado y responsables, para su posterior anlisis y evaluacin con el objetivo de tenerlos en cuenta en pruebas posteriores junto con sus recomendaciones.
El propsito de ejercitar el Plan, es asegurar la viabilidad y actualizacin del mismo. Un Plan que es ejercitado regularmente permite identificar aspectos no cubiertos inicialmente, o bien, debilidades en el proceso de mantenimiento del mismo. Adicionalmente, todo ejercicio debe ser considerado como una oportunidad para entrenar al personal, tanto en la forma de actuar ante la situacin de emergencia como en los procedimientos de recuperacin establecidos. A partir de los ejercicios se deber documentar los resultados de los mismos y desarrollar procedimientos para la actualizacin inmediata de toda la documentacin que se vea afectada. El cuadro 4.35, muestra el documento de control de pruebas, que cumple con lo anteriormente expresado:
Cuadro 4.35 Control de pruebas y aprobacin del documento. Control de pruebas
Responsable: Fecha de aprobacin: Firma: Objetivos: Ordenar y controlar las pruebas efectuadas en los diferentes escenarios de falla, para la administracin eficiente de las mismas. Equipo administrador emergencia 30-09-10 de
Control de pruebas: Responsable Eq. Administrador de emergencia Eq. Administrador de emergencia Eq. Administrador de emergencia Eq. Administrador de emergencia Eq. Administrador de emergencia Resultado Interrupcin elctrica: satisfactorio Falla de hardware: satisfactorio Falla de software: con observaciones Falla de respaldos: satisfactoria Falla telecomunicaciones: con observaciones 23-08-10 24-08-10 25-08-10 26-08-10 29-08-10 Fecha
Escenario: Interrupcin importante de la produccin
Recomendaciones: Afinacin de los componentes de software para una mayor efectividad de los procedimientos de emergencia.
Pgina 117
A continuacin, se describen las actividades administrativas requeridas para elaborar, coordinar y supervisar los ejercicios del plan. De manera que estas actividades provean oportunidades de mejora para el Plan y al mismo tiempo que se vaya incrementando en el personal involucrado, la experiencia en responder a una contingencia:
Cuadro 4.36 Gua para el desarrollo del ejercicio del plan de continuidad. Gua para el desarrollo del ejercicio del plan de continuidad
1. Establecer los objetivos del ejercicio a realizar. Incluyendo, al menos, lo siguiente: Pueden ser medidos? Cmo pueden ser evaluados? Establecer el alcance del ejercicio: Cules reas sern incluidas? Cules procedimientos, listas de chequeo y responsabilidades sern probadas? Cules excepciones, si hay, deben ser consideradas? Desarrollar el escenario del ejercicio. En caso necesario, estimar el tiempo total del ejercicio en el sitio alterno. Considerar el tiempo de desplazamiento del personal. Revisar la configuracin del hardware en el sitio alterno para verificar compatibilidad. Verificar el inventario de los archivos de respaldo mantenidos en el sitio de almacenamiento, y el control que se tiene del mismo, con el objetivo de verificar los procedimientos de actualizacin de respaldos. Seleccionar al personal que participar en el ejercicio e infrmelo. Familiarizar al personal con la logstica del sitio-alterno. Obtener permiso del proveedor del software para usar los productos con licencia en el sitio alterno, tanto en los ensayos como durante un posible desastre. Obtener y transportar los respaldos, formularios, suministros y documentacin requerida para el ejercicio. Realizar los arreglos de transporte, hospedaje y comidas para el equipo del ejercicio, si es necesario. Ejecutar el ejercicio. Comparar los resultados del ejercicio con los resultados esperados y escribir un informe. Corregir los errores detectados y actualizar el documento del plan.
2.
3. 4. 5. 6.
7. 8. 9.
10. 11. 12. 13. 14.
Esta actividad se orienta a probar con antelacin y coordinar ejercicios, documentando y evaluando los resultados de ellos. Se desarrollan procesos para mantener vigentes las capacidades para lograr una adecuada recuperacin de las operaciones de TI, en acuerdo con la direccin estratgica del negocio.
Pgina 118

