Visión actual de

la continuidad
de negocio
 Planes de Contingencia / PCN

• ¿Qué es un Plan de Contingencia?

• ¿Por qué es necesario implementarlo?

• ¿Qué gana la empresa con este plan?

• Y si no lo tiene ¿a qué se expone?

• ¿Está la empresa obligada a implantarlo?

 ¿Está mi empresa obligada?

• “Core business” en muchos sectores

• En otros sectores, sobre todo imposición del
cliente
• Tibia exigencia legal, por el momento
– Copias de seguridad semanales
• Sin embargo…
– “Los empresarios o profesionales deberán conservar, durante el plazo que resulte de lo
dispuesto por la Ley General Tributaria, los documentos a que se refiere el artículo 19.1 del
Reglamento por el que se regulan las obligaciones de facturación.
– Esta obligación podrá ser realizada directamente por el propio obligado tributario o por un
tercero, actuando este último en nombre y por cuenta del primero, con quien deberá tener el
correspondiente acuerdo de prestación de servicios.
– En cualquier caso, el obligado tributario será el único responsable del cumplimiento de todas
las obligaciones que se establecen en el artículo 19.1 del citado Reglamento, debiendo
asegurarse de la existencia de las copias de seguridad necesarias y de que se apliquen
las medidas técnicas y los planes de contingencias necesarios que permitan
garantizar la recuperación de los archivos informáticos en caso de siniestro o avería del
sistema informático en el que se almacenan las facturas o documentos sustitutivos
electrónicos. “
ORDEN EHA/962/2007, de 10 de abril, por la que se
desarrollan determinadas disposiciones sobre facturación
telemática y conservación electrónica de facturas
Planes de Contingencia / PCN
Planes de Contingencia / Continuidad de negocio

Dif. plan de contingencia – plan de continuidad de negocio

• Plan de contingencia (recuperación de desastres):

• Restauración de operaciones habituales después de

un incidente no planificado (desastre)
• Recupera todas las operaciones
• Asociado a sistemas de información

• Plan de continuidad del negocio:

• Solamente se ocupa de las operaciones de negocio

críticas necesarias para continuar el funcionamiento
después de un incidente no planificado
• Recupera los mínimos requerimientos para proporcionar
los servicios a los clientes y usuarios
• Asociado a negocio
 Planes de Contingencia / PCN

El Plan de Continuidad de Negocio debe responder a preguntas como:

• ¿Dónde se presentarán a trabajar los empleados?

• ¿Cómo se recibirán las órdenes mientras los sistemas se restablecen?

• ¿A qué directivo de la organización debo contactar primero?

• ¿A qué proveedores debo llamar para restablecer el servicio de

suministro?

• ¿Debe detallar la organización a la prensa lo sucedido?

• ¿Cuándo una incidencia se convierte en un desastre?

 Planes de Contingencia / PCN

Análisis del impacto sobre el negocio

• Consiste en la identificación de los diversos eventos que

podrían impactar sobre la continuidad de las operaciones
y su impacto financiero, humano y de reputación sobre la
organización.
• Ha de responder a tres preguntas clave:
• ¿Cuáles son los recursos críticos de información
relacionados con los procesos críticos del negocio
de la organización?
• ¿Cuál es el período de tiempo de recuperación
crítico para los recursos de información en el cual
se debe restablecer el procesamiento del negocio
antes de que se experimenten pérdidas
significativas o inaceptables?
• ¿Qué consecuencias tendría un desastre en mis
activos de negocio?
Planes de Contingencia / PCN
 Fases: Planificación (I)

• Desarrollar estrategias de recuperación

basadas en determinar:
– Aplicaciones a recuperar en el período de
recuperación crítico
– Interrelaciones de usuarios y
procesamientos de datos
– Prioridades de procesamiento
– Contratos con los sitios alternativos
– Costes
• Coste del tiempo improductivo por el desastre
• Coste de la estrategia de corrección elegida
 Fases: Planificación (II)

• Desarrollar estrategias de recuperación (cont.)

