Guia para La Elaboracion Plan de Contingencia PDF

Guía de Desarrollo de un Plan de
Continuidad de Negocio
Guía de Desarrollo de Plan de Continuidad de Negocio
Índice
1. INTRODUCCIÓN ....................................................................................................................... 1
2. OBJETO DE LA GUIA ............................................................................................................... 2
3. ANTECEDENTES ........................................................................................................................ 3
4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5
5. POR DÓNDE EMPEZAMOS..................................................................................................... 7
6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS ............................ 9
6.1 ANÁLISIS DE IMPACTO ................................................................................................... 10

6.1.1 RELACIÓN DE PROCESOS.................................................................................................... 11
6.1.2 RELACIÓN DE APLICACIONES............................................................................................... 11
6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 12
6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS ............................................................................... 12
6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN ................................................................................... 12
6.2 ANÁLISIS DE RIESGOS ................................................................................................... 14
6.2.1 IDENTIFICAR ACTIVOS ......................................................................................................... 15
6.2.2 IDENTIFICAR AMENAZAS ...................................................................................................... 16
6.2.3 EVALUAR VULNERABILIDADES ............................................................................................. 17
6.2.4 EVALUACIÓN DEL IMPACTO ................................................................................................. 18
6.2.5 EVALUACIÓN DEL RIESGO ................................................................................................... 18
6.2.6 EVALUAR CONTRAMEDIDAS ................................................................................................. 20
7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 22
7.1 SELECCIÓN DE ESTRATEGIAS ........................................................................................ 22
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25
8.1 ORGANIZACIÓN DE LOS EQUIPOS.................................................................................. 25

8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS ............................................................................... 26
8.1.2 EQUIPO DE RECUPERACIÓN ................................................................................................ 26
8.1.3 EQUIPO LOGÍSTICO ............................................................................................................. 26
8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES.................................................. 27
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27
8.2 DESARROLLO DE PROCEDIMIENTOS ............................................................................ 28
8.2.1 FASE DE ALERTA ................................................................................................................ 29
8.2.2 FASE DE TRANSICIÓN ......................................................................................................... 31
Índice
8.2.3 FASE DE RECUPERACIÓN .................................................................................................... 32

8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 33
8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN .......................................................................... 33
9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34
9.1 PRUEBAS ............................................................................................................................ 34

9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS ...................................................................................... 34
9.2 TIPOS DE PRUEBAS ......................................................................................................... 34
9.2.1. EJERCICIOS TÉCNICOS ................................................................................................... 35
9.2.2. TEST COMPLETO ............................................................................................................ 35
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD ............................................................ 36
ANEXOS ............................................................................................................................................... 37
ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ................................. 38
ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41
ANEXO III – EJEMPLOS DE VULNERABILIDADES .......................................................................... 43
ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS............................................................................... 44
ANEXO V – SITIOS DE INTERÉS........................................................................................................ 45
CASO DE ESTUDIO ............................................................................................................................. 47
ANTECEDENTES ............................................................................................................................. 47

ANÁLISIS DE IMPACTO ................................................................................................................ 48
COMPONENTES DE LOS PROCESOS ...................................................................................... 48
PROCESO PEDIDOS................................................................................................................... 48
PROCESO DE NÓMINAS ............................................................................................................ 50
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS .................................................. 52
ANÁLISIS DE RIESGOS ................................................................................................................ 53
INVENTARIO DE ACTIVOS ......................................................................................................... 53
LISTADO DE AMENAZAS ............................................................................................................ 53
VULNERABILIDADES .................................................................................................................. 54
EVALUACIÓN DE RIESGOS ....................................................................................................... 55
RECOMENDACIONES - CONTRAMEDIDAS .............................................................................. 55
ESTRATEGIA DE RECUPERACIÓN .............................................................................................. 56
DESARROLLO DEL PLAN .............................................................................................................. 57
COMITÉ DE CRISIS ..................................................................................................................... 57
EQUIPO DE RECUPERACIÓN .................................................................................................... 58
Índice
EQUIPO DE COORDINACIÓN LOGÍSTICA................................................................................. 59

EQUIPO DE RELACIONES PÚBLICAS ....................................................................................... 60
EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 61
FASE DE ALERTA ........................................................................................................................... 62
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE ............................................................................ 62
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN ........................................................................................ 62
PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN ............................................................. 62
FASE DE TRANSICIÓN.................................................................................................................. 64
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS ................................... 64
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN ......................................... 64
FASE DE RECUPERACIÓN ............................................................................................................ 65
PROCEDIMIENTO DE RESTAURACIÓN ................................................................................................ 65
PROCEDIMIENTO DE SOPORTE Y GESTIÓN ......................................................................................... 65
FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66
ANÁLISIS DEL IMPACTO .................................................................................................................... 66
ADQUISICIÓN DE NUEVO MATERIAL ................................................................................................... 66
FIN DE LA CONTINGENCIA ................................................................................................................. 66
CONCLUSIONES............................................................................................................................. 67
BIBLIOGRAFÍA..................................................................................................................................... 68
Introducción
1. INTRODUCCIÓN
Dentro de la Gestión de la Seguridad de la Información en una compañía es

importante contar con un plan alternativo que asegure la continuidad de la
actividad del Negocio en caso de que ocurran incidentes graves.
Tradicionalmente, los Planes de Continuidad, denominados Planes de

Contingencia en sus orígenes, están asociados a grandes compañías que
necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa
sus servicios. La realidad es que cualquier compañía puede sufrir un incidente
que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho
incidente, las consecuencias pueden ser más o menos graves.
Esta guía pretende desglosar las actividades necesarias para desarrollar un Plan
de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al
lector a entender cada una de las fases y tareas que componen el Plan.
Es importante destacar que la guía puede servir para desarrollar un Plan de

Continuidad de Negocio tanto en una gran compañía como en una Pyme, aunque
consecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarán
sensiblemente.
1
Objeto de la Guía
2. OBJETO DE LA GUIA
Una de las motivaciones que me ha llevado a desarrollar esta guía es la poca

información que he encontrado que contenga una descripción detallada de las
fases y tareas que componen un Plan de Continuidad. Por ello, los principales
objetivos son:
o Dar a conocer la importancia del Plan de Continuidad de Negocio para

hacer frente a incidentes graves de seguridad en una compañía.
o Desarrollar una Guía completa sobre Continuidad de Negocio, donde se

muestren cada una de las fases que componen el Plan.
o Resumir de forma clara y sencilla cada una de las actividades a desarrollar

dentro de las Fases del Plan de Continuidad.
o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de

Continuidad.
2
Antecedentes
3. ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unas

pocas horas de duración puede tener un impacto catastrófico en los resultados y
en la imagen de la organización que lo sufra.
La íntima dependencia que existe entre el negocio y los sistemas de información

exige que éstos estén preparados para afrontar las múltiples amenazas que
ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.
El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de
2005 o el Huracán Katrina en agosto de ese mismo año, son dos ejemplos que
vienen a sumarse a sucesos, como los atentados del 11-S del año 2001. Sin
embargo, en no pocas ocasiones no es necesario un desastre de dimensiones
parecidas a las de los mencionados anteriormente para poner en peligro no sólo
la buena marcha del negocio sino su misma supervivencia; eventos como la
irrupción de un virus o la instalación de un parche de seguridad pueden conducir
a la inoperabilidad temporal de los sistemas, la pérdida de información crítica o,
en última instancia, la inutilización de las infraestructuras.
Tipos de incidentes
No sólo las catástrofes ambientales, tales como incendios o inundaciones,

pueden causar daños adversos a una organización. Otros tipos de incidentes,
como los que se detallan a continuación, pueden tener impactos adversos para
una compañía:
• Incidentes serios de seguridad en los sistemas, como delitos

cibernéticos, pérdida de información, robo de información sensible o
su distribución accidental, fallos en los sistemas IT, errores de
operación en los sistemas, etc.
• Daños en las infraestructuras o en los servicios, fallos en el

suministro eléctrico, fallos en el suministro de agua, fallos en las
comunicaciones, huelgas en los servicios de limpieza.
• Fallos en los equipos o en los sistemas, incluyendo fallos en las

fuentes de alimentación, en los equipos de refrigeración.
• Daños deliberados como actos de terrorismo o de sabotaje, guerras,

robos, huelgas, etc.
Los accidentes afectan de forma diferente a cada organización, dependiendo de

su tamaño y de su área de actividad, no siendo el tamaño una característica
3
Antecedentes
fundamental; las pequeñas y medianas organizaciones también pueden verse

seriamente afectadas.
Las consecuencias de estos accidentes sobre las organizaciones que no tienen un

plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las
mismas. Tomemos como ejemplo las siguientes cifras:
• Un 43% de las organizaciones después de un accidente no podrán

continuar sus operaciones viéndose obligadas a cerrar.
• Un 80% tendrán que hacerlo en menos de 13 meses.
• Un 53% de los clientes de estas organizaciones no recuperarán las

pérdidas causadas por los daños derivados.
• Un 50% se verán forzadas a cerrar antes de cinco años después del

desastre.
Fuente: Cámara de Comercio de Londres
A pesar de que los efectos inmediatos de un desastre aparentemente son la

pérdida de beneficios por la parada de actividad puntual y la incapacidad para
proveer servicios críticos, no son éstos los efectos más perniciosos que un
incidente de este tipo provoca.
Otros efectos derivados que pueden causar un gran impacto en la compañía son
la pérdida de reputación de cara a los clientes, o la pérdida de ventaja
competitiva con otras compañías.
4
¿Qué es un Plan de Continuidad de Negocio?
4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO?
Un Plan de Continuidad de Negocio se compone de varias fases que comienzan

con un análisis de los procesos que componen la organización. Este análisis
servirá para priorizar qué procesos son críticos para el negocio y establecer una
política de recuperación ante un desastre. Por cada proceso se identifican los
impactos potenciales que amenazan la organización, estableciendo un plan que
permita continuar con la actividad empresarial en caso de una interrupción.
Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,

está orientado al mantenimiento del negocio de la organización, con lo que
priorizará las operaciones de negocio críticas necesarias para continuar en
funcionamiento después de un incidente no planificado.
En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas

clave:
• ¿Cuáles son los recursos de información relacionados con los procesos

críticos del negocio de la compañía?
• ¿Cuál es el período de tiempo de recuperación crítico para los recursos

de información en el cual se debe establecer el procesamiento del negocio
antes de que se experimenten pérdidas significativas o aceptables?
Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que

se toman durante un período en que los errores pueden resultar mayores. El Plan
establecerá, organizará y documentará los riesgos, responsabilidades, políticas y
procedimientos, acuerdos con entidades internas y externas.
La activación de un Plan de Continuidad debería producirse solamente en

situaciones de emergencia y cuando las medidas de seguridad hayan fallado.
BENEFICIOS
• Identifica los diversos eventos que podrían impactar sobre la continuidad

de las operaciones y su impacto financiero, humano y de reputación sobre
la organización.
• Obliga a conocer los tiempos críticos de recuperación para volver a la

situación anterior al desastre sin comprometer al negocio.
• Previene o minimiza las pérdidas para el negocio en caso de desastre.
• Clasifica los activos para priorizar su protección en caso de desastre.
• Aporta una ventaja competitiva frente a la competencia.

5
¿Qué es un Plan de Continuidad de Negocio?
• Fomenta e implica a los recursos humanos de la compañía en las

actividades de continuidad.
¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN?
Una pregunta que podemos hacernos es si el tamaño de una organización

determina la necesidad o no de tener un Plan de Continuidad. Se puede
responder a esta pregunta diciendo que NO. Si una organización es muy grande,
con beneficios millonarios, con grandes edificios y gran número de empleados, o
si se trata de una persona trabajando en una pequeña oficina con 5 empleados,
ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los
pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos
casos sería más vital desarrollar un Plan de Recuperación de Negocio para los
pequeños negocios que para las grandes corporaciones.
6
¿Por Dónde Empezamos?
5. POR DÓNDE EMPEZAMOS

Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por
obtener un conocimiento de la compañía: sus productos/servicios, sus objetivos
empresariales, procesos internos, etc.
No es lo mismo un Plan de Continuidad para una empresa de servicios de

Internet que para una empresa fabricante de juguetes. Aunque en ambos casos
el objetivo será el de seguir dando servicio a sus clientes, las actividades y
procesos sobre las que se soporta la empresa tendrán diferentes prioridades de
recuperación ante una contingencia grave.
El propósito general de un Plan de recuperación es obtener un mapa de

acciones que reduzcan “la toma de decisiones” durante las operaciones de
recuperación, restaure los servicios críticos rápidamente y permita un normal
funcionamiento de los sistemas y procesos lo antes posible, minimizando costes
y aumentando la efectividad.
Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:
Figura 1. Diagrama de Fases del Plan de Continuidad
7
¿Por Dónde Empezamos?
FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS
Se trata de obtener un conocimiento de los objetivos de negocio y de los

procesos que se consideran críticos para el funcionamiento de la compañía. Una
vez identificados los procesos críticos, se analizarán cuáles son los riesgos
asociados a dichos procesos para identificar cuáles son las causas potenciales
que pueden llegar a interrumpir un negocio.
FASE II – SELECCIÓN DE ESTRATEGIAS
Esta fase tiene dos objetivos:
• Por un lado, valorar las diferentes alternativas y estrategias de respaldo en

función de los resultados obtenidos en la fase anterior, para seleccionar la
más adecuada a las necesidades de la compañía.
• Por otro lado, corregir las vulnerabilidades detectadas en los procesos

críticos de negocio identificadas en el Análisis de Riesgos.
FASE III- DESARROLLO DEL PLAN
Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e

implantarla dentro de la compañía. En esta fase se desarrollan los
procedimientos y planes de actuación para las distintas áreas y equipos, y se
organizan los equipos que intervienen en cada fase del Plan.
FASE IV – PRUEBAS Y MANTENIMIENTO
Una parte importante del Plan de Continuidad, es conocer que realmente

funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la
prueba del Plan, para afinarlo según los resultados. Además, en esta última fase
se definirán los procedimientos de mantenimiento del Plan.
8
FASE I. Análisis del Negocio y Evaluación de Riesgos
6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS

Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es
conocer y entender cuáles son los procesos de negocio que son esenciales dentro
de la compañía en la que se va a desarrollar el Plan, con el objetivo de asegurar
la continuidad de la actividad en caso de contingencia. Para ello debemos
empezar por responder a cuestiones tales como:
• ¿Cuáles son las actividades más importantes para la compañía?
• ¿Cómo afectaría económicamente una interrupción de los servicios a medida

que va pasando el tiempo sin reanudar el servicio?
• ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el

tiempo?
• ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en

graves pérdidas?
Las actividades/procesos que se clasifican como esenciales dentro de una

compañía suelen ser en su mayoría los Operacionales. Estos procesos interactúan
directamente con los clientes o con otras organizaciones externas a la compañía
(Dpto. de Ventas, Dpto. Atención al Cliente, etc.). También es posible, que estos
procesos dependan de otros internos, que también deben ser analizados.
Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias

de continuidad, vamos a utilizar dos mecanismos de análisis:
Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá

identificar la urgencia de recuperación de cada función de negocio, determinando
el impacto en caso de interrupción. Esta información nos permitirá seleccionar
cuál es la estrategia más adecuada.
Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y

analizar los diferentes factores de riesgo que potencialmente podrán afectar a las
actividades que queremos proteger. La evaluación de riesgos supone imaginarse
lo que puede ir mal y a continuación estimar el impacto que supondría para la
organización. Se ha de tener en cuenta la probabilidad de que sucedan cada uno
de los problemas posibles. De esta forma se pueden priorizar los problemas y su
coste potencial desarrollando un plan de acción adecuado.
9
6.1 ANÁLISIS DE IMPACTO
El Análisis de Impacto es esencial para establecer una estrategia de

recuperación, que en principio dará continuidad a las actividades críticas y
posteriormente al resto, si es posible.
El nivel de criticidad de una actividad dentro de la compañía se mide en función

de lo dependiente de ella, que es la organización y de lo que repercutiría su
indisponibilidad. En términos económicos esta valoración sería responder a la
pregunta de cuánto perdería la organización si la actividad/proceso no estuviera
disponible.
Dentro del Análisis de Impacto podemos distinguir las siguientes actividades:
• Obtención de la Relación de Procesos: Establecer los procesos de

negocio que se realizan en la compañía.
• Obtención de la Relación de Aplicaciones: Establecer la relación de

aplicaciones que soportan los procesos de la compañía.
• Relación de Departamentos y Usuarios: Se identifican los

departamentos que hay en la empresa y el nombre de las personas que la
componen y que intervienen en los procesos.
• Determinar cuáles son los Procesos Críticos: Pueden darse dos

valoraciones, una basada en la importancia para la compañía de los
procesos cuya ausencia tendría un impacto alto en la actividad de la
compañía (valoración cualitativa). La otra, se referiría a las pérdidas
económicas por período debido a la ausencia de los procesos (valoración
cuantitativa).
• Período Máximo de Interrupción: El acumulado de pérdidas suele ir