Fase2.
Fase V.- Auditora, Mantenimiento y Actualizacin.
BCP
DRP
En esta fase se revisan los estndares de Continuidad del Negocio y Recuperacin ante Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estndares predefinidos, desarrollando una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros.
Actividad 5.1 Auditoria al Plan de Continuidad.
A5.1. Auditora.
A5.2. Polticasde mantenimiento. A5.3. Mecanismode almacenamiento. A5.4. Mecanismode actualizacin. A5.5. Mecanismode distribucin.
Revisar los estndares de Continuidad del Negocio y Recuperacin ante Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los estndares predefinidos, documentado el proceso para realizar un plan de accin y un programa de monitoreo.
La metodologa a seguir por parte del auditor es la descripcin secuencial del trabajo que realizar. Considerando las mejores prcticas para realizar auditora de sistemas de informacin (ISACA, COBIT, ISO 17799, ITIL y MOF), en el cuadro 4.37, se presenta de forma secuencial la forma de realizar un trabajo de auditora de sistemas, dividido en tres fases que son: planeacin, ejecucin y dictamen:
Cuadro 4.37 Metodologa para realizar una auditora de Sistemas de Informacin (inicio). Metodologa para realizar una auditora de Sistemas de Informacin.
PRIMERA FASE, PLANEACIN DE UNA AUDITORA DE SISTEMAS DE INFORMACIN: Identificacin del trabajo a realizar. Investigacin preliminar. Determinacin de los alcances y objetivos. Elaboracin y planteamiento del programa de trabajo. Medios para la recopilacin de informacin. o Entrevista, cuestionario, encuesta y observacin. Tcnicas tradicionales para realizar Auditora de Sistemas de Informacin. o Examen, inspeccin, confirmacin, comparacin, revisin documental, lista de chequeo, matriz de evaluacin. Tcnicas asistidas por computadora (TAACs). Software para realizar auditora de sistemas de informacin. o Audit command lenguaje (por sus siglas en ingles ACL), Interactive data extraction and analysis (por sus siglas en ingls, IDEA). Software para apoyo en la realizacin de Auditora de Sistemas de Informacin.
Pgina 119
Cuadro 4.37 Metodologa para realizar una auditora de Sistemas de Informacin (Final). Metodologa para realizar una auditora de Sistemas de Informacin.
SEGUNDA FASE, EJECUCIN DE LA AUDITORA DE SISTEMAS DE INFORMACIN: Evaluacin de la administracin del departamento de Informtica. o Forma de organizacin del departamento, Plan estratgico, Objetivos a corto y largo plazo, Funciones y servicios prestados, Antecedentes, Polticas, Planes de carrera, Planes de capacitacin, Formas de medicin del desempeo y cumplimiento de metas, Presupuestos y costos del rea. Evaluacin de los sistemas. Evaluacin de los equipos. Evaluacin del recurso humano. Evaluacin de procesos. Evaluacin del control interno. o Control sobre la organizacin del departamento de Informtica, Control sobre el anlisis, desarrollo e implementacin de sistemas, Control para el ingreso, procesamiento, egreso y back-up de informacin, Control sobre la seguridad de los equipos, sistemas y el personal. Evaluacin de los manuales de puestos del departamento de Informtica. Evaluacin de la seguridad. o Seguridad lgica, Seguridad fsica del personal y equipos. Seguimiento a los proyectos informticos. o Plan maestro del proyecto, Lder de proyecto, Determinacin de los recursos a utilizar, Cronograma de trabajo, Participacin del departamento usuario en el desarrollo de proyectos, Miembros y responsabilidades del equipo del proyecto, Plan de pruebas, Aprobacin de las fases del proyecto, Plan de aseguramiento de la calidad de sistemas, Administracin formal de riesgos de proyectos, Plan de entrenamiento, Documentacin del sistema, Plan de revisin Post-implementacin. Proceso de back-up de informacin. Pronstico de carga de trabajo de los equipos y sistemas. Manejo de incidentes operacionales y de usuarios (helpdesk). Plan de contingencia. Revisin de la base de datos. o Diseo, Acceso, Administracin, Interfaces, Portabilidad. Auditora a la red. Cambios a programas. Pista de Auditora.
TERCERA FASE, INFORME DE LA AUDITORA DE SISTEMAS DE INFORMACIN: Informe. Presentacin del Informe Final. Seguimiento de recomendaciones.
Cuando el auditor tiene claros los objetivos, los mtodos y las tcnicas a utilizar, as como los recursos con que podr contar, deber elaborar un plan de trabajo, en el cual deber integrar los recursos descritos anteriormente. Es importante que para realizar cada actividad se cuente con un programa de trabajo, que en ste se indiquen los objetivos de la revisin a realizar, el alcance, la documentacin a requerir, la forma de revisarla, el personal a contactar y los procedimientos a seguir por parte del Auditor.
Pgina 120
El siguiente cuadro, presenta el programa de auditora interna para realizar la revisin del control interno y operaciones en el Centro de Procesamiento de Datos:
Cuadro 4.38 Programa de auditora para realizar la revisin del control interno y operaciones en el CPD (Inicio). Programa de Auditora Interna
El departamento de Sistemas deber contar con un espacio dentro de sus instalaciones, dedicado al Centro de Procesamiento de Datos que rena las condiciones mnimas de seguridad que protejan los equipos y al personal asignado a ste. 1. OBJETIVO
Verificar el cumplimiento de los controles internos y polticas establecidas, para salvaguardar los equipos asignados al Centro de Procesamiento de Datos. 2. ALCANCE
Los resultados sern referidos al 05 de Agosto de 2010 e incluirn los siguientes procedimientos: 3. Entrevista con personal del departamento de Sistemas. Revisin de la documentacin, para evaluar el cumplimiento de controles internos y polticas establecidas. Revisin de las instalaciones para verificar la adecuada salvaguarda de los activos.
PROCEDIMIENTO
Para la revisin del control interno y operaciones se revisar lo siguiente: CONTROL INTERNO: Revisin de control utilizado para el ingreso y egreso de equipos y personal. Se revisar la actualizacin de los formularios, con la siguiente informacin: Fecha y hora de ingreso y egreso. Nombre de la persona que ingresa y persona que la acompaa. Motivo del Ingreso. Constancia de Autorizacin para el ingreso de personal o egreso de equipos. Claves de acceso Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta electrnica, se deber verificar lo siguiente: Listado de usuarios habilitados para el ingreso al Centro de Procesamiento de Datos. Fecha de habilitacin. Nombre del usuario. Fecha que expira la clave. Fecha de ltimo acceso. Funcionario que autoriz la clave. Estatus de la clave. Verificar que la clave administrador est siendo custodiada en sobre lacrado en bveda de seguridad del banco. Inventario de equipos Se deber solicitar el registro del inventario de equipos, verificando su existencia fsica en el Centro de Procesamiento, as como si se est efectuando la amortizacin del valor de los mismos. Control de egreso de equipos Se deber verificar la existencia de un control para el egreso de equipos, que deber contener como mnimo los siguientes aspectos: Fecha del egreso. Nombre del equipo. Motivo del egreso. Nombre de la persona que recibe el equipo. No. de inventario.
Pgina 121
Cuadro 4.38 Programa de auditora para realizar la revisin del control interno y operaciones en el CPD (Final).
Inventario de cintas de respaldo Para verificar la existencia fsica de las cintas de respaldo de informacin se solicitar el inventario de cintas de respaldo. As mismo se deber verificar la periodicidad con que se realizan los back- up de informacin, as como si se est efectuando las pruebas para comprobar su funcionalidad.
OPERACIONES Y PROCESOS Seguridad para la proteccin de los equipos Para verificar la adecuada proteccin se deber verificar la existencia de los siguientes equipos: Cmara de vigilancia. Verificar el medio de almacenamiento de las cintas. Extintores de incendios. Comprobar que la carga no est vencida. Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo. Dispositivo para evitar inundaciones. Alarmas detectoras de `humo y temperatura. Verificar que se realicen las pruebas peridicamente. Reguladores de voltaje y UPS. Software y hardware para el control de accesos al Centro de Procesamiento de Datos. Contratos de mantenimiento El mantenimiento peridico a los equipos es necesario para mantenerlos en ptimas condiciones, se deber verificar el cumplimiento y actualizacin de estos contratos. As mismo verificar la suficiencia de los mismos. Plizas de seguro Para proteger los equipos, se deben de contratar seguros que cubran el equipo y su instalacin, as mismo se deber verificar la actualizacin de los nuevos equipos y la fecha de vencimiento. Plan de continuidad Un plan de contingencia deber contemplar todo los procesos crticos de la organizacin, para restablecer sus operaciones y deber ser eficaz y eficiente, los aspectos legales, el impacto en el servicio del cliente. Deber verificarse la actualizacin de los procesos, misma que se deber realizar por lo menos una vez al ao, las pruebas para verificar su funcionalidad y la distribucin al personal responsable.
4.
INFORME Elaboracin de informe Se deber preparar el informe de los hallazgos, indicando las recomendaciones que se considere subsanarn las debilidades de control interno. Normativa Circular normativa Control de accesos al Centro de Procesamiento de Informacin. Bibliografa Para apoyar la presente revisin se recomienda la lectura del libro Auditora en Informtica del autor Jos Antonio Echenique Garca. Cronograma Para realizar esta revisin se asignan 5 das para la recoleccin de informacin, entrevistas y elaboracin del informe. La revisin deber iniciarse el 4 de Agosto de 2010 y se deber entregar informe el 31 de Agosto, con el resultado del trabajo realizado. Presentacin de los resultados Se deber presentar los resultados del trabajo realizado al Auditor Interno. Previo a presentar este informe se deber de exponer los resultados al jefe del departamento de Sistemas, indicando las observaciones y recomendaciones que se considere ayudarn a fortalecer el entorno de control interno, as mismo se deber obtener el compromiso para la implementacin de las recomendaciones. Envo de informe Luego de que se presenten los resultados se deber enviar el informe dirigido al Jefe del Departamento de Sistemas. Se deber copiar el informe a los siguientes puestos: Director general y al equipo de Respuesta a Incidentes.
Pgina 122
El cuadro 4.39, muestra y describe las marcas de auditora que se emplearn para el desarrollo de la presente actividad:
Cuadro 4.39 ndice de las marcas de Auditora.
Marca de Auditora Descripcin de la Marca Verificado contra documento original. Revisado. Se observ el cumplimiento del procedimiento. Existe procedimiento formal. Confirmado con el usuario final. Revisado y confirmado con el usuario. Revisado y cuadrado contra informe original. Confirmado con el proveedor del servicio. Se revis la copia fsica de la copia de respaldo. Se revis el funcionamiento del equipo en presencia del encargado.
Conforme al plan de trabajo se procedi a verificar el control utilizado para el ingreso de personal externo a las instalaciones del Centro de Procesamiento de Datos, los resultados se presentan a continuacin:
Cuadro 4.40 Revisin del control utilizado para el ingreso de personal externo al Centro de Procesamiento de Datos.
Fecha Nombre de la persona que ingresa Motivo del ingreso Nombre de la persona que acompaa Hora de ingreso Hora de egreso Marca de auditora
03-08-10 03-08-10 04-08-10 05-08-10 06-08-10 06-08-10 07-08-10 08-08-10 09-08-10 10-08-10
Olga C * Cesar V Cesar V * Olga C * Olga C Martn de la R Cesar V * Olga C Cesar V * Olga C
Colocar Cintas de respaldo Revisin del Firewall Colocar Cintas de respaldo Revisin del correo electrnico Revisin del servidor de nombres Revisar cableado estructurado Colocar Cintas de respaldo Restaurar copia base de datos Revisar acceso a internet Colocar Cintas de respaldo
Olga C
Cesar V Cesar V Cesar V
9:20 15:16 7:20 10:14 10:33 7:56 12:00 11:09 9:01 8:56
9:25 16:20 7:25 10:28 10:48 8:47 12:23 11:14 9:22 9:13
* Personal del departamento de Sistemas que no present autorizacin para el ingreso al Centro de Procesamiento de Datos.
Los resultados obtenidos en la presente revisin se consideran aceptables, sin embargo el personal del departamento de sistemas debe de presentar autorizacin para el ingreso al Centro de Procesamiento de Datos. As mismo es importante que se documenten las soluciones implementadas, para la correccin de los problemas en los equipos, para tener estadsticas sobre la recurrencia de problemas.
Pgina 123
Conforme al plan de trabajo se procedi a verificar las claves de acceso utilizadas por el personal para el ingreso a las instalaciones del Centro de Procesamiento de Datos, los resultados se presentan a continuacin:
Cuadro 4.41 Revisin de las claves utilizadas para el acceso al centro de procesamiento de informacin.
Fecha de habilitacin 03-08-06 17-02-10 09-08-10 22-11-09 Nombre de la persona que tiene la clave Administrador /1 Cesar V Martn de la R Olga C /2 Fecha que expira la clave Indefinida 17-02-11 09-08-11 22-11-10 Fecha de ltimo acceso 17-08-10 17-08-10 19-08-10 29-08-10 Funcionario que autoriz Gerente de Sistemas Gerente de Sistemas Gerente de Sistemas Gerente de Sistemas Estatus de la clave 9:25 16:20 7:25 10:28 Marca de auditora
/1 Se observ que la contrasea del administrador no est siendo custodiado en un sobre lacrado en bveda de seguridad del banco. /2 La clave corresponde a ex-empleado, misma que no se ha dado de baja del sistema.
Se considera importante que la clave de administrador, que es la clave con mayores privilegios, sea custodiada en un sobre lacrado en bveda. As mismo al momento de que un colaborador termine su relacin laboral, deber de darse de baja del sistema, minimizando de esta forma la posibilidad de accesos no autorizados. Conforme al plan de trabajo se procedi a verificar el inventario de equipos ubicados en el Centro de Procesamiento de Datos. Este inventario fue realizado comparando los registros en libros segn la conciliacin de saldos de mobiliario y equipo, los resultados se presentan a continuacin:
Cuadro 4.42 Inventario de Hardware y Software, ubicados en el Centro de Procesamiento de Datos.
Fecha de ingreso 09-02-07 09-02-07 31-01-07 18-02-07 11-11-05 12-09-08 23-10-08 17-03-05 20-01-07 14-12-08 22-03-07 24-07-09 30-06-08 06-04-07 Nombre del equipo Responsable del equipo Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Cesar V Observaciones Marca de auditora
HP Integrity NonStop NS2000 Server HP Integrity NonStop NS1200 Server HP StorageWorks P9000 Disk Arrays HP M8609A LTO Tabletop Tape Drive HP Integrity NonStop NS1200 Server HP ProLiant ML150 serie G6 HP ProLiant ML110 serie G6 /2 Enrutador HP serie A-MSR20 /1 HP UX 11 i V 3 y TapeAssure QAD Progress V 9.2, MFG-PRO e-B HP StorageWorks Cluster y Storage Fedora Core V.7, sendmail Windows 2008 Server Firewall y herramientas anti-virus
No. Inventario CPD-250 No. Inventario CPD-262 No. Inventario CPD-209 No. Inventario CPD-270 No. Inventario CPD-193 No. Inventario CPD-420 No. Inventario CPD-427 No. Inventario CPD-120 No. Inventario CPD-241 No. Inventario CPD-490 No. Inventario CPD-280 No. Inventario CPD-530 No. Inventario CPD-400 No. Inventario CPD-288
/1 Este equipo fue sustituido el 10-05-2009, ya fue dado de baja en libros, sin embargo no se ha trasladado del CPD. /2 Este servidor corresponde a equipo de prueba perteneciente a la empresa HP.
Pgina 124
Conforme al plan de trabajo se procedi a verificar el inventario de cintas de respaldo de informacin ubicadas en las instalaciones del Centro de Procesamiento de Datos. El control de las cintas de respaldo est establecido en circular normativa correspondiente, los resultados se presentan a continuacin:
Cuadro 4.43 Verificacin del inventario de cintas de respaldo (revisin selectiva).
Fecha de proceso de cinta 12-01-09 21-04-08 17-11-07 31-07-06 08-09-05 Informacin almacenada Nombre de la persona que realiz la copia Olga C Olga C Olga C Israel M Israel M Fecha de verificacin de la funcionalidad 13-01-09 22-04-08 18-11-07 3-08-06 10-09-05 Nombre de quien revis la funcionalidad Cesar V Cesar V Cesar V Agustn L Agustn L Marca de auditora
Respaldo fin de mes, ERP, BD y SO. Respaldo semanal BD Tizayuca Respaldo Nmina Confidencial Respaldo fin de mes ERP, BD y SO Respaldo nmina sindicalizados
Se comprob que, no se incluye la periodicidad con la que se deber comprobar la utilidad de las cintas de respaldo.
Conforme al plan de trabajo se procedi a verificar los equipos utilizados para proporcionar la seguridad fsica, a las instalaciones del Centro de Procesamiento de Datos, los resultados se presentan a continuacin:
Cuadro 4.44 Revisin de la seguridad fsica de las instalaciones del Centro de Procesamiento de Datos.
Fecha de revisin por parte del proveedor 13-09-10 13-09-10 23-06-10 02-10-10 16-05-10 09-08-10 24-08-10 31-01-10 09-09-10 Equipo Observaciones Marca de auditora
Cmara de vigilancia Software y hardware de cmara de vigilancia Extintores de Incendios* Aire Acondicionado Dispositivo para evitar inundaciones Alarmas detectoras de humo* Alarmas detectoras de temperatura y humedad Reguladores de voltaje y UPS Software y hardware control ingreso al CPD
Existen 3 cmaras distribuidas de la siguiente manera: al ingreso del CPD, monitoreando al operador de turno y el ingreso a la Cintoteca. Este software tiene almacenado el monitoreo diario, realizado por las cmaras de vigilancia. Se observ la existencia de 4 extintores distribuidos adecuadamente. El aire acondicionado funciona adecuadamente. Los equipos estn instalados a 25 centmetros del suelo y se cuenta con un dispositivo que absorbe a su interior el agua proveniente de inundaciones. Se cuenta con 2 alarmas detectoras de humo distribuidas adecuadamente. Para mantener la temperatura en 17 grados centgrados y prevenir daos ocasionados por humedad se cuenta con 2 alarmas detectoras. Los equipos estn protegidos con un regulador de voltaje as como un UPS capaz de mantener el servicio por 5 horas. Se comprob que para el ingreso al CPD, es necesario utilizar tarjeta y un cdigo personalizado, el registro de estos ingresos es registrado automticamente y se puede consultar de manera cronolgica.
* Segn especificaciones del fabricante la carga de los extintores de incendios y las alarmas detectoras de humo, debern de ser revisados una vez al ao.
Pgina 125
Conforme al plan de trabajo se procedi a verificar los contratos de mantenimiento de equipos, del Centro de Procesamiento de Datos, los resultados se presentan a continuacin:
Cuadro 4.45 Verificacin de los contratos de mantenimiento del Centro de Procesamiento de Datos.
Fecha de vencimiento 31-12-10 20-02-11 15-01-11 20-12-10 31-12-10 31-12-10 10-01-11 Contrato Empresa Observaciones Marca de auditora preventivo y preventivo y preventivo y preventivo y preventivo y preventivo y preventivo y
Mantenimiento a equipo central Mantenimiento a equipo de Telecomunicaciones Mantenimiento a equipo de cmputo Servicio de Telecomunicaciones Mantenimiento ERP y BD Mantenimiento Software de Replicacin ERP, BD y SO. Mantenimiento Sitio alterno
HP Getronics Gpo. Helix Telmex QAD HP, QAD HP
Contrato vigente, cubre adecuadamente el mantenimiento correctivo a los equipos. Las cuotas estn al da. Contrato vigente, cubre adecuadamente el mantenimiento correctivo a los equipos. Las cuotas estn al da. Contrato vigente, cubre adecuadamente el mantenimiento correctivo a los equipos. Las cuotas estn al da. Contrato vigente, cubre adecuadamente el mantenimiento correctivo a los equipos. Las cuotas estn al da. Contrato vigente, cubre adecuadamente el mantenimiento correctivo a los equipos. Las cuotas estn al da. Contrato vigente, cubre adecuadamente el mantenimiento correctivo a los equipos. Las cuotas estn al da. Contrato vigente, cubre adecuadamente el mantenimiento correctivo a los equipos. Las cuotas estn al da.
Se estableci que no existe un procedimiento escrito para la negociacin y control de los contratos de mantenimiento.
Es importante que se lleve un control de los contratos de mantenimiento firmados, la fecha de vencimiento, los derechos y obligaciones adquiridos. Conforme al plan de trabajo se procedi a verificar los contratos de seguros de equipos, del Centro de Procesamiento de Datos, los resultados se presentan a continuacin:
Cuadro 4.46 Verificacin de los contratos de seguros.
Fecha de vencimiento 31-12-10 31-12-10 Seguro Empresa Observaciones Marca de auditora
Responsabilidad civil Equipo de cmputo
* *
GNP HP
Este contrato cubre accidentes en el rea del departamento de Sistemas, a la fecha an no se ha renovado contrato. Este contrato cubre el equipo de cmputo, en caso de incendios, inundaciones y robo. Se observ el pago de las cuotas por el ao 2010.
* Se estableci que no existe un procedimiento escrito para la negociacin y control de los seguros.
Es importante que se lleve un control de los seguros, la fecha de vencimiento, los derechos y obligaciones adquiridos.
Pgina 126
Conforme al plan de trabajo se procedi a verificar el plan de continuidad del negocio, los resultados se presentan a continuacin:
Cuadro 4.47 Verificacin del plan de continuidad del negocio.
No. Proceso Observaciones Marca de auditora
1 2 3 4
7 8 9
Copia del vigente plan de continuidad del negocio. Muestra de copias distribuidas del Plan. Inventario de actividades y procesos crticos. Listado de Proveedores y Clientes a informar con relacin a la contingencia. Determinacin de prioridades en cuanto a la restauracin de operaciones. Sitio alterno para el procesamiento de informacin Personal encargado de ejecutar el Plan Conocimientos del personal del Plan Actualizacin del Plan
La copia obtenida fue actualizada el 20-07-2010 Se obtuvieron 2 copias que fueron distribuidas al personal involucrado en el Plan y se observ que no fueron copiadas del original actualizado el 20-07-2010. Se determin que se identificaron los procesos crticos y fueron incluidos en matriz diseada para el efecto, misma que est adjunta al Plan Actualizado
Se observ que se ordenaron las actividades y se asign prioridad
Existe sitio alterno, por una interface se realiza automticamente la rplica de todas las operaciones del sistema principal. Segn listado, se constataron los nmeros telefnicos del personal encargado de ejecutar el Plan. Selectivamente se seleccion al personal observando que cuentan con conocimientos suficientes para ejecutar el Plan En la revisin del Plan se comprob que debe de ser actualizado por lo menos dos veces al ao y deber consignarse las fechas de actualizacin, se observaron estas actualizaciones los ltimos dos aos. Para verificar la funcionalidad del Plan est establecido que se realice una prueba al ao, anotando la fecha y resultados de sta. En la presente revisin se observ que el ao 2007 no se realiz esta actividad.
10
Pruebas al Plan
Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se actualice el plan, debern de distribuirse las copias al personal involucrado.
Conclusin y Recomendacin de la Auditora de los Sistemas de Informacin: Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se actualice el plan, debern de distribuirse las copias al personal involucrado. As mismo deber de realizarse pruebas para verificar la oportunidad de los procesos contenidos en este plan y documentar los resultados.
Pgina 127
Para representar el nivel de riesgo de cada aspecto evaluado en la presente auditora y el impacto en las operaciones, a continuacin se presenta una matriz de impacto en la cual se utilizaron colores para representar niveles de riesgo de la siguiente forma: verde (sin riesgo), amarillo (riesgo medio) y rojo (alto riesgo):
Cuadro 4.48 Verificacin del plan de continuidad del negocio.
rea de Control Controles Activos de informacin Amarillo Amarillo Amarillo Amarillo Verde Dependencia de activos Verde Amarillo Amarillo Rojo Rojo Dependencia de personal interno Amarillo Verde Verde Verde Verde Fiabilidad de sistemas Verde Amarillo Verde Verde Amarillo
Continuidad y recuperacin ante desastres
Control de acceso fsico Back-up de informacin Inventario de equipos Contratos de mantenimiento y seguros Plan de continuidad del negocio
Resultado de la evaluacin:
Riesgo medio
Riesgo alto
Riesgo leve
Riesgo medio
La combinacin de un riesgo alto con un riesgo medio incrementa la posibilidad de la materializacin de una contingencia de importancia. Derivado de esta premisa se considera la siguiente categorizacin de riesgo: Categorizacin de Riesgo: 1. Aspecto calificado con color amarillo y ningn aspecto ponderado en color rojo = riesgo leve. 2. Aspectos calificados con color amarillo y ningn aspecto ponderado en color rojo = riesgo medio. 3. Aspectos calificados con color amarillo y un aspecto ponderado en color rojo = riesgo alto. Conclusin de la verificacin del Plan de Continuidad: Los resultados obtenidos indican que el riego de continuidad del negocio, est siendo afectado por la falta de pruebas al plan de continuidad y la falta de renovacin al contrato de mantenimiento del aire acondicionado y al seguro de responsabilidad civil.
Pgina 128
CONCLUSIONES DE LA AUDITORIA DEL PLAN DE CONTINUIDAD: Derivado de la revisin de los procedimientos y normativa interna y tomando en consideracin la matriz de impacto de riesgos detectados, se obtuvieron las siguientes conclusiones: 1. Riesgo leve Se observaron dos equipos obsoletos ubicados en el Centro de Procesamiento de Datos, que ocupan espacio fsico. No se cuenta con un control de las reparaciones efectuadas a equipos, as como de la fecha en que fueron devueltos al Centro de Procesamiento de Datos. 2. Riesgo medio Se establecieron accesos no autorizados de analistas programadores de los sistemas de informacin al Centro de Procesamiento de Datos, por incumplimiento de normativa interna. Se observ una clave de acceso al Centro de Procesamiento de Datos habilitada perteneciente a ex empleado. Se determin falta de custodia de clave Administrador de software de control de acceso al Centro de Procesamiento de Datos. Se comprob falta de pruebas para verificar la funcionalidad de las cintas de respaldo de informacin. 3. Riesgo alto Se observ que el contrato se mantenimiento del aire acondicionado y el de seguro de responsabilidad civil estn vencidos, por ausencia de un control en la fecha de vencimiento. Se determin que las copias del Plan de Continuidad del Negocio, vigentes no fueron distribuidas al personal responsable de implementarlo as como ausencia de pruebas para verificar la funcionalidad del Plan.
Pgina 129
RECOMENDACIONES DE LA AUDITORIA DEL PLAN DE CONTINUIDAD: 1. Es conveniente realizar inventarios peridicos a efecto de verificar la existencia fsica de los equipos en el Centro de Procesamiento de Datos. As mismo trasladar los equipos que no figuran en libros de la Empresa, a donde corresponda. 2. Se sugiere implementar un control para dejar constancia de la fecha de ingreso de los equipos en caso de reparaciones, as como el diagnstico por el cual se origin el egreso del Centro de Procesamiento de Datos. 3. Se recomienda fortalecer los controles a efecto de cumplir lo establecido en la normativa interna, referente a los ingresos de personal externo, depuracin de claves de acceso de ex colaboradores y custodia de clave Administrador del Software para el control de acceso al Centro de Procesamiento de Datos. 4. Se recomienda establecer por escrito la periodicidad con la que se debern realizar las pruebas a las cintas de respaldo de informacin, para verificar su funcionalidad. 5. Es oportuno contar con un control de la fecha de vencimiento de los contratos de mantenimiento, las cuotas y los derechos y obligaciones contrados. 6. Se considera necesario que al realizar la actualizacin del Plan de Continuidad del Negocio, se asegure distribuir las copias del Plan actualizado al personal involucrado, as como dejar por escrito la periodicidad de las pruebas a este Plan y documentar los resultados para analizar los resultados y medir la funcionalidad de ste.
El propsito de auditar el Plan, es asegurar la viabilidad y actualizacin del mismo. Un Plan que es auditado regularmente permite identificar aspectos no cubiertos inicialmente, o bien, debilidades en el proceso de mantenimiento del mismo. Adicionalmente, el ejercicio derivado de la auditoria debe ser considerado como una oportunidad para entrenar al personal, tanto en la forma de actuar ante la situacin de emergencia como en los procedimientos de recuperacin establecidos. El resultado de la auditora es, adems de la ejercitacin, materia prima para el mantenimiento del Plan de continuidad, como se presenta a continuacin.
Pgina 130