– Información off-site
• Precauciones
• Seguridad en las instalaciones
• Backup de documentación y soportes
• Procedimientos de backup periódicos
– Frecuencia y rotación
– Tipos de soportes y documentación
– Mantenimiento de registros
 Planes de Contingencia / PCN

Recovery Point Objective (RPO): pérdida de datos admisible

Recovery Time Objective (RTO): tiempo máximo de recuperación

Service Delivery Objective (SDO): nivel de servicio en proceso alterno

 Planes de Contingencia / PCN
Clasificación de los sistemas (Fuente ISACA: www.isaca.org)

• Crítico:
• Sólo pueden ser reemplazados por capacidades idénticas
• No pueden ser reemplazadas por métodos manuales
• Baja tolerancia a la interrupción
• Coste de interrupción muy alto

• Vital:
• Realización manual sólo durante un período breve de tiempo
(Marco de tiempo de 5 días o menos)
• Costes de interrupción más bajos que los críticos

• Sensibles:
• Las funciones pueden realizarse manualmente a un coste
tolerable y durante un período largo de tiempo
• Proceso difícil de recuperación

• No crítico:
• Funciones que pueden ser interrumpidas durante mucho tiempo
• Escaso esfuerzo y coste para su restauración
Planes de Contingencia / PCN
Alternativas de recuperación

• Categorías de costes:
• Costo de suscripción
• Cuota mensual
• Cuotas de prueba
• Coste de activación

• Tipología de sitios alternativos:

• Hot sites
• Warm sites
• Cold sites
• Instalaciones duplicadas
• Sitios móviles
• Acuerdos recíprocos
 Planes de Contingencia / PCN
Aspectos contractuales
• El contrato de servicio de recuperación debe incluir:
• Glosario: definiciones detalladas
• Configuraciones
• Velocidad de disponibilidad
• Suscriptores por sitio y área
• Preferencia
• Cobertura de seguros
• Período de uso máximos y mínimos
• Comunicaciones
• Garantías (responsabilidad civil)
• Cláusula de auditoría
• Ejecución de pruebas
• Confiabilidad de las instalaciones
 Planes de Contingencia / PCN

Organización y asignación de responsabilidades

• El plan debe contener los equipos con sus responsabilidades
asignadas en el caso de un desastre

 Equipo de respuesta ante incidentes

 Equipo de acción de emergencia
 Equipo de evaluación de daños
 Equipo administrador de la emergencia
 Equipo de almacenamiento off-site
 Equipo de software y aplicaciones
 Equipo de seguridad
 Equipo de operaciones de emergencia
 Equipo de recuperación de red
 Equipo de comunicaciones
 Equipo de hardware de usuario
 Equipo de soporte administrativo...
 Planes de Contingencia / PCN
Componentes de un PCN

• Listado de personal clave para la toma de decisiones:

• “Árbol de llamadas”: directivos, proveedores, agentes
seguros, RR.PP, asuntos legales, etc

• Documentación necesaria:
• Procedimientos de recuperación de SITI
• Formularios de negocio: hojas de pedido, cheques, etc.

• Métodos de recuperación de redes de telecomunicaciones

• Redundancia, direccionamiento alternativo, recuperación de
voz, etc

• Sistemas RAID, etc

 Planes de Contingencia / PCN
Cobertura aseguradora

• Cobertura disponible en:

• Equipo e instalaciones de SI
• Recuperación de medios
• Software, discos, cartuchos, cintas
• Gastos adicionales
• Interrupción del negocio: lucro cesante
• Documentación y registros valiosos
• Responsabilidad civil por errores y omisiones
• Cobertura de fidelidad
• Transporte de medios
Planes de Contingencia / PCN

• Fases de la prueba
– Pretest
– Test
– Post-test

• Tipos de pruebas
– Prueba en papel
– Prueba de preparación
– Prueba operativa
 Planes de Contingencia / PCN

• Documentación de los resultados

– Observaciones, problemas y soluciones
– Información histórica

• Análisis de los resultados

– Tiempo
– Cantidad
– Cuenta
• Registros vitales recuperados
• Sistemas críticos recuperados
– Exactitud
• Porcentaje en términos de rendimiento