creciendo linealmente a medida que pasan los días y las actividades están
interrumpidas. No obstante, a partir de un momento que denominaremos
Período Máximo de Interrupción, las pérdidas sufren un aumento
significativo y las funciones no podrían ser reasumidas.
En los casos en que la organización tenga varias sedes, será necesario establecer
un alcance geográfico.
En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las

partes que componen el Análisis de Impacto. La recogida de esta información
permitirá evaluar las necesidades de la organización en materia de continuidad,
por lo que es importante que la información sea lo más completa posible.
10
6.1.1 RELACIÓN DE PROCESOS
Para obtener la información sobre los procesos y las aplicaciones que los
gestionan, es esencial la participación de las personas responsables de los
mismos dentro de la compañía, y de aquellos trabajadores que conocen en
profundidad los mismos. Para ello pueden utilizarse entrevistas personales y
cuestionarios que nos acercarán a los procesos críticos del negocio.
Podemos dividir los procesos en operativos y procesos de soporte. Los procesos

operativos son aquellos que guardan una relación directa con el cliente
(comercial, facturación, almacenaje, atención al cliente, etc.). Los procesos de
soporte, serían aquellos que facilitan los “recursos” para poder realizar los
procesos operativos (recursos humanos, gestión financiera, etc.)
6.1.2 RELACIÓN DE APLICACIONES
En este apartado debe recogerse el inventario de los recursos tecnológicos que

soportan los procesos de la compañía, a fin de identificar aquellos que den
soporte directo a los servicios críticos.
Los tipos de recursos que se deben analizar son:
• Hardware, identificando cada uno de los elementos hardware que soportan

los sistemas de información de la compañía.
• Software Base, recogiendo todos aquellos componentes de software, incluido

todos los asociados al sistema operativo, indispensables para el
funcionamiento y optimización del Sistema de Información de la compañía.
• Software de Aplicaciones, inventariando las aplicaciones de gestión que son

utilizadas en la empresa.
• Sistemas de Infraestructura, considerando aquellos elementos o

componentes que sin disponer de una tecnología enfocada propiamente al
tratamiento de la información sí son requeridos para garantizan la
operatividad del servicio.
11
6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS
Los procesos de la compañía están gestionados por departamentos/usuarios.

Dentro del inventario de procesos es necesario conocer el personal involucrado
en los mismos. Esta información puede obtenerse en las mismas entrevistas
donde se recoge la información de los procesos existentes y de los elementos
(hardware, software, etc.) que lo componen.
6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS
Esta tarea supone evaluar los impactos económicos y operacionales sobre el

negocio en caso de no disponer de la función analizada. La valoración de
pérdidas no es una cuestión sencilla, ya que pueden concurrir aspectos
intangibles, tales como la imagen de la organización ante sus clientes. Algunos
criterios que pueden ayudar a valorar las eventuales pérdidas pueden ser:
• Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que

no tengan alternativa manual o cuyo tratamiento manual suponga una
pérdida de eficiencia importante.
• Ingresos dejados de percibir.
• Penalizaciones por incumplimiento de contratos con clientes.
• Sanciones administrativas por incumplimiento de leyes debido a la falta

de control en situación de desastre (exposición de datos personales,
incumplimiento de normativa internacional como la Ley Sarbanes Oxley,
etc.).
• Gastos financieros.
Para simplificar esta valoración de los procesos podemos establecer una

clasificación numérica, asignando mayor prioridad (p.e. 1) a aquellos procesos
que se consideren más críticos y menor prioridad (p.e. 3) a aquellos que se
consideren menos críticos.
6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN
Una vez que obtenemos la visión del negocio, de los procesos que lo componen y
de la criticidad de cada uno de ellos, debemos establecer los tiempos de
recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al
negocio tras un incidente o contingencia grave con las menores pérdidas
económicas posibles para la compañía, deben estimarse para cada uno de los
12
procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas
económicas afectarían de forma grave a la compañía (Tiempo máximo de
interrupción). Esta estimación es importante de cara a seleccionar la estrategia
de respaldo adecuada a las necesidades de recuperación.
Pueden existir procesos en los que el tiempo de recuperación es muy pequeño

(horas), por ejemplo el servicio de banca electrónica de un banco, y otros
procesos como la facturación a clientes en una empresa de servicios, pueden
tener un periodo de recuperación mayor (días o semanas).
TIEMPO MÁXIMO DE INTERRUPCIÓN
MINUTOS HORAS DIAS SEMANAS MESES
TIEMPO DE RECUPERACIÓN OBJETIVO PERDIDAS ECOÓMICAS GRAVES

Figura 2. Tiempos de Recuperación
En definitiva, el Análisis de Criticidad nos da una visión de los procesos,

actividades y recursos a proteger con la prioridad de recuperación de cada uno
de ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.
13
6.2 ANÁLISIS DE RIESGOS
El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades

actuales que por su situación o su importancia pueden poner en marcha, antes
de lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debe
centrarse en los procesos/actividades del negocio que se han considerado
críticos, aunque también puede extenderse a aquellos que no lo son.
La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación

estimar el coste que supondría. Se ha de tener en cuenta la probabilidad de que
sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar
los problemas y su coste potencial desarrollando un plan de acción adecuado.
En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha de

contestar, con la mayor fiabilidad posible, a las siguientes preguntas:
¿Qué se intenta proteger?
¿Cuál es su valor para uno o para la organización?
¿Frente a qué se intenta proteger?
¿Cuál es la probabilidad de un ataque?
ESQUEMA DEL ANÁLISIS DE RIESGOS
Figura 3. Esquema Análisis de Riesgos
14
Existen diferentes metodologías de Análisis de Riesgos:
• MARION
• OCTAVE
• MAGERIT
Para el desarrollo de esta guía no se ha seleccionado ninguna metodología

concreta, sino que se realiza una descripción general de los pasos que componen
un Análisis de Riesgos.
6.2.1 IDENTIFICAR ACTIVOS
Para cada uno de los procesos críticos de la compañía es necesario realizar un

inventario de los activos involucrados en el proceso. Los activos se definen como
los recursos de una compañía que son necesarios para la consecución de sus
objetivos de negocio. Ejemplos de activos de una compañía pueden ser:
• Información
• Equipamiento
• Conocimiento
• Sistemas
Nota: en el apartado anterior, se ha obtenido gran parte de esta información,

sobre los activos que componen los procesos críticos.
Cada activo de la compañía tendrá unos costes asociados. En algunos casos

estos costes pueden ser cuantificados con un valor económico (activos tangibles)
como el software o el hardware, y en otros casos es más complicado cuantificar
el activo con valores monetarios (activos intangibles) tales como el prestigio o la
confianza de los clientes.
El proceso de elaborar un inventario de activos es uno de los aspectos

fundamentales de un correcto análisis de riesgos. En este inventario se
identificará claramente su propietario y su valor para la organización, así como
su localización actual.
A continuación se incluye un esquema con la relación existente entre los

diferentes elementos que intervienen en el Análisis de Riesgos.
15
Figura 4. Componentes del Análisis de Riesgos
6.2.2 IDENTIFICAR AMENAZAS
Una amenaza se define como un evento que puede desencadenar un incidente en

la organización, produciendo daños materiales o pérdidas inmateriales en sus
servicios.
A la hora de analizar los riesgos hay que evaluar las distintas amenazas que
pueden provenir de las más diversas fuentes. Entre éstas se incluyen los
agresores malintencionados, las amenazas no intencionadas y los desastres
naturales.
La siguiente ilustración clasifica las distintas amenazas a los sistemas.
Figura 5. Clasificación General de Amenazas
16
Dependiendo de la organización y el proceso analizado, serán aplicables distintos

tipos de amenazas. Las amenazas tendrán una probabilidad de ocurrencia
que dependerá de la existencia de una vulnerabilidad que pueda ser explotada,
para materializarse en un incidente. Por ejemplo una amenaza del tipo de
desastre natural como es un terremoto, tendrá una mayor probabilidad de
ocurrencia en una empresa con oficinas en Japón, donde los terremotos ocurren
con mayor frecuencia, que en España. Por lo tanto, a priori podemos decir que el
riesgo de daño por terremoto en una compañía situada en Japón es mayor que el
de una compañía situada en España.
A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta más

complicado valorar las amenazas humanas (ataques maliciosos, robos de
información, etc.), que las amenazas naturales. En el componente humano
existen dos factores a tener en cuenta:
AMENAZA= CAPACIDAD X MOTIVACIÓN
La motivación es una característica humana que es difícil de valorar, pero que sin
embargo es un factor a considerar: empleados descontentos, ex-empleados, etc.
En el anexo II se recogen algunos ejemplos de posibles amenazas.
Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a
la organización de forma grave y valorar la probabilidad de que se conviertan en
un incidente real.
6.2.3 EVALUAR VULNERABILIDADES
Las vulnerabilidades son debilidades que pueden ser explotadas para convertir
una amenaza en un riesgo real que puede causar daños graves en una
compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es
una condición o un conjunto de condiciones que pueden permitir a una amenaza
afectar a un activo.
En el anexo III se recogen algunos ejemplos de vulnerabilidades.
Para identificar las vulnerabilidades que pueden afectar a una compañía debemos
responder a la pregunta: ¿Cómo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como objetivo la amenaza y definimos

las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro
de la compañía puede darse esa circunstancia; es decir, si el nivel de protección
es suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra
17
Amenaza es que nos roben datos estratégicos de la compañía, podemos

establecer, entre otros, los siguientes escenarios:
ESCENARIOS NIVEL DE PROTECCIÓN
1. Entrada no autorizada a los datos ¿Existe un control de acceso a los datos?