Actividad 5.2 Mantenimiento al Plan de Continuidad.
A5.1. Auditora.
A5.2. Polticasde mantenimiento.

A5.3. Mecanismode almacenamiento. A5.4. Mecanismode actualizacin. A5.5. Mecanismode distribucin.
Las modificaciones al Plan de Continuidad, se basan principalmente en las observaciones efectuadas por la Auditora, por lo que se debe hacer una lista de medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros. Cada vez que se modifique el plan, se deber llevar una bitcora en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento cambiado, la descripcin de la modificacin, quin la hizo y si ya se distribuy o no.
Planear el procedimiento de mejora continua (actualizacin y capacitacin regular en el tema) a todo el personal involucrado, incluyendo el mantenimiento y revisin del plan al menos una vez cada seis meses. Para la comunicacin de las modificaciones al plan se utiliza el formulario del cuadro 4.49, adicionalmente, es conveniente que se entregue el documento en forma electrnica para facilitar su incorporacin al Plan:
Cuadro 4.49 Formulario de mantenimiento al Plan de Continuidad. Mantenimiento al Plan de Continuidad
Equipo: Lder del equipo: Fecha\hora: Justificacin: Establecer por escrito la periodicidad con la que se debern realizar las pruebas a las cintas de respaldo de informacin, para verificar su funcionalidad. Administrador de emergencia Gerencia de Sistemas 13-08-10; 15:17 hrs
Control de modificaciones: Elemento a cambiar Descripcin de la modificacin Distribuida (S\No): S Modificacin solicitada por: Auditora
Respaldo de informacin
Periodicidad de las pruebas a los respaldos en cinta magntica
Observaciones: Solicitud de modificacin, a partir de las recomendaciones de la auditora efectuada al Plan de Continuidad.
Los dueos de procesos o de la plataforma de TI son los responsables por reportar al coordinador del plan de continuidad, los cambios que se den en el ambiente. Esto con el fin de que el administrador coordine los esfuerzos de mantenimiento correspondientes.
Pgina 131
FaseI.
FaseII.
FaseIII.
FaseIV.
FaseV.
Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad.
A5.1. Auditora. A5.2. Polticas de mantenimiento.
A5.3. Mecanismo dealmacenamiento.

A5.4. Mecanismode actualizacin. A5.5. Mecanismode distribucin.
Una vez terminado el plan de continuidad, ste se deber almacenar en diferentes medios y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnticos no estn disponibles en el momento de un incidente. Dichas copias se deben almacenar tambin en los centros alternos.
Para el control del almacenamiento y asignacin de las copias del plan, se utiliza el formulario del cuadro 4.50, adicionalmente, es conveniente que se entregue el documento en forma electrnica para facilitar su incorporacin al Plan:
Cuadro 4.50 Formulario de almacenamiento del Plan de Continuidad. Almacenamiento del Plan de Continuidad
Realiz: Autoriz: Fecha\hora: Justificacin: Establecer por escrito los medios de almacenamiento del Plan de Continuidad para asegurar su disponibilidad ante cualquier contingencia. Eq. Respuesta a incidentes Direccin General 09-09-10; 11:06 hrs
Control del almacenamiento: Medio Ubicacin Fecha de almacenamiento 12-08-10 07-08-10 14-08-10 03-08-10 05-08-10 Fecha de actualizacin 01-08-10 01-08-10 01-08-10 30-07-10 28-07-10 Fecha de distribucin 11-08-10 06-08-10 13-08-10 02-08-10 04-08-10
Impreso Impreso Impreso Magntico (CD) Web Observaciones:
CPD Local, Alterno y Externo Gerencia General, Direccin de Administracin y Compras Gerencias de orden medio Todas las anteriores ubicaciones Servidor web del proveedor de servicios CPD externo
Las ubicaciones en detalle se encuentran a la mano para todo el personal.
Se debe verificar el inventario de los archivos de respaldo mantenidos en el sitio de almacenamiento con el control que se tiene del mismo, con el objetivo de verificar los procedimientos de actualizacin de respaldos.
Pgina 132

Actividad 5.4 Mecanismo de actualizacin del Plan de Continuidad.
A5.1. Auditora. A5.2. Polticas de mantenimiento. A5.3. Mecanismode almacenamiento.
A5.4. Mecanismo deactualizacin.

A5.5. Mecanismode distribucin.
Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran importancia verificar que todas las copias contengan la misma informacin.
El coordinador del plan de continuidad es el responsable por mantener una vigilancia constante sobre el negocio y sobre TI, para identificar eventuales cambios que fuercen a un proceso de actualizacin de los planes de continuidad y recuperacin. Es necesario hacer cambios en el mecanismo de almacenamiento, cuando surja una actualizacin derivada de un cambio en el ambiente organizacional, auditora o ejercitacin del plan. El siguiente cuadro, muestra el historial de revisiones del Plan de Continuidad:
Cuadro 4.51 Historial de revisiones del Plan de Continuidad. Historial de Revisiones Fecha
Mayo 2009 Septiembre 2009 Abril 2010 Octubre 2010
Versin
0.1 0.2 0.3 1.0
Descripcin
Versin inicial Actualizacin del documento Revisin del documento Aprobacin del documento Sesin No. 20 del 10 de Octubre
Autor
Gerencia de Sistemas KPMG Gerencia General Direccin General
Noviembre 2010
1.0
Actualizacin del documento Registro aprobacin
Pricewaterhose
Por las consideraciones de las guas incluidas, peridicamente se revisarn para actualizar, eliminar o agregar nuevas disposiciones o normas, acorde a la evolucin de las Tecnologas de la Informacin y Telecomunicaciones en la Institucin. En cualquiera de los casos, los planes sern entregados al lder del equipo de respuesta a incidentes, y l ser responsable de darlos a conocer al resto del personal involucrado en los equipos de recuperacin. Todo cambio en los procedimientos como consecuencia de la modificacin de la forma de trabajo, recursos involucrados (tcnicos y humanos), etc. deber ser comunicado oportunamente al Coordinador del Plan de Continuidad, para proceder con la actualizacin y distribucin del plan.
Pgina 133

Actividad 5.5 Mecanismo de distribucin del Plan de Continuidad.
A5.1. Auditora. A5.2. Polticas de mantenimiento. A5.3. Mecanismode almacenamiento. A5.4. Mecanismode actualizacin.
A5.5. Mecanismo dedistribucin.
Cada vez que se modifique o actualice el plan, se debern distribuir y divulgar las nuevas actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, stas se tendrn que realizar con la mayor brevedad posible.
Documentar a qu personas o reas deber hacer llegar copia de este documento y a travs de qu medio se le har llegar; el cuadro 4.59, muestra los mecanismos de distribucin del Plan de Continuidad:
Cuadro 4.52 Mecanismo de Distribucin del Plan de Continuidad. Distribucin del Plan de Continuidad
Al menos dos copias completas del Plan de Continuidad deben ser mantenidas fuera sitio (por ejemplo donde se almacenan respaldos fuera de sitio). DIRECTRIZ DE DISTRIBUCIN DEL PLAN. El Plan de Continuidad debe ser distribuido a todo el personal autorizado, ya que slo el personal activo puede tener acceso al plan. Si un individuo deja de laborar para el negocio o para una de sus unidades especficas, es su responsabilidad regresar las copias y todos los duplicados o partes duplicadas de este plan a su superior respectivo. A nadie fuera de la organizacin le ser permitido leer, revisar, copiar o auditar el Plan sin la autorizacin formal y escrita por parte del Coordinador del Plan de Continuidad. DISTRIBUCIN DE LOS DOCUMENTOS Debido a la confidencialidad de este documento nicamente el Coordinador del Plan mantendr una copia completa del mismo. Subconjuntos del Plan sern distribuidos tomando como base la premisa need-to-know y de la manera siguiente: Adicionalmente, es necesario desarrollar el mecanismo de control para asegurar que todas las copias de las hojas que han sido modificadas sean colocadas fuera de circulacin. Para controlar la actualizacin de los documentos se recomienda: Enviar secciones completas para reemplazar aquellas con cambios, en lugar de enviar slo las hojas que han cambiado. Asegurar que los lderes provean algn tipo de recibo para verificar que recibieron las nuevas versiones del plan. El regresar las hojas reemplazadas podra ser considerado como un recibo. Mantener el control de los planes de recuperacin para propsitos de seguridad.
Con lo anterior, se verifica la actualizacin de los procesos, por lo menos una vez al ao, las pruebas para auditar su funcionalidad y la distribucin al personal responsable. Este Plan de Continuidad contempla todos los procesos crticos de la organizacin, para restablecer sus operaciones eficaz y eficientemente, considerando los aspectos legales y el impacto en el servicio del cliente.
Pgina 134
Captulo 5
Resultados Obtenidos, Valoracin de Objetivos, Trabajos Futuros y Conclusiones del Proyecto de Tesis.
Captulo 5 Valoracin de objetivos, trabajos futuros y conclusiones del Proyecto de Tesis.
CAPTULO 5. -
RESULTADOS OBTENIDOS, VALORACIN DE OBJETIVOS, TRABAJOS FUTUROS Y CONCLUSIONES DEL PROYECTO DE TESIS. En el captulo anterior, se aplic la metodologa propuesta, en una empresa de manufactura de empaques de cartn, por lo que se conoci con detalle la organizacin a proteger, se identificaron los riesgos, se evaluaron y posteriormente se aplicaron medidas para mitigarlos. Para ello, se identificaron los activos de la empresa; as como, las debilidades que padecen, se estimaron probabilidades de ocurrencia y se asign una importancia para la misin de la empresa. En el presente captulo, se efectuar la valoracin de objetivos, trabajos futuros y conclusiones del proyecto de tesis. 5.1 Resultados Obtenidos. A continuacin, se efecta una valoracin de los resultados obtenidos al implantar la metodologa propuesta, para la creacin de un Plan de Continuidad y recuperacin ante Desastres en los Sistemas de Tecnologas de Informacin y Telecomunicaciones en la Industria de la Manufactura: Protege al personal y los activos corporativos. Asegura la continuidad de las operaciones. Garantiza la reanudacin de los procesos crticos dentro de los mrgenes de tiempo tolerables. Minimiza el proceso de toma de decisiones durante una contingencia. Reduce los efectos negativos ocasionados por el caos. Mantiene el servicio al cliente. Responde a los Inversionistas. Cumple con requerimientos Legales / Contractuales / Gubernamentales. Reduce al mximo los niveles de dependencia sobre personas o grupos especficos en el proceso de continuidad. Elimina la necesidad de desarrollar nuevos procedimientos durante la contingencia. Minimiza la posibilidad de prdida de informacin crtica para el negocio. Cumple con los requerimientos de auditoria.
Pgina 135
5.2 Valoracin de Objetivos. El presente proyecto de tesis, cumple con los requerimientos funcionales detectados en la justificacin del mismo, y por lo tanto se procede a continuacin, con la valoracin del cumplimiento del objetivo general y objetivos particulares. 5.2.1 Valoracin del Objetivo General.
Disear, proponer, aplicar y evaluar una metodologa para establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que permita garantizar la continuidad de las operaciones del negocio.
En el Captulo 3 se disea y propone; en el captulo 4 se aplica y evala la metodologa para establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que permita garantizar la continuidad de las operaciones del negocio, de acuerdo a las mejores prcticas y estndares internacionales analizados, evaluados y diagnosticados en el captulo 2, a travs del marco de referencia contextual histrico y fsico del captulo 1. 5.2.2 Valoracin de los Objetivos Particulares.
Identificar y conocer el medio ambiente de las empresas de manufactura para efectuar un anlisis y evaluacin de las amenazas a la seguridad de la informacin y sus operaciones.
En el captulo 1, se estudi la seguridad de la informacin y la continuidad del negocio como dos componentes crticos de la estrategia futura de muchas organizaciones de manufactura a nivel nacional e internacional
Identificar y conocer el medio ambiente de los estndares, mejores prcticas y metodologas en Recuperacin ante Desastres como parte de la gestin de la Continuidad del Negocio en los Sistemas de TICs para efectuar un anlisis y evaluacin de su desempeo.
En el captulo 2, se estudi el desarrollo del documento de lineamientos que permite a la organizacin definir polticas, normas, procedimientos y estndares, de acuerdo a los requerimientos de su misin, basados en recomendaciones y mejores prcticas desarrollados con cooperacin internacional; se busc, identificar herramientas o productos tecnolgicos que apoyen los controles y que permitan mitigar el riesgo y mejorar de esta manera la seguridad de la informacin y la continuidad de las operaciones.
Pgina 136
Disear y proponer una metodologa para la creacin de un plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de Informacin y Comunicaciones.
En los entornos de Continuidad del Negocio y Recuperacin ante Desastres de TICs; an no existe, un estndar que sea claramente seguido por el mercado de la industria de la manufactura, por lo que, en el captulo 3 se estudi como se debe superar esta brecha, a travs de un mtodo, que proporcione una secuencia definida de pasos para elaborar de manera sistemtica a travs de una metodologa propuesta, un plan para la continuidad y recuperacin ante desastres, a travs de la seleccin de un conjunto de estndares, estableciendo la estrategia de adopcin, por medio de un buen candidato para marco de gobierno de TI.
Aplicar la metodologa propuesta en una empresa de manufactura, para garantizar la reanudacin de los procesos crticos dentro de los mrgenes de tiempo tolerables, asegurando la continuidad de las operaciones, minimizando la posibilidad de prdida de informacin crtica para el negocio.
En el captulo 4, se hace una aproximacin acertada a detalle de la organizacin que se quiere proteger, se identifican los riesgos, se evalan y posteriormente se decide sobre las medidas que puedan mitigarlos. Para ello, se identificaron los activos de TICs de la empresa; as como, las debilidades que pueden padecer, estimando probabilidades de ocurrencia y asignndoles una importancia para la misin de la organizacin, que obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin perjudique o degrade los objetivos y la calidad de la actividad en concreto. Por lo que se puede afirmar que se cumple con el objetivo general y los objetivos particulares del presente Proyecto de Tesis.
Pgina 137
5.3 Trabajos Futuros. La metodologa propuesta trabaja un Plan de Recuperacin ante Desastres (por sus siglas en ingls, DRP), incrustado sobre un Plan de Continuidad del Negocio (por sus siglas en ingls, BCP), cuyo siguiente nivel que se propone y se considera como trabajo futuro, es montarlo sobre la Administracin de Continuidad del Negocio (por sus siglas en ingls, BCM), para lo cual se proponen las siguientes fases a desarrollar: 1. Administracin de la Continuidad del Negocio. 2. Coordinacin con autoridades pblicas. Por lo que se requiere: Un propsito de competencia y capacidad del BCM. Creacin de conciencia en toda la organizacin. Definicin y documentacin de un conjunto de principios del BCM. Definicin y documentacin de un conjunto de guas y estndares mnimos del BCM Definicin y documentacin de estrategias del BCM Definicin y documentacin del marco operacional del BCM. Asegurar el personal apropiado Definicin y documentacin de procesos del programa del BCM de gestin de la organizacin Asegurar que los directivos y personal de la organizacin son conscientes y cumplen con las normas pertinentes y requisitos legislativos
Pgina 138
5.4 Conclusiones del Proyecto de Tesis. La manufactura ha recibido recientemente cierto empuje de las tecnologas de la informacin, permitiendo el diseo y desarrollo simultneo de productos, procesos y actividades de apoyo, aportando una base confiable y flexible para el desarrollo de plataformas de ingeniera concurrente. Frente a esta realidad, la operatividad de los sistemas de informacin ocupa un lugar preponderante, ligado a la condicin imprescindible de su disponibilidad absoluta. Una alteracin de esta continuidad que impacte en forma relevante el normal desarrollo de un servicio considerado crtico, es manejado a travs de un Plan de Continuidad el cual se define como: una secuencia definida de pasos para elaborar de manera sistemtica un mtodo que proporcione una combinacin de diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos. Al inicio del presente proyecto de tesis, se concluy que no existe para la industria de la manufactura, una metodologa con un enfoque integrado de todo el proceso para la creacin de Planes de Continuidad del Negocio y Recuperacin ante Desastres de TICs, por lo tanto se justific el desarrollo de una metodologa para superar esta brecha, por medio de una estructura, que proporcione una secuencia definida de pasos para elaborar de manera sistemtica un plan para la continuidad y recuperacin ante desastres, a travs de la seleccin de un conjunto de estndares, estableciendo la estrategia de adopcin, por medio de un candidato para marco de Gobierno de TI con un buen nivel de madurez y que cubra la diversidad de actividades, complementado en temas especficos con otros estndares, buenas prcticas y metodologas manteniendo la concordancia. La metodologa propuesta se aplic, en una empresa de manufactura de empaques de cartn, por lo que se conoci con detalle la organizacin a proteger, se identificaron los riesgos, se evaluaron y posteriormente se aplicaron medidas para mitigarlos. Para ello, se identificaron los activos de la empresa; as como, las debilidades que padece, se estimaron probabilidades de ocurrencia y se asign una importancia para la misin de la empresa, desprendiendo las siguientes conclusiones: Ayud a conocer y entender de forma detallada el negocio al que se dedica la organizacin, obteniendo como resultado un plan de continuidad ptimo, por lo que el Pgina 139
desarrollo del Plan analiz todos los recursos (humanos, tecnolgicos, datos vitales, infraestructura, etc.), a travs del conocimiento del negocio como un todo, mas no como procesos, actividades o funciones individuales. Permiti a la empresa identificar, analizar, evaluar y diagnosticar amenazas internas y externas que representan riesgos a las actividades crticas de la organizacin, se calific el impacto que genera una interrupcin y cuantifico, permitiendo que la empresa se prepare econmica y operacionalmente brindando estabilidad a su negocio, por medio de la definicin y documentacin de procedimientos y estrategias de recuperacin. Desarroll planes de concientizacin a los empleados, proporcionando seguridad ante una situacin que requiera el uso del Plan. Se asegur la funcionalidad del Plan a travs del desarrollo de pruebas, mantenimiento y actualizaciones, para que este pueda ser usado en cualquier momento cuando se presenten cambios en la organizacin. Minimizo costos derivados de la cada de los Sistemas de Informacin Basados en Computadoras y maximiz las utilidades, al apoyar al desarrollo de nuevos Sistemas de Informacin que impactan al negocio. En lo particular, el desarrollo del presente trabajo de tesis, me ha dejado en claro, las diferentes competencias profesionales que requiere la industria de la manufactura para el personal de TICs, las cuales representan oportunidades y amenazas importantes:
Sistema de Gestin de la calidad de desarrollo de software (CMMI / SSE / CMM). Sistema de Gestin de la calidad del producto (ISO 9001). Sistema de Gestin de servicios de TI (ITIL / ISO 20000). Sistema de Gestin de la Seguridad de la informacin (ISO 27001 / 27005). Sistema de Gestin de la Continuidad del Negocio (BS25999 / ISO 27005). Sistema de Gestin de Proyectos (PMBOK / PRINCE2). Gobierno de TI (COBIT / ISO 38500). Sistema de Gestin de estrategias de negocio (BSC). Gobierno de las inversiones en TI (ValIT). Sistema de Gestin de riesgo empresarial (COSO). Reguladores de negocio (SOX / BASILEAII / PCI).
Pgina 140
Por lo que fue necesario complementar el conocimiento anterior, adquirido a lo largo de dieciocho aos de experiencia con temas orientados a la manufactura de productos de consumo:
Distribucin de rea de trabajo / Diseo de equipo de prueba. Distribucin de planta / Diseo electrnico. Administracin de materiales / Diseo de tecnologas. Diseo de estaciones de trabajo / Adaptacin de tecnologas. Ingeniera de procesos / Diseo de interfaces. Planeacin y control de produccin / Ingeniera de desarrollo de productos. Manufactura. Evaluacin de materiales. Evaluacin de equipos. Coordinacin de corridas piloto / Elaboracin de prototipos. Mejoramiento del proceso / Robtica. Diseo de herramientas para el ensamble. Implementacin de sistemas de calidad / Enlace entre diseo y manufactura. Implementacin de estndares / Soporte a la produccin. Implementacin de nuevas tecnologas. Implementacin de nuevos productos / Corridas de pruebas. Integracin de sistemas / Ingeniera de software.
Y por lo tanto, comprender las relaciones empresa/proceso/mquina/humano, llevndome a un nuevo nivel de visin organizacional y de manejo de relaciones inter personales horizontal y verticalmente a travs de la estructura organizacional. Lo anteriormente expresado me permiti integrar los conocimientos adquiridos, con una visin sistmica, donde los elementos anunciados convivan en un entorno simbitico mutualista en una relacin de sinergia estable: Robusta, competente y complementaria; bajo el modelo sustentable de la metodologa propuesta.
Pgina 141
BIBLIOGRAFA
[Barnes, 2001]
Barnes C.J., A Guide to Business Continuity Planning, John Wiley & Sons, 1a. edicin (May 2001), Pp. 55-86. Barros O., Arquitectura y Diseo de Procesos de Negocio, Documentos de trabajo, No. 86, Centro de Gestin (CEGES) Departamento de Ingeniera Industrial Universidad de Chile, 2001. Chase, R.B., Aquilano, N.J., Jacobs, F.R., Administracin de Produccin y Operaciones, McGraw-Hill, Junio 2000, Pp 160-223. CISA, Manual para la preparacin para el Examen CISA, Asociacin de Auditora y Control de Sistemas de Informacin, Estados Unidos de Amrica, Noviembre 2006. Galindo L., Una Metodologa para la Planeacin Estratgica de Sistemas de Informacin, Memorias del 2 Congreso Internacional de Metodologa de la Ciencia y la Investigacin para la Educacin, Asociacin Mexicana de Metodologa de la Ciencia y de la Investigacin, A.C. y ESIME Unidad Culhuacan, Mxico D.F., Mayo 2006. Galindo L., Una Metodologa para el Desarrollo de Sistemas de Informacin Basados en Computadoras, Memorias del 2 Congreso Internacional de Metodologa de la Ciencia y la Investigacin para la Educacin, Asociacin Mexicana de Metodologa de la Ciencia y de la Investigacin, A.C. y ESIME Unidad Culhuacan, Mxico D.F., Mayo 2006. Pp. 143-146. Galindo L., Una Metodologa Bsica para el Desarrollo de Sistemas, Memorias del 3er. Congreso Internacional de Metodologa de la Ciencia y la Investigacin para la Educacin, Asociacin Mexicana de Metodologa de la Ciencia y de la Investigacin, A.C. e Instituto Campechano, Campeche, Camp., Marzo 2007. Galindo L., Metodologa para la Creacin de la Tabla Metodolgica o Solucin Integral, Memorias del 3 Congreso Internacional de Metodologa de la Ciencia y la Investigacin para la Educacin, Asociacin Mexicana de Metodologa de la Ciencia y de la Investigacin, A.C. y CFIE del IPN, Mxico D.F., Junio 2008. Rodolfo, G.F., Ingeniera Concurrente y Tecnologas de la Informacin, Memorias del 4 Congreso Internacional de Ingeniera Mecnica y de Sistemas, Facultad de Ingeniera Mecnica y Elctrica, UANL, Enero-Marzo 2004, Vol. VII, No. 22. Hiles A., Business Continuity: Best Practices, Rothstein Associates, Junio 2000, Pp. 88-102.