a través del sistema informático.
2. Robo de datos de los dispositivos ¿Están los dispositivos de

de almacenamiento magnético. almacenamiento protegidos y
controlados de forma adecuada?
3. Robo de datos mediante accesos ¿Existen perfiles adecuados de acceso a

no autorizados. los datos?
Figura 6. Cuadro de Escenarios
Si no se responde afirmativamente a las preguntas de la columna derecha, es

que existen vulnerabilidades que podrían utilizarse de forma que la amenaza se
convierta en un incidente real, y causar daños importantes en la compañía.
6.2.4 EVALUACIÓN DEL IMPACTO
Los incidentes causan un impacto dentro de la organización, que también

deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del
impacto puede realizarse de forma cuantitativa, estimando las pérdidas
económicas, o de forma cualitativa, asignando un valor dentro de una escala
(p.e. alto, medio, bajo).
Por ejemplo, el robo de información confidencial de la compañía puede causar un

impacto alto si ésta cae en malas manos.
En otro caso, podemos estimar las pérdidas económicas de equipos tangibles

valorando el coste de reposición y puesta en marcha.
6.2.5 EVALUACIÓN DEL RIESGO
Riesgo es la posibilidad de que se produzca un impacto determinado en la

organización. El riesgo calculado es simplemente un indicador ligado al par de
18
valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la

relación entre el activo y la amenaza a la que el riesgo calculado se refiere.
PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD
RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO
El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A

continuación se muestra un ejemplo de una matriz de probabilidad/impacto:
RIESGO RIESGO RIESGO

ALTO
MEDIO ALTO ALTO

PROBABILIDADD
MEDIO

BAJO MEDIO ALTO

BAJO
BAJO BAJO MEDIO
BAJO MEDIO ALTO
IMPACTO
Figura 7. Matriz de Riesgos
Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades)

y el impacto sobre la compañía sea también bajo, estaremos en un nivel de
riesgo bajo.
Sin embargo, si existen vulnerabilidades que aumenten la probabilidad de

ocurrencia o el impacto del incidente sea alto para la compañía, estaremos en
unos niveles de riesgo medio-alto.
A modo de ejemplo se muestra la siguiente tabla:
19
DESCRIPCIÓN PROBAB IMPACTO RIESGO
Terremoto en ciudades situadas fuera de

BAJA MEDIO BAJO
fallas sísmicas
Terremoto en ciudades situadas sobre fallas
ALTA MEDIO ALTO
sísmicas
Robo de información confidencial compañía
BAJA ALTO MEDIO
con control de acceso lógico
Robo de información confidencial compañía
ALTA ALTO ALTO
sin control de acceso lógico
Una vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos.
Se pueden tomar diferentes caminos:
• Transferir el riesgo a través de seguros o subcontratando la gestión del

riesgo a terceras empresas.
• Aceptar el riesgo (posicionamiento aprobado por la dirección de la
compañía).
• Reducir el riesgo con controles que los mitiguen.
• Eliminar el riesgo (eliminando la causa o el foco del riesgo).
6.2.6 EVALUAR CONTRAMEDIDAS
Para reducir riesgos se utilizan los denominados controles o medidas de

seguridad. Podemos clasificar los controles en:
• Controles preventivos
o Identifican potenciales problemas antes de que ocurran
o Previenen errores, omisiones o actos maliciosos.
Ejemplos:
• Realizar copias de seguridad de los archivos.
• Contratar seguros para los activos.
• Establecer procedimientos / políticas de seguridad.
• Establecer control de acceso a la información.
• Establecer control de acceso físico.
• Controles detectivos
o Identifican y “reportan” la ocurrencia de un error, omisión o acto

malicioso ocurrido.
20
Ejemplos:
• Monitorización de eventos.
• Auditorías internas.
• Revisiones periódicas de procesos.
• Sensores de humo.
• Detección de virus (Antivirus).
• Controles Correctivos
o Minimizan el impacto de una amenaza.

o Solucionan errores detectados por controles detectivos.
o Identifican la causa de los problemas con el objeto de corregir
errores producidos.
o Modifican los procedimientos para minimizar futuras ocurrencias del
problema.
Ejemplos:
• Parches de seguridad.
• Corrección de daños por virus.
• Recuperación de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporción
entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan
(evaluación del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible
que se produzcan incidentes que hagan necesaria su ejecución. Por ello, es
importante que la compañía conozca sus riesgos y ponga las medidas adecuadas
para corregir el mayor número de vulnerabilidades que puedan provocar un
incidente grave.
La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de

gestión de riesgos de la organización y en función de la evolución del negocio
(crecimiento), de cambios importantes en la organización (procesos internos),
nuevas obligaciones legales, etc.
21
FASE II. Estrategia de Respaldo
7. FASE II. ESTRATEGIA DE RESPALDO
En esta fase se seleccionarán los métodos operativos alternativos que se van a

utilizar en el caso de que ocurra un incidente que provoque una interrupción en
la organización. El método seleccionado deberá garantizar la restauración de los
procesos afectados en los tiempos determinados por el Análisis de Impacto.
7.1 SELECCIÓN DE ESTRATEGIAS
Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada

una de estas estrategias tiene unos parámetros de tiempo, disponibilidad y
costes asociados que serán más o menos apropiados dependiendo de las
funciones de negocio.
A continuación se describen diferentes estrategias para reubicación funcional:
• No hacer nada: Este tipo de actuación podría utilizarse en aquellas

funciones o actividades que se han clasificado como “no urgentes” en el
Análisis de Impacto. En este tipo de estrategia se asume el riesgo.
• Utilización de espacios propios: Espacios existentes en la compañía

tales como salas de formación, cafeterías, etc. Este tipo de estrategia
requiere una planificación minuciosa.
• Reutilización de recursos: Reubicación de personal con funciones no

urgentes en tareas que requieren una mayor prioridad. En este caso se
debe poner cuidado en convertir la función no urgente en urgente por ser
desatendida durante demasiado tiempo.
• Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde

ubicaciones exteriores a la compañía mediante conexión remota.
• Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos

unidades de negocio de la propia compañía diferentes) con características
de equipamiento/espacio similares que permitiría a cada una de las partes
recuperar funciones en la otra localización. En este caso es importante
definir las condiciones de uso y la realización de pruebas periódicas para
asegurar las condiciones pactadas.
• Sitio alternativo subcontratado a terceros: Contratación con

compañías especializadas de espacios alternativos para la recuperación de
la actividad. En este caso hay que asegurar que estas compañías pueden
22
proporcionar unos tiempos de recuperación acordes con las necesidades

de la organización. Este tipo de compañías pueden proporcionar diferentes
de soluciones:
o Espacio dedicado: Se garantiza la disponibilidad inmediata del

espacio. En contrapartida este servicio es más caro que otras
alternativas.
o Espacio compartido: Se comparte el espacio con otras compañías.
Es más barato que un centro dedicado.
o Espacios móviles: Se pueden utilizar rápidamente, pero tienen un
espacio limitado.
o Módulos prefabricados: Pueden tardar unos días en estar
disponibles para su uso.
• Localizaciones diversas: Se traslada la operación pero no el personal.
• Centro replicado: Solución que permite trasladar de forma inmediata la

operación y continuar la actividad de forma inmediata. También puede
denominarse “centro espejo”. Esta solución es normalmente la más cara,
pero también la mejor solución en el caso de que se necesite una
recuperación muy rápida de la operación.
A continuación se muestra una tabla que recoge la relación entre el Tiempo

Objetivo de recuperación y la solución de continuidad más adecuada a este
Objetivo:
TIEMPO OBJETIVO DE
INTERNAS CONTRATADO
RECUPERACIÓN
MESES Reconstrucción / ----