[Barros, 2001]
[Chase, 2000]
[CISA, 2006]
[Galindo, 2006]
[Galindo, 2006]
[Galindo, 2007]
[Galindo, 2008]
[Garca, 2004]
[Hiles, 2000]
Pgina 142
[Rodrguez, 2005]
Rodrguez A., Hacia la definicin de procesos de negocio seguros, basados en una arquitectura dirigida por modelos, 3er congreso Iberoamericano de Seguridad Informtica, Universidad del Bio Bio, Dpto de Auditora Informtica, Chile 2005.
Pgina 143
REFERENCIAS A INTERNET
[BCI, 2002]
BCI, Exercising, maintenance and audit, Versin BCI DJS 1.0 01/11/02, [Artculo en lnea], Fecha de consulta: [16/06/2010]. http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%205.pdf BCI, A Management Guide to Implementing Global Good Practice in Business Continuity Management, Section 2 Understanding The Organisation, Octubre 2007, [Artculo en lnea], Fecha de consulta: [23/03/2010]. http://www.thebci.org/GPG2008V1%20Section2.pdf BSI, Avalution Consulting, LLC & BSI Management Systems America,How To Deploy Bs 25999, 2009, [Artculo en lnea], Fecha de consulta: [26/04/2010]. http://www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf DRI, Risk evaluation & control, 2004, [Artculo en lnea], Fecha de consulta: [29/04/2010]. http://www.drii.org/DRII/ProfessionalPractices/Pro_02.aspx DRIl, Business Impact Analysis, 2004, [Artculo en lnea], Fecha de consulta: [3/05/2010]. http://www.drii.org/DRII/ProfessionalPractices/Pro_03.aspx DRII, Emergency response & operation, 2004, [Artculo en lnea], Fecha de consulta: [13/05/2010]. http://www.drii.org/DRII/ProfessionalPractices/Pro_05.aspx ISO, Otros Estndares, 2009, [Artculo en lnea], Fecha de consulta: [20/07/2010]. http://www.iso27000.es/otros_estandar.html Lesmes A.M., TIC y Sector Productivo. (Lo ms destacado del 2009), Coordinadora TIC y Sector Productivo Corporacin Colombia Digital, 2009, [Artculo en lnea], Fecha de consulta: [18/01/2010]. http://www.ccdboletin.net/index. Macau R., TIC: Para qu? (Funciones de las tecnologas de la informacin y la comunicacin en las organizaciones), Revista de la Universidad y Sociedad del Conocimiento (RUSC). Vol. 1., 2004, [Artculo en lnea], Fecha de consulta: [19/01/2010]. http://www.uoc.edu. SDG Consulting: El Balanced Scorecard como sistema de gestin estratgica, por Alejandro Martnez, Consultant SDG Consulting, [Artculo en lnea], Fecha de consulta: [01/02/2010].
[BCI, 2007]
[BSI, 2009]
[DRI, 2004]
[DRI, 2004]
[DRI, 2004]
[ISO, 2009]
[Lesmes, 2009]
[Macau, 2004]
[SDG Consulting, 2010]
Pgina 144
http://www.sdggroup.com/file/c-spain/2009%20Focus%20Q4%20%20la%20Organizacion%20orientada%20a%20la%20estrategia.pdf [Sotelo, 2008] Sotelo M.B.: Gestin de Tecnologas de la Informacin, Lima - Per, Diciembre 2008. [Artculo en lnea], Fecha de consulta: [19/02/2010]. http://www.esutic.com/26437-e-book-gestion-ti-2009-02.pdf
Pgina 145
Anexo A Estndar BS25999
ANEXO A: ESTNDAR BS25999, CONTINUIDAD DEL NEGOCIO.
FASES DE LA ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO (BCM) A. INICIO Y GESTIN DEL PROYECTO.
Gestin y Control de riesgos
Despus de realizar la evaluacin y el control de riesgos, los resultados obtenidos incluyen la identificacin y documentacin de: La probabilidad de ocurrencia, en la organizacin, a un tipo especfico de amenaza. Concentracin de riesgos donde el nmero de Actividades de Misin Crtica es localizado dentro del mismo edificio o en el mismo lugar. Una evaluacin y anlisis de riesgos (combinado con un Anlisis de Impacto del Negocio - BIA). Una estrategia de gestin de control de riesgo y plan de accin. El enfoque de priorizacin del BCM y control de riesgos.
El objetivo de esta primera fase, es establecer la necesidad de desarrollar el BCM en la organizacin, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante: Definir un comit responsable del plan. Asignar responsabilidades por cada equipo de trabajo. Indicar las actividades de cada una de las fases del proyecto. Documentar los procesos. Presentar los avances. Obtener la aprobacin por parte de los directivos.
C.
ANLISIS DE IMPACTO DEL NEGOCIO (BIA)
Las responsabilidades del coordinador de esta etapa son: Dirigir la definicin de objetivos, polticas y actividades crticas. Coordinar y organizar directores por cada fase del proyecto. Controlar el proceso de BCM a travs de mtodos de control efectivo y gestin de cambio. Presentar el proceso a Directivos y personal. Desarrollar el plan y presupuesto para iniciar el proceso. Definir y recomendar procesos de estructura y gestin. Dirigir el proyecto a desarrollar e implementar el proceso del BCM.
El Anlisis de Impacto del Negocio (BIA Business Impact Analysis) consiste en tcnicas y metodologas que pueden ser usadas para identificar, cuantificar y cualificar los impactos de negocio y sus efectos en una organizacin en caso de prdida o interrupcin de las Actividades de Misin Crtica. Sin embargo, la clave para realizar un Anlisis de Impacto del Negocio es analizar el negocio como un todo ms no como componentes, procesos o funciones individuales. El anlisis BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point Objective) que deben ser establecidos por la organizacin y estn definidos como: RTO (recovery Time Objective): El tiempo entre el punto de interrupcin, y el punto en el cul los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados. RPO (Recovery Point Objective): El punto en el cul fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento.
B.
EVALUACIN Y CONTROL DE RIESGOS
El objetivo de la evaluacin de riesgos es identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que pueden causar la interrupcin o prdida de las Actividades Crticas de una organizacin, as como la probabilidad (o frecuencia) de que ocurra una amenaza y cmo es vulnerable una organizacin a varios tipos de amenazas permitiendo su gestin de priorizacin y control para formar una base en la que se establezca un programa de control y un plan de accin de gestin de riesgo. Para realizar una evaluacin y control de riesgos se debe tener en cuenta lo siguiente: Identificar riesgos Anlisis/Evaluacin de riesgos
El objetivo de un Anlisis de Impacto del Negocio es identificar las actividades de misin crtica de una organizacin, sus dependencias y sus puntos de fallas as como analizar el impacto y el efecto que se generara en caso de la perdida e interrupcin de las actividades de misin crtica. A su vez, informar y permitir opciones para crear una resistencia en las operaciones de negocio de la organizacin. Sin embargo, el BIA posee los siguientes componentes claves: Cuestionarios de autovaloracin papel y digitales.
Pgina A.1
Listas de comprobacin. Una Matriz de Anlisis de Impacto del Negocio.
. Para cumplir con este propsito es necesario que: Identifique componentes de los procedimientos de respuesta a emergencia. Especifique los procedimientos de respuesta a emergencia. Identifique requerimientos de control y autoridad. Procedimientos de control y autoridad. Respuesta a emergencia y recuperacin de heridos. Seguridad y recuperacin.
Despus de realizado el BIA, se obtendrn como resultados, la identificacin y documentacin de: Objetivos y salidas (servicios y productos). Actividades de Misin Crtica, sus dependencias y puntos de falla. Impactos y efectos (consecuencias) financieros y no financieros como resultado de una interrupcin o prdida de una o ms actividades de misin crtica durante varios periodos de tiempo. Los objetivos del BCM para cada actividad de misin crtica y sus dependencias. Una priorizacin mnima y aceptable de la recuperacin de los recursos. Registros/datos vitales. Usuarios y Clientes Claves. Proveedores (tanto dentro como fuera de la organizacin). PARA LA
F.
DESARROLLO E IMPLEMENTACIN DEL BCM.
Esta fase involucra el diseo, desarrollo e implementacin de planes de continuidad del negocio para evitar interrupciones de acuerdo a los marcos establecidos por los RTOS y RPOS. Un buen desarrollo e implementacin de un BCM incluye: Identificar requerimientos para el desarrollo de los planes. Definir requerimientos de control y administracin de la continuidad. Identificar y definir un formato y la estructura principal de los componentes de los planes. Elaborar un borrador de los planes. Definir procedimientos de gestin de crisis y continuidad del negocio. Definir las estrategias de evaluacin de daos y reanudacin. Desarrollar una introduccin general a los planes. Desarrollar la documentacin de los equipos de operacin del negocio. Desarrollar la documentacin de los equipos de recuperacin de tecnologa de informacin. Desarrollar el sistema de comunicaciones. Desarrollar los planes de los usuarios finales de aplicaciones. Implementar los planes. Establecer los procedimientos de control y distribucin de los planes. Y
D.
DESARROLLO DE ESTRATEGIAS CONTINUIDAD DEL NEGOCIO.
El propsito del desarrollo de estrategias consiste en identificar las alternativas de recuperacin de las operaciones en los marcos de tiempo definidos. El desarrollo de las estrategias del BCM involucra los siguientes aspectos: Identificar los requerimientos de continuidad de la organizacin. Evaluar la compatibilidad de las estrategias contra los resultados del BIA. Presentar el anlisis costo / beneficio de las estrategias de continuidad. Seleccionar los sitios alternos y de almacenamiento externo. Entender los trminos contractuales de los servicios de continuidad del negocio. G.
Algunas de las alternativas de recuperacin comprenden estrategias de almacenamiento externo a la organizacin (Ej. Hotsite, coldsite, etc.), a su vez procedimientos de recuperacin interna documentados, as como acuerdos recprocos entre empresa-empresa y/o empresa-cliente, o una utilizacin de combinacin de estrategias. E. RESPUESTA ANTE EMERGENCIAS
PROGRAMA DE CONCIENTIZACIN ENTRENAMIENTO DEL BCM
El propsito de la fase de respuesta ante emergencias es desarrollar e implementar procedimientos para responder y estabilizar la situacin despus de un incidente y administrar el centro de operaciones de emergencia a ser utilizado como centro de mando
Toda organizacin que quiera posicionarse en el mercado y estar preparada a cambios en su entorno, requiere de un constante proceso de evolucin. Este proceso genera en la mayora de los casos, cambios al interior de la empresa. Siempre que se presentan estos cambios existe un porcentaje de resistencia al cambio relacionado con el personal que interviene en dicho proceso. Es necesario que la organizacin prepare a sus empleados ante la presencia de un cambio, logrando minimizar esa resistencia y obteniendo la mejor disposicin ante situaciones
Pgina A.2
de este tipo creando una cultura de aceptacin ante un evento que perturbe su labor. Son estos algunos motivos por los cuales se presenta en la gestin de continuidad de negocio una fase en la cual se trata la concientizacin y entrenamiento del BCM y su relacin con la implementacin mantenimiento, gestin y ejecucin del mismo. Este proceso de conciencia es necesario que se realice en toda la organizacin (no solamente en el rea de TI) logrando aumentar la resistencia ante riesgos. Para lograr una concientizacin y entrenamiento en necesario: H. Definir objetivos de concientizacin y entrenamiento Desarrollar e implementar varios tipos de programas de entrenamiento Desarrollar programas de concientizacin Identificar otras oportunidades de educacin
MANTENIMIENTO Y EJERCICIO DEL BCM
El punto D y F hacen referencia a la realizacin, desarrollo e implementacin de estrategias y/o planes, con el objetivo de su utilizacin ante una situacin de interrupcin de un proceso en la organizacin. Una vez que se han declarado y documentado estas estrategias y planes, que contribuyen al proceso de normalizacin ante una situacin de crisis, es necesario realizar pruebas para determinar la eficacia con la que puede continuar el negocio ante la presencia de una posible interrupcin. As mismo se puede evaluar el equipo y personal a cargo de cada actividad crtica, adems se realizara una prueba al sistema demostrando competencia y capacidad de continuidad de negocio. Los propsito de realizar el ejercicio son: 1. Evaluar y permitir el continuo mejoramiento del BCM en la organizacin logrando una recuperacin prioritaria de las actividades criticas de acuerdo con los objetivos de tiempo de recuperacin y los objetivos de punto de recuperacin asegurando un nivel mnimo de continuidad del negocio. 2. Permite evaluar y mejorar la capacidad de competencia ante la gestin de crisis. Con la realizacin del ejercicio se pueden determinar varios aspectos, entre los cuales se listan: Identificar el nivel de madures del BCM de la organizacin Verificacin y validacin que la capacidad y competencia de la gestin de crisis de la organizacin es efectiva, actualizada y ajustada a los propsitos y permiten la gestin, control y coordinacin de eventos y estrategias del BCM a nivel tctico y operacional. Verificacin y validacin que los miembros y personal se familiarizan con el entendimiento de roles, responsabilidades y autoridades en la
operacin de la continuidad del negocio y proceso de administracin de crisis. La formacin de conciencia involucrando individuos usando la continuidad del negocio y los planes de gestin de crisis El ensayo y familiarizacin de los miembros del equipo y personal con sus roles responsabilidad y autoridad en la operacin de la continuidad del negocio y planes de gestin de crisis. Pruebas tcnicas, logsticas, de administracin y otras de sistemas operacionales de continuidad del negocio y planes de gestin de crisis. Probar la organizacin e infraestructura de la gestin de continuidad del negocio, incluye centros de comando, reas de trabajo, recursos de recuperacin de tecnologa y telecomunicaciones. El ensayo de la disponibilidad y traslado del personal. Verificacin y validacin que el plan de continuidad de negocio refleja las actuales prioridades del negocio. La disposicin de mecanismos para reforzar la continuidad del negocio y auditoria y mantenimiento de la gestin de la crisis. Una demostrable continuidad del negocio, capacidad y competencias en la gestin de crisis. Documentar resultados Incrementar la cultura de los procedimientos de conciencia. Incrementar la conciencia del significado del BCM La oportunidad de identificar defectos y mejoras de la organizacin del BCM, administracin de crisis y planes de continuidad de negocio. Documentacin y evaluacin del ejercicio.
Para lograr estos resultados es necesario seguir un proceso en la elaboracin de una prueba. Principalmente es necesario establecer directores de cada rea de organizacin, luego se planificaran los escenarios en los cuales se van a llevar a cabo las pruebas. Estas pruebas deben tener un grupo de administracin, logstica, recursos, listas de verificacin, estructura, posteriormente al haber planificado el ejercicio se harn las consideraciones del programa, se documentar el ejercicio junto con la informacin de los participantes, se proceder a la realizacin del ejercicio luego se evaluar y se har un anlisis de los resultados con el objetivo de tenerlos en cuenta en pruebas posteriores junto con sus recomendaciones. 1). Mantenimiento El proceso de gestin de continuidad de negocio no finaliza con la realizacin del documento en el cual se plasman estrategias y se asignan roles o equipos de trabajo a las reas organizacionales; es quizs el proceso de mantenimiento del plan un punto importante si se quiere hacer uso de ste,
Pgina A.3
considerando que el negocio contina y est en constante cambio. El propsito de este proceso de mantenimiento es asegurar que la gestin de continuidad del negocio incluyendo la gestin de crisis permanezca efectivo, con el objetivo de ser capaz de lograr la recuperacin de actividades de misin crtica y sus dependencias dentro de los objetivos de tiempo de recuperacin y los objetivos de punto de recuperacin asegurando una continuidad de sus servicios y productos. Con la realizacin del mantenimiento al BCM podremos obtener: Pruebas definidas y documentadas para la gestin y gobierno pro activo del programa de mantenimiento y monitoreo del BCM respecto a actividades de misin crtica y sus dependencias. Detalles de todos los cambios de estrategias del BCM y planes de continuidad de negocio documentados con toda la historia de estrategias y detalles de control de versiones. Verificacin y validacin de polticas, estrategias y planes BCM Identificacin e inclusin de cambios en los sistemas y proceso de la organizacin. Identificacin e inclusin de cambios en legislacin y regulacin para la industria. Verificacin y validacin de anlisis de impacto y de riesgos basados en las estrategias y planes BCM Verificacin y validacin que las estrategias y planes BCM son actualizados, precisos y completos. Verificacin y validacin que la capacidad del BCM (incluyendo planes y estrategias) son actualizadas Verificacin y validacin que los planes continuidad de negocio siguen una secuencia lgica, formato, estructura conforme a las directrices y estndares de buenas prcticas. Verificacin y validacin que los cambios de procedimiento y procesos son puestos. Verificacin y validacin que el personal tiene entendido los roles de responsabilidad y le es claro el plan BCM.