Realojamiento
SEMANAS Edificios prefabricados On- Contratación de unidades

Site móviles o prefabricados
DIAS Recuperación “in situ” Subcontratación de procesos en

oficinas móviles
Trabajo en casa
HORAS Localizaciones diversas con Re-localización de un grupo de

empleados formados personas
INMEDIATO Localizaciones diversas para Cambio de funcionamiento a un

la misma función centro de respaldo subcontratado
Figura 8. Tabla de Estrategias de Recuperación
Fuente: Business Continuity Institute.
23
De todas las alternativas existentes hay que elegir la más adecuada en cada
caso. Dependerá de las necesidades de cada compañía, en cuanto a tiempos de
recuperación, costes económicos, recursos, etc.
Además deberá considerarse otros factores como:
• Ubicación y superficie requerida
o Espacio suficiente
o Zonas acondicionadas para acoger a personal
• Recursos técnicos necesarios:
o Hardware
o Software
o Comunicaciones
o Datos de respaldo
• Recursos humanos requeridos
o Recursos materiales y de infraestructura
o Servicios auxiliares necesarios
o Tiempos de activación
o Coste
Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayor
será el coste de la solución. Por ello es conveniente realizar un análisis con
tiempos de recuperación adecuados y adaptados a la realidad de la compañía.
Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como
respaldo en caso de interrupción del negocio, pasaremos a desarrollar todos los
procedimientos, funciones y actividades que permitirán restablecer los procesos
de negocio en unos plazos razonables.
24
Fase III. Desarrollo del Plan de Continuidad
8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD
Hasta este momento hemos obtenido:
• Conocimiento de los procesos de la compañía, valorando cuáles son

críticos para el funcionamiento del negocio.
• Valoración de los riesgos que pueden afectar al negocio y que pueden

disparar el Plan de Continuidad de Negocio.
• Estrategia de Continuidad más adecuada para el negocio.
A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Para ello

definiremos:
• Los equipos necesarios para el desarrollo del Plan.
• Las responsabilidades y funciones de cada uno de los equipos.
• Las dependencias orgánicas entre los diferentes equipos.
• El desarrollo de los procedimientos de alerta y actuación ante eventos que

puedan activar el Plan.
• Los procedimientos de actuación ante incidentes.
• La estrategia de vuelta a la normalidad.
8.1 ORGANIZACIÓN DE LOS EQUIPOS
Los equipos de emergencia están formados por el personal clave necesario en la

activación y desarrollo del Plan de Continuidad. Cada equipo tiene unas funciones
y procedimientos que tendrán que desarrollar en las distintas fases del Plan.
Aunque la composición y número de equipos puede variar según el tipo de

estrategia de recuperación, a continuación se muestran algunos ejemplos de los
equipos que pueden formar parte del Plan:
• Comité de Crisis: Encargado de dirigir las acciones durante la

contingencia y recuperación.
• Equipo de Recuperación: Su función es restablecer todos los sistemas

necesarios (voz, datos, comunicaciones, etc.).
• Equipo Logístico: Responsable de toda la logística necesaria en el

esfuerzo de recuperación.
• Equipo de las Unidades de Negocio: Encargados de la realización de

pruebas que verifiquen la recuperación de los sistemas críticos.
25
• Equipo de Relaciones Públicas: Encargado de las comunicaciones a los

medios de comunicación y clientes.
El personal asignado a cada uno de los equipos puede variar dependiendo del
tamaño de la organización y de la estrategia de recuperación seleccionada. Una
persona puede pertenecer a más de un equipo, siempre y cuando no existan
incompatibilidades en las tareas a realizar.
8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS
El objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en la

dirección de la situación. Este Comité debe tomar las decisiones “clave” durante
los incidentes, además de hacer de enlace con la dirección de la compañía,
manteniéndoles informados de la situación regularmente.
Las principales tareas y responsabilidades de este comité son:
• Análisis de la situación.
• Decisión de activar o no el Plan de Continuidad.
• Iniciar el proceso de notificación a los empleados a través de los diferentes

responsables.
• Seguimiento del proceso de recuperación, con relación a los tiempos

estimados de recuperación.
8.1.2 EQUIPO DE RECUPERACIÓN
El equipo de recuperación es responsable de establecer la infraestructura

necesaria para la recuperación. Esto incluye todos los servidores, PC’s,
comunicaciones de voz y datos y cualquier otro elemento necesario para la
restauración de un servicio.
8.1.3 EQUIPO LOGÍSTICO
Este equipo es responsable de todo lo relacionado con las necesidades logísticas

en el marco de la recuperación, tales como:
• Transporte de material y personas (si es necesario) al lugar de

recuperación.
26
• Suministros de oficina.
• Comida.
• Reservas de hotel, si son necesarias.
• Contacto con los proveedores.
Este equipo debe trabajar conjuntamente con los demás, para asegurar que
todas las necesidades logísticas sean cubiertas.
8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES
Se trata de canalizar la información que se realiza al exterior en un solo punto

para que los datos sean referidos desde una sola fuente. Sus funciones
principales son:
• Elaboración de comunicados para la prensa.
• Comunicación con los clientes.
Uno de los valores más importantes de una compañía son sus clientes, por lo que
es importante mantener informados a los mismos, estableciendo canales de
comunicación.
8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas y comenzar a
funcionar.
Cada equipo deberá configurar las diferentes pruebas que deberán realizar para
los sistemas.
27
8.2 DESARROLLO DE PROCEDIMIENTOS
Una vez que hemos definido los equipos y se han establecido las funciones que
debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que
van a seguir, y su actuación en cada una de las fases de activación del Plan de
Continuidad.
- FASE DE ALERTA
• Procedimiento de notificación del desastre.
• Procedimiento de lanzamiento del Plan
• Procedimiento de notificación de la puesta en marcha del Plan a los

equipos implicados.
- FASE DE TRANSICIÓN
• Procedimiento de concentración de equipos.
• Procedimiento de traslado y puesta en marcha de la recuperación.
- FASE DE RECUPERACIÓN
• Procedimientos de restauración.
• Procedimientos de soporte y gestión.
- FASE DE VUELTA A LA NORMALIDAD
• Análisis del impacto.
• Procedimientos de vuelta a la normalidad.
En el siguiente esquema podemos ver las fases que componen el Plan de

Continuidad de Negocio:
28
Figura 9. Fases y Actividades del Plan de Continuidad
8.2.1 FASE DE ALERTA
La Fase de Alerta define los procedimientos de actuación ante las primeras

etapas de un suceso que implique la pérdida parcial o total de uno o varios
servicios críticos. Dividiremos esta fase en tres partes:
Notificación: Define cómo y quién debe ser informado en primera instancia de

lo ocurrido.
Evaluación: Análisis de la situación y valoración inicial de los daños. Definición

de estrategias.
Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al
alcance de los daños.
Notificación
Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos los
casos que resultan de suponer que cualquier persona pueda dar aviso de un
incidente, vamos a suponer que la persona que descubre la contingencia será un
empleado o cualquier otra persona próxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa de
concienciación, en el que se informe debidamente al personal de cómo actuar
ante estos casos y a quién comunicar lo ocurrido.
29
EVENTO ACCIÓN
1 Situación de contingencia/incidente Aviso inmediato con el máximo detalle
detectado por algún empleado de la posible al Responsable de Personal de turno
compañía. (Fuego, inundación, virus, etc.). o a Seguridad.
2 Aviso a la persona de contacto del Comité de

El responsable de turno o de seguridad Crisis.
conoce que ha sucedido una contingencia. Aviso a los equipos de emergencia (si
procede).
Figura 10. Cuadro Fase de Notificación
Evaluación
Una vez que un miembro del Comité de Crisis es contactado e informado del
incidente, procederá a evaluar la situación con la recopilación de la mayor
información posible. El Comité informará a los responsables de los distintos
equipos de lo ocurrido y de la situación en ese momento para que permanezcan
en situación de espera, hasta que se tome la decisión de disparar el Plan o iniciar
otro tipo de estrategia.
EVENTO ACCIÓN
3 Conocimiento por algún miembro del El equipo del Comité se reunirá en un lugar
Comité de incidente ocurrido. acordado previamente y evaluará la
situación. Este Comité deberá tomar la
decisión de activar o no el Plan de
Continuidad.
Será necesario informar de la situación a los
siguientes responsables:
• Responsable de Seguridad.
• Comité de Dirección de la Empresa.
• Relaciones Públicas.
• Equipo de Recuperación.
• Responsable de los Equipos.
Figura 11. Cuadro Fase de Evaluación
Ejecución del Plan
Una vez que el Comité de Crisis ha decidido poner en marcha el Plan de

Recuperación, debe de iniciarse el árbol de llamadas (En el Anexo IV se incluye
un ejemplo de un árbol de llamadas) para comunicar a los Responsables y
30
componentes de cada equipo la situación de inicio de las actividades del Plan

para comenzar los procedimientos de actuación de cada uno de ellos. Deberá
informarse también al Comité de Dirección.
EVENTO ACCIÓN
4 Consideración por parte del Comité de Iniciar el árbol de llamadas.

Crisis y ejecución del Plan.
Informar al Comité de Dirección.
5 Paso a la Fase de Transición.
Figura 10. Cuadro Fase de Lanzamiento del Plan
8.2.2 FASE DE TRANSICIÓN
La Fase de Transición es la fase previa a la de recuperación de los sistemas. Es

importante que en esta fase exista una coordinación entre los diferentes equipos
y equipos de logística, ya que son éstos los encargados de que todo esté
disponible para comenzar la recuperación en el menor tiempo posible.
Podemos dividir la fase de transición en dos partes principalmente:
• Procedimientos de concentración y traslado de personas y equipos.
• Procedimientos de puesta en marcha del centro de recuperación.
Ambos procedimientos son la base del proceso de recuperación de los sistemas.

Si esta parte falla, no será posible comenzar la recuperación, y por tanto el Plan
de Continuidad fallará.
A continuación pasamos a describir de manera detallada cada uno de los

procedimientos y equipos que deben interactuar en esta fase de transición.
Procedimientos de concentración y traslado de material y personas
Dependiendo de la solución final que se decida como estrategia de respaldo, este

procedimiento puede variar. Realizaremos una descripción general de los
procedimientos, que podrá completarse una vez que se tome una solución
definitiva.
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión. En el caso de que la emergencia se declare en horas de
trabajo, se tomará como punto de encuentro los lugares designados en el Plan de
Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de
reunión será el designado como centro de respaldo, o cualquier otro designado
por el Comité de Dirección de Crisis.
31
Además del traslado de personas al centro de recuperación (si es necesario) hay

que realizar una importante labor de coordinación para el traslado de todo el
material necesario para poner en marcha el centro de recuperación (cintas de
backup, material de oficina, documentación, ...)
Procedimientos de puesta en marcha del centro de recuperación
Una vez concentrados los distintos equipos que van a intervenir en la

recuperación, y con todos los elementos necesarios disponibles para comenzar la
recuperación, hay que poner en marcha este centro, estableciendo la
infraestructura necesaria, tanto de software como de comunicaciones, etc.
8.2.3 FASE DE RECUPERACIÓN
Una vez que hemos establecido las bases para comenzar la recuperación, se
procederá a la carga de datos y a la restauración de los servicios críticos. Este
proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para
cumplir con los plazos fijados.
Podemos dividir esta fase en dos:
• Procedimientos de Restauración
• Procedimientos de Gestión y Soporte
Procedimientos de Restauración
Estos procedimientos se refieren a las acciones que se llevan a cabo para

restaurar los sistemas críticos.
Procedimientos de soporte y gestión
Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar
un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el
negocio con las máximas garantías de éxito. Los integrantes del equipo de
unidades de negocio serán los encargados de comprobar y verificar el correcto
funcionamiento de los procesos.
32
8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA
Una vez con los procesos críticos en marcha y solventada la contingencia,

debemos plantearnos las diferentes estrategias y acciones para recuperar la
normalidad total de funcionamiento. Para ello vamos a dividir esta fase en
diferentes procedimientos:
• Análisis del impacto.
• Procedimientos de vuelta a la normalidad
Análisis del impacto
El análisis de impacto pretende realizar una valoración detallada de los equipos e

instalaciones dañadas para definir la estrategia de vuelta a la normalidad.
Procedimientos de vuelta a la normalidad
Una vez determinado el impacto deben establecerse los mecanismos que en la

medida de lo posible lleven a recuperar la normalidad total de funcionamiento.
Estas acciones incluyen las necesidades de compra de nuevos equipos,
mobiliario, material, etc.
8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN
Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberá

realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de
los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con las
que se encontraron, etc.
Toda esta información servirá para valorar si el Plan ha funcionado según lo

planeado, así como conocer los posibles fallos, y en su caso, tenerlos en cuenta
para la adecuación del mismo.
33
Fase IV. Pruebas y Mantenimiento
9. FASE IV. PRUEBAS Y MANTENIMIENTO
9.1 PRUEBAS
9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS
El Plan de Continuidad no se considerará válido hasta que no se haya superado

satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones
adoptadas.
El Plan de Pruebas diseñado tiene como objetivos:
• Evaluar la capacidad de respuesta ante una situación de desastre que afecte a

los recursos de la compañía.
• Probar la efectividad y los tiempos de respuesta del Plan para comprobar que
están alineados con la definición realizada en el diseño.
• Identificar las áreas de mejora en el diseño y ejecución del Plan.
• Comprobar si los procedimientos desarrollados son adecuados para soportar

la recuperación de las operaciones de negocio.
• Evaluar si los participantes del ejercicio están suficientemente familiarizados

con la operativa en situación de contingencia.
• Concienciación y formación para los empleados a través de la realización de

pruebas.
9.2 TIPOS DE PRUEBAS
Las pruebas de un Plan de Continuidad deben tener dos características

principales:
Realismo: La utilidad de las pruebas se reduce con la selección de escenarios

irreales. Por ello es importante reproducir escenarios que proporcionen un nivel
de entrenamiento adecuado a las situaciones de riesgo.
Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lo

menos posible en el negocio, es decir, que si se programa una prueba que
34
suponga una parada de los sistemas de información, debe realizarse una ventana
de tiempo que impacte lo menos posible para el negocio.
En algunos casos puede resultar complicado realizar una prueba completa del
Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa
de pruebas planificado para garantizar que todos los aspectos de los planes y
personal se han ensayado durante un período de tiempo.
9.2.1 EJERCICIOS TÉCNICOS
Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y

operativos, el uso de equipos de hardware, software y posibles centros y
métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de
elementos verificados durante un ejercicio de simulación son:
- Procedimientos de emergencia.
- Métodos alternativos.
- Líneas de telecomunicaciones de backup.
- Procedimientos de notificación Vendedores / Clientes.
- Capacidad y rendimiento del hardware.
- Portabilidad del software.
- Accesibilidad al centro de respaldo.
- Movilización de los equipos de trabajo.
- Recuperación de ficheros y documentación almacenados en lugar externo.
- Recuperación de datos.
9.2.2 TEST COMPLETO
Los ejercicios de test son ejercicios planificados que implican la restauración real
de la capacidad de proceso en un centro alternativo. Generalmente, los procesos
en producción no son interrumpidos, pero puede planificarse su restauración y
validación en el centro alternativo. Normalmente, este tipo de prueba requiere la
participación de toda la organización de continuidad del negocio, incluyendo
usuarios, personal técnico y de operaciones.
35
9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD
Por la propia dinámica de negocio, se van incorporando nuevas soluciones a los

Sistemas de Información y los activos informáticos van evolucionando para dar
respuesta a las necesidades planteadas.
La correcta planificación del mantenimiento del Plan de Continuidad evitará que

quede en poco tiempo obsoleto y que en caso de contingencia no pueda dar
respuesta a las necesidades.
36
ANEXOS
ANEXOS
37
Anexo I – Cuadros de Recogida de Datos Análisis de Impacto
ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO
o CUADRO DE PROCESOS
En este cuadro se recogen los procesos y subprocesos que componen la

organización donde se va a desarrollar el Plan de Continuidad.
Frecuencia
Breve Persona
Proceso Subproceso (Diario/Semanal
descripción responsable
Mensual)
o SISTEMAS QUE SOPORTAN EL PROCESO
En este cuadro se recogen los sistemas que soportan el proceso analizado.
Tipo de
Nº de
Nombre Sistema
Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
aplicación
Mainframe)
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el sistema

2 – La organización/departamento no puede funcionar parcialmente sin el sistema
3 - La organización/departamento puede funcionar sin el sistema
38
o RECURSOS HARDWARE DEL PROCESO
En este apartado se recogen los componentes hardware que soportan los

procesos.
Detalles del
Tipo de hardware Distribuidor Criticidad Localización
Modelo/Configuración
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el hardware

2 – La organización/departamento no puede funcionar parcialmente sin el hardware
3 - La organización/departamento puede funcionar sin el hardware
o OTROS ACTIVOS
En este apartado se recogen todos aquellos activos (comunicaciones, datos,

infraestructura, etc.), que forman parte del proceso y que son necesarios para
dar continuidad al mismo en caso de interrupción.
Descripción Tipo Criticidad Localización
Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el activo