estndar ISO 17999 el cual trata sobre la seguridad de TI ser de gran ayuda. Para la realizacin de cualquier plan es necesario tener en cuenta la legislacin existente, para tener una base y cumplir con la normatividad que se exige. El proceso de mantenimiento requiere de un subconjunto de procesos auditoria ejercicio y aseguramiento que permiten su fortalecimiento, capacidad de continuidad y soporte a la gestin de continuidad de negocio en su aplicacin a la organizacin cuando lo requiera. 2). Auditoria Luego de haber realizado los procesos de ejercicio y mantenimiento sigue un proceso de auditora que se hace necesaria en cualquier proceso al interior de la organizacin. El propsito de la auditoria en la gestin de continuidad de negocio es revisar los estndares del BCM identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a estndares predefinidos. La auditora revisara varios aspectos en la organizacin algunos de ellos son: Resistencia (aplicacin de planes y estrategias en crisis) Polticas, estrategias, marcos y planes contina bajo presin de acuerdo a estrategias, prioridades y objetivos. Polticas, estrategias, marcos y planes contina bajo presin de acuerdo a las directrices de buenas prcticas. El BCM es competente de acuerdo al propsito Los planes y soluciones son efectivos y actualizados de acuerdo al propsito Implementa sus programas Documenta el control, procesos y procedimientos operando efectivamente
Los resultados que se obtendrn con el proceso de mantenimiento son de gran utilidad para la organizacin, previniendo que los documentos realizados queden obsoletos con el paso de los aos. Para realizarlo es necesario tener una clara definicin y documentacin del programa de mantenimiento y monitoreo, incluyendo polticas, marcos y procesos as como la estrategia de negocio operacional. La tecnologa de informacin TI es un gran apoyo en los proceso de una organizacin, es necesario que se realice un anlisis de la tecnologa requerida por la organizacin cuando se tienen interrupciones en el sistema, para este punto el
En la realizacin de la auditoria como en cualquier proceso existen componentes. Para el caso se mencionan algunos como son: definicin y documentacin del programa de auditoria, auditar el plan de auditoria, buscar expertos internos y externos, aplicar los estndares de auditoria, actualizar estrategias del BCM, tener en las normas de requerimientos, legislacin directrices de buenas prcticas, estndares (ISO 17999), realizar programas de conciencia y formacin, actualizar anlisis de impacto, estrategias y planes a ser auditados. Para poder obtener estos resultados el proceso de auditoria debe seguir mtodos y/o tcnicas que optimicen este proceso. Algunas tcnicas y/o metodologas que se nombran son: Auto evaluacin, auditoria forense, cumplimiento de auditoria, diligencia auditoria, viabilidad de auditoria, control de auditoria,
Pgina A.4
mejor valor auditado. Con el seguimiento de estas tcnicas y la ayuda de los responsables, el proceso de auditoria podr cumplir su propsito y as dar un informe para la organizacin en el cual se presenten los resultados de los procesos auditados. En el proceso de auditoria intervienen varios pasos:
A continuacin, se describen algunos resultados: Un efectivo propsito de competencia y capacidad del BCM. Creacin de conciencia en toda la organizacin. Una clara definicin y documentacin de un conjunto de principios del BCM. Una clara definicin y documentacin de un conjunto de guas y estndares mnimos del BCM Una clara definicin y documentacin de estrategias del BCM Una clara definicin y documentacin del marco operacional del BCM. Asegurar el personal apropiado Una clara definicin y documentacin de procesos del programa del BCM de gestin de la organizacin Una clara definicin y documentacin de garanta de procesos del programa BCM de gestin de la organizacin Asegurar que los directivos y personal de la organizacin son concientes y cumplen con las normas pertinentes y requisitos legislativos
Clara identificacin y documentacin del tipo de auditoria Clara identificacin y documentacin de objetivos de auditoria Clara identificacin y documentacin del marco de auditoria ISO 17799 Clara identificacin y documentacin del alcance de la auditoria. Clara identificacin y documentacin de la propuesta de auditoria Clara identificacin y documentacin de criterios de evaluacin de la auditoria Clara identificacin y documentacin de roles Clara identificacin y documentacin de recursos financieros y otros requeridos Requerimientos del programa de auditoria comunicados a los usuarios Actividades de auditoria
El documento que contiene las polticas de la organizacin deber estar compuesto por los siguientes aspectos entre otros: El alcance Declaracin del contenido de las polticas Objetivos Roles, responsabilidades Detalles de otro material pertinente.
Luego de haber realizado el proceso de auditoria la organizacin tendr definido y documentado este proceso y se preparara para realizar un plan de accin y un programa de monitoreo. I. COMUNICACIN DE CRISIS
La etapa de comunicacin de crisis se propone desarrollar, coordinar, evaluar y ejercitar planes para comunicarlos a directivos, personal, usuarios, proveedores y medios de comunicacin, de tal forma que el entorno de la organizacin se entere de su estado y en caso de crisis poder reaccionar de forma adecuada para minimizar los costos de interrupcin de los procesos internos. Para ello, el BCM debe contener un listado de clientes, proveedores y medios de comunicacin entre otros, en el cual se muestren los datos bsicos de cada contacto. J. COORDINACIN CON AUTORIDADES PBLICAS
Como tcnicas o metodologas para el desarrollo de este proceso de declaracin de polticas se mencionan las siguientes: Revisin de las polticas actuales. Investigacin de origen externo de guas. Investigacin dentro de la organizacin para identificar versiones actuales e informacin concerniente al BCM relacionada con declaraciones y polticas. Identificar y adoptar o modificar una poltica BCM de otra organizacin que es considerada de buenas prcticas. Estado actual de evaluacin, anlisis y revisin de polticas internas y externas para manejar el ncleo de los componentes de una poltica BCM nueva o corregida. Organizacin de grupos multidisciplinarios. Consulta de profesionales externos. Circulacin de borradores de una poltica BCM para ver reaccin y comentarios.
En esta etapa se quiere que la organizacin tenga una clara definicin y documentacin de las polticas a implementar como un documento obligatorio en la organizacin. Por lo tanto, en este proceso la organizacin vera los resultados en la mejora de los procesos de toda su organizacin, teniendo en cuenta que las polticas estn dirigidas a la organizacin como un todo.
Pgina A.5
Toda declaracin de documentos sigue un proceso, en el caso de declaracin de las polticas de la organizacin se enumeran los siguientes procesos: Identificacin y documentacin de los componentes de una poltica BCM Identificacin de algunos estndares relevantes, gua de buenas prcticas, regulacin y legislacin que impactan la poltica BCM. Identificar polticas BCM de otras organizaciones que actuara como un punto de referencia. Revisar y conducir un anlisis de interrupciones de las polticas BCM actuales de la organizacin y el punto de referencia de polticas externas como requerimientos para una nueva poltica BCM. Desarrollar un borrador de una poltica BCM nueva o corregida. Circulacin de polticas borradores para consulta. Enmendar el borrador de polticas BCM, apropiado basada en la reaccin de la consulta. Publicar y distribuir Polticas de Continuidad de Negocio usando un sistema de control de versiones apropiado.
Pgina A.6
Anexo B Metodologa DRII
ANEXO B: METODOLOGA DRII, CONTINUIDAD DEL NEGOCIO.
INICIO Y ADMINISTRACIN 1.1 Presentacin del proyecto 1.1.1 Participantes Se definirn claramente las personas del rea que elaborarn el plan de contingencia. 1.1.2 Fecha de inicio y fecha de terminacin Se fijar una fecha de inicio especfica y una fecha tentativa de terminacin. 1.1.3 Mecanismo de reporte y seguimiento Se especificar(n) el (los) mecanismo(s) de reporte y seguimiento acordado(s) con los directivos del rea. 1.2 Objetivos y Alcance 1.2.1 Objetivos Se enumerarn los objetivos generales del plan. Se enumerarn los objetivos especficos del plan. 1.2.2 Alcance Se enumerarn los escenarios para los que el plan est diseado. 1.3 Equipos y responsabilidades Se asignarn responsabilidades para la administracin del proyecto y se conformarn los grupos de trabajo encargados del Plan de contingencia del rea, detallando los roles e integrantes de cada equipo. A continuacin se muestran algunos ejemplos. 1.3.1 Equipo Administracin del proyecto Es el equipo encargado de evaluar las decisiones que se toman en cada una de las fases, y de aprobar las estrategias y el presupuesto involucrado; adems, velar por la vigencia del plan del rea y mantendr certificada el rea en continuidad del negocio. 1.3.2 Equipo Atencin de la emergencia Es el equipo que atiende la emergencia en primera instancia y realiza las respectivas acciones de notificacin en el rea. 1.3.3 Equipo Evaluador de riesgos Es el equipo encargado de evaluar peridicamente los riesgos inherentes al servicio y mantener enterado al equipo de continuidad del negocio de la necesidad de generar nuevas estrategias o de hacer mantenimiento al plan. REQUERIMIENTOS FUNCIONALES 2.1 Conocimiento del negocio 2.1.1 Descripcin funcional del negocio Se realizar una descripcin del rea en cuestin incluyendo sus objetivos y responsabilidades.
2.1.2 Seleccin de procesos crticos 2.1.2.1 Criticidad Se identificarn todos los procesos crticos que se realizan en el rea, las actividades involucradas en ellos de manera secuencial, su periodicidad y se calificar su criticidad de 1 a 3, donde 1 es el nivel ms alto. Se suministrar la siguiente informacin para cada proceso: Nmero del proceso o tarea Nombre del proceso Descripcin del proceso o tarea Producto o servicio relacionado con el proceso 2.1.2.2 Informacin externa de apoyo Para los procesos de criticidad 1 y 2, se identificar la informacin que no pertenece al rea y que apoya el proceso. Se relacionarn las reas con las que interacta el proceso y el tipo de informacin a travs del cual interactan. Si el proceso no interacta con otras reas, se debe especificar el nombre del rea que ejecuta el proceso en la dependencia origen y en la dependencia destino; de lo contrario, se deben anotar todas las dependencias tanto origen como destino. Dependencia origen: reas o departamentos de donde proviene la informacin. Dependencia destino: reas o departamentos hacia donde se dirige la informacin. 2.1.3 Identificacin de tiempos crticos 2.1.3.1 Horarios, RTO y RPO Se establecern los horarios crticos de ejecucin de los procesos con prioridades 1 y 2 y el tiempo mximo que tienen para su recuperacin (RTO), as como el punto de recuperacin de los datos que se requieran para el proceso (RPO). Frecuencia de ejecucin. D: Diario; S: Semanal; Q: Quincenal; M: Mensual; B: Bimestral; T: Trimestral; R: Semestral; A: Anual; O: Ocasional. Tiempo esperado de recuperacin Se refiere al tiempo mximo que el proceso puede esperar sin que impacte de manera considerable a los clientes, entes de control, usuarios internos y entes externos. Tiempo lmite de ejecucin Hace referencia a los procesos que se deben ejecutar en una fecha especfica o a una hora determinada. o Fecha mxima de ejecucin: ltimo da en el que se puede ejecutar el proceso. Ej.: Da 10 (transmisin balance a la Superintendencia Bancaria); Todos los
Pgina B.1
das (transmisin de tasas a la Superintendencia Bancaria). o Hora mxima de ejecucin: hora lmite para ejecutar el proceso. Ej.: 8:00 a.m. (transmisin de tasas a la Superintendencia Bancaria). 2.2 Inventario de recursos Se debe hacer un inventario de todos los recursos que soportan cada proceso dentro del rea, ya que stos son la fuente fundamental del anlisis de riesgo. Se debe realizar una descripcin detallada de cada uno de ellos (recursos de tipo informacin, tecnolgico, instalaciones fsicas y humano, entre otros), indicando si forman parte esencial del sistema o proceso o si, por el contrario, en ausencia de ste el proceso puede llevarse a cabo aunque sea de manera parcial. 2.2.1 Inventario de informacin Se han de incluir el tipo de informacin, su descripcin y el mecanismo en la que sta es actualiza. 2.2.1.1 Entidades externas y clientes Se debe relacionar (para cada proceso crtico definido anteriormente) todo el intercambio de informacin con los clientes y los entes externos, puesto que es importante tener en cuenta la informacin que enva o recibe la entidad y el medio de intercambio: Nmero del proceso o tarea: este nmero debe coincidir con el nmero del proceso asignado en la seleccin de procesos crticos. Entidad externa o cliente: se debe especificar con quin se realiza el intercambio de informacin. Entrega/Recepcin: se debe especificar si la informacin la entrega el banco o si, por el contrario, la recibe. Descripcin: Se debe proporcionar una breve descripcin del tipo de informacin que se intercambia. Medio de transmisin o intercambio: Se debe especificar el medio de transmisin de la informacin (L: listado; D: disquete; C: cinta; E: correo; CD: unidad de CD; V: videolnea; I: Internet; M: mdem; R: RDSI; etc.). Periodicidad: Se debe relacionar la periodicidad con la que se enva o se recibe la informacin (D: Diario; S: Semanal; Q: Quincenal; M: Mensual; B: Bimestral; T: Trimestral; R: Semestral; A: Anual; O: Ocasional). 2.2.1.2 Proveedores Se debe relacionar (para cada proceso crtico definido anteriormente) todo el intercambio de informacin con los proveedores, ya que es importante tener en cuenta la informacin que enva o recibe la entidad y el medio de intercambio.
Nmero del proceso o tarea: este nmero debe coincidir con el nmero del proceso asignado en la seleccin de procesos crticos. Nombre del proveedor: se debe especificar el nombre del proveedor. Servicio prestado: se debe proporcionar una breve descripcin del servicio que proporciona el proveedor. Entrega/Recepcin: se debe especificar si la informacin la entrega el banco o si, por el contrario, la recibe. Descripcin: se debe proporcionar una breve descripcin del tipo de informacin que se intercambia. Medio de transmisin o intercambio: Se debe especificar el medio de transmisin de la informacin (L: listado; D: disquete; C: cinta; E: correo; CD: unidad de CD; V: videolnea; I: Internet; M: mdem; R: RDSI; etc.). Periodicidad: se debe relacionar la periodicidad con la que se enva se recibe la informacin (D: Diario; S: Semanal; Q: Quincenal; M: Mensual; B: Bimestral; T: Trimestral; R: Semestral; A: Anual; O: Ocasional). 2.2.2 Inventario tecnolgico Se deben detallar los elementos que forman parte del recurso tecnolgico, incluyendo servidores, direcciones IP y esquema de comunicaciones, entre otros. 2.2.2.1 Diagrama de estructura tecnolgica Se debe detallar la estructura tecnolgica con la que cuenta la entidad para soportar cada proceso. 2.2.2.2 Software Se debe especificar, para cada proceso, el software requerido para que ste se pueda llevar a cabo, incluyendo la versin y los parches instalados, la fecha de la ltima actualizacin, el tipo de mantenimiento y los sistemas con los que interacta. 2.2.2.3 Hardware y perifricos Se debe especificar, para cada proceso, el hardware requerido para que ste se pueda llevar a cabo, incluyendo el equipo, discos, sistema operativo, memoria y tipo de mantenimiento. 2.2.2.4 Comunicaciones Se debe especificar, para cada proceso, la necesidad de comunicacin para que ste se pueda llevar a cabo, incluyendo una descripcin exacta del origen y el receptor de la comunicacin, el proveedor que presta el servicio y el medio fsico empleado para realizarla. 2.2.3 Inventario de instalaciones fsicas Se debe identificar, para cada proceso, la ubicacin fsica donde se desarrollan las actividades de las personas que intervienen en ste, tanto empleados como usuarios externos. Esto incluye la ciudad, la edificacin, el piso y el dueo de la propiedad. 2.2.4 Inventario de recurso humano
Pgina B.2