2 – La organización/departamento no puede funcionar parcialmente sin el activo
3 - La organización/departamento puede funcionar sin el activo
39
o TIEMPO MÁXIMO DE INTERRUPCIÓN
Para cada uno de los procesos, se determinará el tiempo máximo de

interrupción, especificando cuántos días puede permanecer el proceso sin incurrir
en pérdidas económicas graves.
Proceso Necesidades de Recuperación Criticidad
Necesidad de Recuperación: Día 0 : Recuperación inmediata
Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente.
Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes.
Más 30 días: El proceso pude esperar más de 30 días a ser recuperado.
40
ANEXO II - Listado de Amenazas
ANEXO II - LISTADO DE AMENAZAS
AMENAZAS
DESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAÑOS ACCIDENTALES
Fuego fortuito
Inundaciones
Fallo del aire acondicionado
Exceso de humedad
Humo, gases tóxicos
Subida de tensión
Fallo de suministro eléctrico
Fallo de la UPS
Accidentes del personal
Capacidad inadecuada de las comunicaciones
Fallo/degradación del hardware
Fallo/degradación de las comunicaciones
Errores de operación
Fallos en las copias de seguridad
Fallos de los sistemas de autenticación/autorización
Pérdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Explosivos
Fuego intencionado
Accesos no autorizados al edificio
Actos de vandalismo
Radiaciones electromagnéticas
Robos intencionados
Manipulación de datos/software
Manipulación de hardware
Uso de software por personal no autorizado
Acceso no autorizados a datos de la compañía
Software malicioso
Robo de equipos
Robo de documentos
41
ANEXO II - Listado de Amenazas
Robo de software
Descarga de software no controlada
Interceptación de las líneas de comunicación
Manipulación de las líneas de comunicación
Abuso de privilegios de acceso
Introducción de virus en los sistemas
Troyanos
Ataques por ingeniería social
Bombas lógicas
Ataques de denegación de servicio
Errores intencionados
Copias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupción de datos
Incumplimientos legales intencionados
42
ANEXO III – Ejemplos de Vulnerabilidades
ANEXO III – EJEMPLOS DE VULNERABILIDADES
VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro eléctrico inapropiado
Mantenimiento inapropiado del servicio técnico
Ausencia de mantenimiento
Educación inadecuada del personal en virus y malware
Políticas de firewall inadecuadas
Política de seguridad de la información inadecuada
Ausencia de política de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extinción automática de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuración eficiente y efectiva
Ausencia de mecanismos de identificación y autenticación
Ausencia de política de restricción de personal para uso licencias de software
Ubicación física en un área susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisión de datos
confidenciales
Protección física de equipos inadecuada
Personal sin formación adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definición de privilegios de acceso inadecuada
Ausencia de un Plan de recuperación de incidentes
43
Anexo IV – Ejemplo Árbol de Llamadas
ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS
Comité de Crisis
Comité de
Dirección
Equipo de Equipo de Equipo de Equipo de

Recuperación Coordinación Seguridad Relaciones
Logística Públicas
Equipo de Unidades
de Negocio
44
Anexo V – Sitios de Interés
ANEXO V – SITIOS DE INTERÉS
http://www.contingencyplanning.com/ - Revista de Continuidad de Negocio

http://www.globalcontinuity.com/ - Portal de Business Continuity Plan
http://www.thebci.org/pas56.htm - Business Continuity Institute
http://www.disaster-recovery-guide.com/ - Información y guías sobre

Continuidad
http://www.nist.org/ - Mejores prácticas en Seguridad Informática
http://www.iss.net/ - Base de datos de vulnerabilidades X-Force
http://nvd.nist.gov/ - Base de datos de vulnerabilidades del NIST
http://www.securityfocus.com/ - Base de datos de vulnerabilidades
http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de
Servicios de Continuidad de Negocio
http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -
Proveedor de Servicios de Continuidad de Negocio
45
CASO DE ESTUDIO
46
Caso de Estudio
CASO DE ESTUDIO
ANTECEDENTES
Zapasol S.A. es una compañía que fabrica zapatos con materiales reciclados.
Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de
fabricación, una en Valencia y otra en Albacete distante 200 kilómetros. El éxito
de venta de este tipo de zapatos les ha llevado a mercados internacionales,
importando a más de 20 países.
Dentro de la propia fábrica cuentan con un pequeño departamento de informática

formado por 4 empleados que se encargan de la gestión de todo lo relacionado
con comunicaciones, software, hardware, bases de datos. Este departamento y
su centro de proceso de datos se encuentran en Valencia.
El rápido desarrollo y expansión de esta compañía ha resultado en un

crecimiento tecnológico importante en los procesos de soporte, tales como
facturación, nóminas, atención al cliente, etc. Sin embargo, las medidas de
seguridad no han acompañado de igual forma a este crecimiento. A continuación
se describe brevemente cuál es la situación actual en cuanto a seguridad de la
compañía:
• No existe una política de seguridad en la compañía.

• Sólo hay antivirus en algunos equipos, en otro no se ha instalado.
• No se realizan copias de seguridad de la información.
• Existe control de acceso a los equipos, pero los usuarios comparten
contraseñas.
• Los servidores se encuentran en una sala sin ninguna medida de
protección física.
• ….
Como parte de los proyectos a acometer durante el año 2007, el Director de

Informática de Zapasol S.A. ha propuesto la realización de un Plan de
Continuidad de Negocio, para configurar una estrategia de recuperación ante
cualquier evento grave que haga peligrar el negocio de la empresa.
47
Caso de Estudio
ANÁLISIS DE IMPACTO
Para desarrollar este Plan, el director de informática ha encargado a Luis (otro de

los empleados del departamento de informática) que realice un inventario de los
procesos críticos de la compañía, estableciendo los tiempos de recuperación de
los mismos, antes de incurrir en pérdidas graves. Para ello, Luis se ha
entrevistado con los responsables de los procesos obteniendo la siguiente
información:
Frecuencia
Proceso Subproceso Breve descripción (Diario/Semanal Responsable
Mensual)
Diario
Pedidos -- Se encarga de recibir todos Inés Burgos
los pedidos de los distintos
clientes y de gestionar su
envío en los plazos y
condiciones establecidas
Atención al --- Recogida y Gestión de Diario Ángela Cano

Cliente incidentes
Recursos -- Selección y formación del Según Marta Álvarez

Humanos personal de la compañía necesidad
Nóminas -- Generación y Pago de las Mensual Laura Cuesta

Nóminas de los empleados
Stock --- Control y Gestión del stock de Diario Antonio

zapatos en los almacenes Romero
Nota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas)
COMPONENTES DE LOS PROCESOS
A continuación se describen cada uno de los componentes Hardware, Software,

Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.
PROCESO PEDIDOS
• Sistemas del proceso de Pedidos:
48
Caso de Estudio
Tipo de Nº de
Nombre
Sistema Equipos Contacto
del Descripción Criticidad Responsable
(PC/Servidor/ con la Técnicos
Sistema
Mainframe) aplicación
--- ----
Correo 2 Servidor de 4
Electrónico Correo
Gestión Aplicación 1 4 ----

Pedidos para la
Gestión de
pedidos
• Hardware del proceso de Pedidos:
Tipo de Detalles del

Distribuidor Criticidad Localización
Hardware Modelo/Configuración
Servidor de PowerEdgeTM 1900 Dell 3 Centro proceso

Correo Servidor en torre de datos Valencia
núcleo cuádruple con 2
sockets
PC’s Procesador Dell 2 Centros de

Intel® CoreTM 2 Duo Valencia y
E6000 Albacete
Chipset Q965 ICH8DO

compatible con Active
Management Technology
(iAMT 2.1) de Intel®
Solución LAN Gigabit

Ethernet de Intel®

Aplicaciones Servidor en torre de datos Valencia
sockets
• Otros Activos del proceso:
Línea RDSI de Comunicaciones 1 Centros de trabajo

comunicaciones
49
Caso de Estudio
Impresoras Hardware 2 Centros de trabajo
Centralita de Comunicaciones 3 Centros de trabajo

Comunicaciones
PROCESO DE NÓMINAS
• Sistemas del proceso de Nóminas:
Tipo de Nº de
Nombre
Sistema Equipos Responsa- Contacto
del Descripción Criticidad
(PC/Servidor/ con la ble Técnicos
Sistema
Mainframe) aplicación
3 Laura -----
Aplicación Programa Servidor / 3
Cuesta
Nóminas que se PC’s
encarga de
realizar el
cálculo de las
nóminas
2 Angel Perez Soporte
Windows Sistema PC’s 20
Windows
Operativo
• Hardware del proceso de Nóminas:
Tipo de Detalles del