Se debe identificar, para cada proceso, a todas las personas que intervienen en ste, tanto internas de la entidad como externas. Hay que incluir una breve descripcin de lo que cada una hace, el nmero de personas que realizan la actividad y el rea a la que pertenecen. Se debe suministrar la siguiente informacin sobre el (los) responsable(s) de cada proceso crtico: Nombre del responsable: apellidos y nombres de la persona encargada de realizar el proceso. Cargo del responsable: cargo de la persona encargada del proceso. Nombre de otras personas que conocen el proceso: relacionar los apellidos y nombres de otras personas que pueden ejecutar el proceso, en caso de que la persona titular no lo pueda llevar a cabo. 2.3 Anlisis de riesgos El anlisis de riesgos est orientado a determinar un conjunto de estrategias (independientes o conjuntas) que debern implementarse para que cada proceso tenga unas condiciones mnimas para poder reanudarse. Para la obtencin de estas estrategias se determina el nmero de ocurrencias anuales de las amenazas, factor de exposicin, vulnerabilidades frente a las prdidas y valoracin del riesgo por recurso en cada actividad que interviene; adicionalmente, se recomienda hacer controles preventivos ante ciertas amenazas. Entre los factores que hay que considerar dentro del anlisis de riesgos se encuentran los siguientes: Identificacin de amenazas Historia de incidentes por recurso y amenaza Probabilidad de ocurrencia Exposicin por amenaza Impacto por amenaza o Recomendacin de controles preventivos o Identificacin de estrategias por recurso o Asignacin de estrategias por amenazas 2.4 Anlisis de impacto 2.4.1 Propsito El objetivo de un anlisis de impacto es poder determinar la exposicin financiera y el impacto operacional ante la interrupcin de las funciones crticas del negocio de una compaa. Un anlisis de impacto est diseado para asegurar un entendimiento de las funciones y sistemas vitales del rea dentro de la organizacin. El impacto de cada una de estas funciones se identifica, evala y categoriza de acuerdo con los marcos de tiempo requeridos para la recuperacin del negocio. Los propsitos generales de la realizacin de este anlisis son: Identificar las consecuencias de la interrupcin en lo referente a prdidas financieras, gastos adicionales e imagen de la organizacin.
Identificar el mximo perodo de interrupcin que la organizacin puede tolerar. Determinar qu nivel de prdidas financieras es aceptable para la organizacin en conjunto y para una funcin especfica del negocio. Dejar datos para realizar un anlisis costo / beneficio. Establecer o confirmar prioridades de recuperacin para aplicaciones crticas, sistemas y prioridades de recuperacin de negocios. Entre los factores que hay que considerar dentro del anlisis de impactos se encuentran los siguientes: Valoracin cuantitativa del impacto Valor aceptable de prdida Valoracin cualitativa del impacto 2.4.2 Impacto externo Se refiere al impacto (alto, medio o bajo) que puede generar en los clientes o en los organismos externos el hecho de no prestar el servicio o no generar la informacin a tiempo. Los entes externos pueden ser la Superintendencia Financiera, la Asociacin Bancaria, la DIAN, el Banco de la Repblica, Deceval, DCV, ATATEC, MEC o IQ Outsourcing, entre otros. 2.4.3 Impacto interno Se refiere al impacto que afecta nicamente a la institucin. Impacto financiero (alto, medio o bajo): se refiere al impacto que puede tener, en el aspecto econmico, el hecho de dejar de prestar el servicio o prestarlo a destiempo, ocasionando prdida de clientes y de ingresos, multas o litigios. o Valor en $ (pesos) de la prdida de ingresos: se refiere al valor de la prdida de ingresos, por ejemplo, por dejar de recibir comisiones. El valor de la prdida debe tenerse en cuenta de acuerdo con la periodicidad del proceso, de tal manera que si la periodicidad es diaria, la prdida ha de ser diaria. o Valor en $ (pesos) de la multa: se refiere al valor de la multa por incumplimiento. Debe tomarse en cuenta de acuerdo con la periodicidad del proceso, de modo que si la periodicidad es diaria, la multa ha de ser diaria. Impacto operativo (alto, medio o bajo): se refiere al impacto que pueden ocasionar grandes prdidas de informacin o altos costos de recuperacin. 2.5 Prioridad de reanudacin Una vez realizado el anlisis anterior, se priorizan los procesos en una Matriz de tiempos de recuperacin. En esta matriz se presentan los procesos del rea en el orden en que se
Pgina B.3
recuperarn, de acuerdo con suministrada por los usuarios. DISEO E IMPLEMENTACIN
la
informacin
En esta etapa se determinan los recursos mnimos para trabajar en un centro alterno, se describen las estrategias y se formalizan los procedimientos de reanudacin y recuperacin correspondientes a las estrategias alternas de contingencia identificadas en la etapa anterior. As mismo, deben definirse los procedimientos de notificacin y escalamiento de emergencias, los criterios y procedimientos de activacin de los planes de contingencia, al igual que los equipos de reanudacin y recuperacin, encargados de coordinar las actividades de recuperacin en el evento de activacin del plan. A continuacin se detallan an ms algunas actividades de la etapa. Requerimientos mnimos. o Identificar recursos de personal, computacionales, de comunicaciones, implementos de oficina y espacio fsico y amoblado para operar en centros alternos a corto, mediano y largo plazos. Definicin de programas de registros vitales y almacenamiento alterno. o Identificacin de los registros vitales. o Proteccin y recuperacin de registros vitales. o Backups fuera del sitio. Definicin de procedimientos de escalamiento y notificacin del plan. o Respuesta inicial, procedimientos de emergencia. o Recuperacin en el sitio alterno. o Recuperacin de actividades en paralelo. o Recuperacin en el sitio original o alterno. Delegacin y designacin de autoridad. Procedimientos de activacin del plan. o Activacin de los equipos de recuperacin de desastres y continuidad del negocio (rbol de llamadas). o Activacin del sitio de recuperacin y notificaciones. o Requerimientos de los usuarios finales y personal de las reas funcionales. o Monitoreo de la recuperacin y progreso de la reanudacin. o Revisiones para conducir a la posreanudacin. Adquisicin del hardware, software, lneas de comunicacin, etc. Negociacin y firma de contratos con los vendedores. Preparacin de los sitios. 3.1 Recursos mnimos Se deben prever, para cada rea en particular, el peor escenario de desastre y la necesidad de
desplazamiento a un centro alterno. Ante esta situacin, hay que establecer los perodos de operacin en el centro alterno, definiendo un corto, mediano y largo plazos. A continuacin se procede a determinar y a describir los recursos mnimos requeridos para los perodos descritos. 3.1.1 Personal Se deben identificar, para cada perodo, el nmero de personas requeridas para llevar a cabo cada proceso, incluyendo una breve descripcin de sus funciones. 3.1.2 Computacional Se deben identificar, para cada perodo, los elementos computacionales requeridos para llevar a cabo cada proceso, incluyendo equipos, discos, sistema operativo, memoria y software. Adicionalmente, se ha de describir la forma como se proveern recursos a mediano y largo plazos (se compran, se alquilan, provienen de directivos, etc.) 3.1.3 Comunicaciones (red y voz) Se deben identificar, para cada perodo, los elementos de comunicacin necesarios para llevar a cabo cada proceso, incluyendo puntos de red y lneas telefnicas, con sus respectivas caractersticas. 3.1.4 Elementos logsticos 3.1.4.1 Espacio fsico Se deben identificar, para cada perodo, los elementos de espacio fsico que se requieren, incluyendo tamao, seguridad y privacidad, entre otros. 3.1.4.2 Amoblado Se deben identificar, para cada perodo, los elementos de mobiliario que se requieren, como escritorios y sillas, por ejemplo. 3.1.4.3 Documentos e implementos de oficina Se deben identificar, para cada perodo, los documentos e implementos de oficina necesarios para efectuar cada una de las actividades programadas. 3.2 Registros vitales Se debe establecer, para cada rea en particular, el esquema de respaldos de aquella informacin vital requerida para llevar a cabo cada proceso que no reside en los dispositivos de almacenamiento alternos. Servidores de estaciones PC Se deben incluir los datos que hay que respaldar, el da y la hora en que se hace el respaldo o la periodicidad, el tipo de respaldo, el tiempo de retencin de la informacin y la instalacin o ubicacin donde se encontrarn estos registros vitales. Adicionalmente, se debern especificar los usuarios que tendrn acceso a esta informacin. 3.3 Notificacin La notificacin tanto interna como externa para la reanudacin y el retorno deber hacerse en el momento del incidente. Para esto deber elaborarse
Pgina B.4
un esquema general de notificacin y esquemas particulares si es necesario. Es recomendable realizar estos esquemas grficamente e incluir una breve descripcin de cada uno para mayor claridad. 3.3.1 Notificacin interna o externa: activacin y retorno de contingencia En todos los casos se debe incluir el cargo de la persona que notifica, el de la persona notificada y el medio de comunicacin empleado. 3.3.2 Delegacin de autoridad En todos los casos se debe incluir el tipo de autorizacin, el responsable actual (cargo) y a quin se le delega la autorizacin (cargo). Adicionalmente, hay que proporcionar informacin sobre el proceso o procedimiento al que hace referencia la autorizacin. 3.4 Programacin centro alterno En este captulo se consolidan la informacin del centro alterno, su ubicacin, el mapa de los elementos que estn en el sitio, la funcionalidad de cada puesto de trabajo y el responsable de los elementos que all se encuentran. 3.4.1 Ubicacin y mecanismo de ingreso Se debe especificar la ubicacin del centro alterno y el procedimiento para ingresar, teniendo en cuenta consideraciones de horario (hbil o no hbil). 3.4.2 Distribucin Se debe especificar la ubicacin de cada elemento de hardware, incluyendo direcciones IP, software instalado y funciones que se realizarn en l. Se debe especificar la ubicacin de cada elemento de oficina incluyendo equipos de transmisin de fax, escner y fotocopiadoras, entre otros. Se debe especificar la ubicacin de todos los tiles de oficina. 3.5 Descripcin de estrategias Se deben describir, para cada estrategia, todos los elementos que intervienen en sta, los procedimientos necesarios para su ejecucin, los escenarios en los que se puede aplicar, los equipos que participan y los controles requeridos en cada una de las actividades. 3.5.1 Escenarios Se deben especificar los incidentes o amenazas para los que sirve esta estrategia. 3.5.2 Equipos de trabajo Se deben especificar las personas que intervienen para la reanudacin del servicio o recuperacin de la falla hasta la normalidad. Hace referencia a las personas que conforman los equipos que se describen a continuacin: 3.5.2.1 Equipo de reanudacin (ERO) Es el equipo responsable de reanudar el servicio, es decir, aquellas personas que tcnica u operativamente son quienes deben realizar las acciones de la estrategia de contingencia para restablecer el servicio. Se debe diferenciar (en caso de ser diferentes) a las personas encargadas de la parte tecnolgica de las responsables de la parte
operativa, incluyendo el rea a la que pertenecen y el cargo. 3.5.2.2 Equipo de recuperacin (ERP) Es el equipo encargado de que los escenarios de falla para esta estrategia sean atendidos y recuperados a un estado de operacin normal. Se deben incluir el escenario de falla y el responsable, incluyendo el rea a la que pertenece y el cargo. Adicionalmente, en caso de existir y de ser relevante, se debe incluir el proveedor del sistema afectado. 3.5.3 Recursos especficos Tiene que ver con los elementos propios de la estrategia, la cantidad, ubicacin y el responsable de proveer el recurso. Si el responsable es un proveedor, se debe explicar en qu condiciones entrega el elemento; si existe un contrato, se debe hacer referencia a ste y anexarlo. 3.5.4 Controles Se deben enumerar, para cada proceso, las actividades de la estrategia que hay que controlar, indicando el mecanismo de control y el verificador. 3.5.5 Proceso de activacin La estrategia sugiere un flujo de actividades para reanudar el servicio oportunamente. A continuacin se detallan el procedimiento tcnico u operativo y el responsable. Si se necesita describir el procedimiento de una manera ms explcita, deber haber un pie de pgina con el documento que podr encontrar en los anexos. 3.5.5.1 Estrategia tcnica Hay que relacionar cada una de las actividades y al equipo responsable, si no es explcito en la descripcin de la actividad. 3.5.5.2 Estrategia operativa Hay que relacionar cada una de las actividades y al equipo responsable si no es explcito en la descripcin de la actividad. 3.5.6 Proceso de retorno La estrategia sugiere un flujo de actividades para retornar a la normalidad. A continuacin se detallan el procedimiento tcnico u operativo y el responsable. Si se necesita describir el procedimiento de una manera ms explcita, deber haber un pie de pgina con el documento que podr encontrar en los anexos. 3.5.6.1 Estrategia tcnica Se deben relacionar cada una de las actividades y al equipo responsable si no es explcito en la descripcin de la actividad. 3.5.6.2 Estrategia operativa Se deben relacionar cada una de las actividades y al equipo responsable si no es explcito en la descripcin de la actividad. CAPACITACIN Y PRUEBAS
Pgina B.5
En esta etapa se capacita y concientiza a todos los niveles de la organizacin en lo referente a los planes de contingencia de los procesos del negocio. As mismo se planean y realizan las pruebas a los planes de contingencia, luego se hace la evaluacin respectiva. 4.1 Capacitacin Se debe elaborar una lista de las actividades programadas en la capacitacin, con su responsable, fecha de ejecucin y resultado, indicando las formas en las que se capacitar y concientizar al personal del rea y dems personas involucradas en todo lo relacionado con el plan de contingencia. 4.2 Pruebas El objetivo de las pruebas es verificar los procedimientos establecidos, probar los controles definidos, reanudar operaciones en sitios alternos, o con elementos reducidos, conocer a las personas en su rol, establecer los tiempos de recuperacin y en general, detectar fallas y aplicar correctivos. Es importante asegurarse de que el procedimiento de recuperacin sea factible y prctico, identificar deficiencias en procesos existentes, demostrar la habilidad del rea para recuperarse y tener la certeza de que las personas de los equipos de recuperacin y reanudacin son capaces de trabajar en conjunto y bajo la presin de incidentes con diferente magnitud. Se debe hacer un cronograma de pruebas en el que se indiquen la estrategia que se va a probar y el tipo de prueba (tecnolgico/operativo), e incluir una breve descripcin de lo que se quiere realizar. 4.2.1 Periodicidad La periodicidad de cada una de las pruebas asegura su vigencia. Por tal motivo, se deben especificar las estrategias que se probarn regularmente, indicando su periodicidad y sus responsables. 4.2.2 Descripcin de pruebas 4.2.2.1 Objetivos Se deben precisar los objetivos especficos de cada prueba que se vaya a realizar. 4.2.2.2 Planeacin Se debe definir la prueba, proporcionando la siguiente informacin: Ttulo Clase de prueba (tecnolgica, operativa, de notificacin, etc.) Sistemas de informacin (si se requieren) Duracin aproximada de la prueba Participantes Criterios de evaluacin 4.2.2.3 Ejecucin, resultados y mejoras Se debe realizar una bitcora de ejecucin con los resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecucin, resultados y responsables.
MANTENIMIENTO El objetivo de esta etapa es desarrollar procedimientos y mecanismos de mantenimiento y actualizacin de los planes definidos, con el fin de garantizar que stos se podrn utilizar efectivamente en una emergencia, velando porque su informacin se encuentre actualizada, completa y precisa. As mismo, en esta etapa se busca implementar mecanismos que aseguren que el plan es consistente con los procedimientos actuales de la organizacin o rea, que los mecanismos de comunicacin y procesamiento de datos se prueban peridicamente y que los miembros de la organizacin conocen todos los cambios realizados a los planes. Adems, se velar por establecer los procedimientos de revisiones peridicas de los mismos. Igualmente, en esta etapa deben definirse los mecanismos de divulgacin y distribucin de los planes, as como las estrategias de actualizacin, cuando se hagan modificaciones a los mismos. Deben definirse, adems, dnde residirn los documentos de los planes y las copias de seguridad de los mismos. 5.1 Polticas de mantenimiento Se debe hacer una lista de medidas mediante las cuales se mantendr el plan de contingencia. Se Incluyen resultados, resoluciones y reuniones, entre otros. 5.2 Bitcora Cada vez que se modifique el plan, se deber llevar una bitcora en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento cambiado, la descripcin de la modificacin, quin la hizo y si ya se distribuy o no. 5.3 Mecanismo de almacenamiento Una vez terminado el plan de contingencia, ste se deber almacenar en diferentes medios y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnticos no estn disponibles en el momento de un incidente. Dichas copias se deben almacenar tambin en los centros alternos. 5.4 Mecanismo de actualizacin Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran importancia verificar que todas las copias contengan la misma informacin. 5.5 Mecanismo de distribucin Cada vez que se modifique o actualice el plan, se debern distribuir y divulgar las nuevas actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, stas se tendrn que realizar con la mayor brevedad posible.
Pgina B.6

Parte 2.desbloqueado

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Parte 2.desbloqueado

Загружено:

Авторское право:

Доступные форматы

INSTITUTO POLITCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA

MAESTRO EN CIENCIAS EN INGENIERA DE SISTEMAS

ING. ISRAEL FRANCISCO MONTOYA FIERROS

Captulo 2.2.1 2.2 2.3 2.4

Captulo 3.3.1 3.2

119 119 131 132 133 134

Bibliografa. Referencias a Internet. Anexos. Anexo A. Anexo B.

Captulo 2.Figura 2.1 Figura 2.2 Figura 2.3

Sistemas Computacionales. Informtica.

Sistema de Informacin Informtico.

Trmino Estrategia Institucional de Sistemas de Informacin Informticos

Tecnologas de la Informacin y Comunicaciones TICs / TI

Arquitectura Orienta a Servicios (por sus siglas en ingls, SOA)

Recuperacin de los Servicios del Negocio Plan de Recuperacin del Negocio

Trmino Evaluacin del Riesgo

Anlisis de Impacto al Negocio (por sus siglas en ingls, BIA)

Warm Site RFP/RFQ QoS

Trmino High Availability

Single Point of Failure Downtime

Introduccin y Presentacin al Proyecto de Tesis

Introduccin y Presentacin al Proyecto de Tesis

TCNICAS (Cmo hacerlo?)

HERRAMIENTAS (Con qu hacerlo?)

METAS (Qu obtener en particular?)

Recopilar informacin del tema. Desarrollar el marco metodolgico.

Definir el marco conceptual.

-Libros, -Revistas -Internet. -Procesador de palabras.

10. Presentar el examen de grado.

Introduccin y Presentacin al Proyecto de Tesis

Figura 0.1 Estructura del documento del proyecto de tesis.

Introduccin y Presentacin al Proyecto de Tesis

Captulo 1 Marco Terico Conceptual y Contextual

Plan de Recuperacin de Desastres (DRP)

Figura 1.1 Pirmide Conceptual adaptada de [Galindo, 2005]

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

La figura 1.2, muestra la evolucin de los conceptos de continuidad:

Figura 1.2 Evolucin de los Conceptos de Continuidad [fuente Insys, 2009].

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 1 Marco Terico Conceptual y Contextual

Cuadro 1.1 Criterios de la Seguridad de la Informacin [Fuente KPMG, 2010].

Establecer Requisitos y Expectativas

Mantener y Mejorar Act

Gestinde Gestin de riesgos riesgos

Manejode Manejo incidentes crisis

Impulsores decreacin devalor

Plande Recuperacin ante Desastres

Check Monitorear y Revisar

Captulo 1 Marco Terico Conceptual y Contextual

Captulo 2 Anlisis, evaluacin y diagnstico de la situacin actual

Captulo 2 Anlisis, evaluacin y diagnstico de la situacin actual

Captulo 2 Anlisis, evaluacin y diagnstico de la situacin actual

ITIL DRII ISO9001 ISO20000 ISO27001

BS25999 CMMI/SSE CMM COBIT/ISO38500 COSO ValIT BSC PMBOK/PRINCE2 SOX,BASILEAII,PCI

Figura 2.2 Convergencia de estndares y mejores prcticas [Elaboracin propia].

Captulo 2 Anlisis, evaluacin y diagnstico de la situacin actual