Distribuidor Criticidad Localización
Hardware Modelo/Configuración

aplicaciones Servidor en torre de datos Valencia
sockets
PC’s Procesador Dell 2 Centros de

Intel® CoreTM 2 Duo Valencia y
E6000 Albacete
Chipset Q965 ICH8DO

compatible con Active
Management Technology
(iAMT 2.1) de Intel®
Solución LAN Gigabit

Ethernet de Intel®
50
Caso de Estudio
• Otros Activos del proceso
Impresoras Hardware 2 Centros de trabajo
51
Caso de Estudio
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS
Necesidades de
Proceso Criticidad
Recuperación
PEDIDOS En 2-3 días 1
El proceso de Pedidos es clave para la organización, ya que si no se pueden

gestionar los pedidos de los clientes la empresa no puede dar servicio y por lo
tanto incurrirá rápidamente en pérdidas. Por ello es importante que este proceso
se recupere lo antes posible.
Necesidades de
Proceso Criticidad
Recuperación
NOMINAS En 15-30 días 3
Aunque el proceso de Nóminas es importante, la compañía puede esperar

semanas a que se restablezca y crear procedimientos alternativos como por
ejemplo, repetir el último pago de nómina a los trabajadores y realizar las
compensaciones correspondientes, cuando estén disponibles de nuevo los
sistemas.
52
Caso de Estudio
ANÁLISIS DE RIESGOS
Una parte importante dentro del desarrollo del Plan de Continuidad es el Análisis
de Riesgos. Este análisis permitirá a la compañía conocer sus riesgos y
gestionarlos de forma adecuada.
Existen diferentes metodologías de riesgo (NIST, MAGERIT, OCTAVE, etc.) que

pueden aplicarse para realizar el Análisis de Riesgos. Para el ejemplo
realizaremos un análisis con un enfoque general, sin entrar en metodologías
concretas ni valoraciones de los activos.
Tomando como ejemplo el inventario de los procesos descritos y las premisas

descritas en la presentación de la compañía, elaboraremos el Análisis de Riesgos.
INVENTARIO DE ACTIVOS
Activo/Descripción Tipo Propietaro Localización Valor
SERVIDOR DE Hardware ---- Centro de MEDIO

APLICACIOMES Proceso de
datos
APLICACIÓN DE Aplicación ---- Servidores y MEDIO

PEDIDOS PC’s
INFORMACIÓN Información ---- Base de datos ALTO

CLIENTES
IMPRESORAS Hardware ---- Centros de BAJO

Albacete y
Valencia
REDES DE Comunicaciones ---- Centros de BAJO

COMUNICACIONES Albacete y
Valencia
LISTADO DE AMENAZAS
Del listado de Amenazas marcamos las que pueden afectar la compañía en su

situación actual.
53
Caso de Estudio
AMENAZAS POSIBLE
DESASTRES NATURALES
Inundaciones x
Incendios x
DAÑOS ACCIDENTALES
Fuego fortuito x
Inundaciones x
Fallo de suministro eléctrico x
Pérdida de confidencialidad x
Incumplimientos legales x
ATAQUES INTENCIONADOS
Accesos no autorizados al edificio x
Accesos no autorizados a datos de la compañía x
Actos de vandalismo x
Robo de equipos x
Robo de datos / documentos x
VULNERABILIDADES
Tomando como base los objetivos de seguridad de la ISO 17799 y en función de

las Amenazas que hemos marcado como posibles, establecemos los escenarios
en que una amenaza puede convertirse en un incidente de seguridad.
ESCENARIOS NIVEL DE PROTECCIÓN RESPUESTA
1. Inundación del Centro de ¿El centro está situado en un terreno NO

Proceso de Datos alto?
2. Fallos del Suministro ¿Existen Unidades de Suministro NO

Eléctrico. Eléctrico Alternativo (UPS)?
54
Caso de Estudio
3. Pérdida de información ¿Se realizan copias de seguridad de No periódicamente

clave de la compañía. los datos periódicamente?
4. Accesos no autorizados al ¿Existe un control de acceso físico a NO

edificio los edificios de la compañía?
5. Robo de datos ¿Existe una clasificación de la NO

información adecuada al nivel de
confidencialidad de los datos?
6. Pérdida de servicios por ¿Están los equipos protegidos por un NO

infección de virus antivirus?
EVALUACIÓN DE RIESGOS
DESCRIPCIÓN PROBAB IMPACTO RIESGO
Terremotos BAJA MEDIO BAJO
Pérdida del servicio por fallos en la alimentación eléctrica ALTA MEDIO ALTO
Accesos no autorizados al edificio BAJA ALTO MEDIO
Robo de información confidencial compañía ALTA ALTO ALTO
Pérdida de información crítica de la compañía ALTA ALTO ALTO
RECOMENDACIONES - CONTRAMEDIDAS
Para gestionar los riesgos detectados y mitigarlos en la medida de lo posible, se

propone la puesta en marcha de las siguientes contramedidas:
o Realizar copias de seguridad periódicamente.

o Controlar el acceso a la información estableciendo mecanismos de
autenticación.
o Establecer un control de acceso físico al lugar donde se encuentran los
equipos con información clave para la compañía.
o Establecer detectores de humo y alarmas de fuego.
o Instalar antivirus en todos los equipos de la compañía.
55
Caso de Estudio
ESTRATEGIA DE RECUPERACIÓN
Una vez que se ha realizado la gestión de los riesgos detectados, se debe

seleccionar una estrategia de recuperación de negocio que asegure la
continuidad de los procesos que hemos considerado críticos en el Análisis de
Impacto.
De las alternativas existentes y dado que la opción de subcontratar espacios y

soporte a terceros resultaría muy cara para Zapasol S.A., la solución más
adecuada sería utilizar el centro de Albacete con alternativa en caso de
incidencia grave. De esta forma Zapasol S.A. podría seguir dando servicio a
sus clientes, sin que el impacto de un incidente tuviera consecuencias
catastróficas para la compañía. Para ello, podrán utilizarse en primera instancia
los equipos que se utilizan en este centro, de forma que se reaproveche la
inversión. Para que estos equipos sean válidos será necesario equipar la
infraestructura del centro de trabajo de Albacete con algunos elementos extras
(incremento de memoria, capacidad de disco, etc.).
56
Caso de Estudio
DESARROLLO DEL PLAN
Una vez que se ha seleccionado la estrategia de continuidad, se puede comenzar

a construir el Plan de Continuidad definiendo la estructura y composición de los
equipos y las acciones de cada uno de ellos.
Dado que Zapasol S.A., es una empresa de tamaño medio, reduciremos el

número de equipos y su composición, que serán necesarios en caso de activación
del Plan de Continuidad.
COMITÉ DE CRISIS
Listado de Integrantes del Comité.
Responsable del Comité Nombre: Rodolfo Pérez

Posición: Director General
Teléfono Móvil: XXXXXXX
Teléfono Casa: XXXXXXX
Miembros del Comité Nombre: Arturo Cañas

Posición: Director Fábrica
Nombre: Luis Jiménez

Posición: Director Informática
Nombre: Marta Álvarez

Posición: Directora de RRHH
Lugar de Reunión: Casa del Director General sita en calle Carmelo 25 de

Valencia.
Una vez que se comunica un incidente, el Comité de Crisis debe reunirse y tomar
decisiones para afrontar la situación. Deben estar continuamente informados de
57
Caso de Estudio
la situación y determinar si es necesario iniciar el Plan de Continuidad. En este

caso, se comunicará a los responsables de los equipos del comienzo de las
actividades que llevarán a restablecer los servicios en el centro de Albacete.
EQUIPO DE RECUPERACIÓN
El equipo de recuperación es el encargado de poner en marcha todo el proceso

de recuperación para restaurar los servicios en el Centro de Albacete. Para ello
realizarán las siguientes actividades:
o Se trasladarán en coche desde Valencia al Centro de Albacete.
o Pondrán en marcha por orden de criticidad los sistemas: Pedidos,

Facturación, Correo, Nóminas, etc.
o Para la puesta en marcha de los sistemas, se tomará la última copia de

seguridad de los sistemas que semanalmente se manda desde el Centro
de Valencia a Albacete.
o En primera instancia se reutilizarán los equipos del centro de Albacete

para iniciar los servicios. Se contactará con la persona responsable de
logística para que solicite a los proveedores todos los equipos necesarios
en los plazos acordados (durante el desarrollo del plan), sirvan todo el
material necesario (servidores, PC’s, impresoras, etc.) y que no se ha
podido salvar del Centro de Valencia.
o Una vez que se vayan restaurando los servicios, debe comprobarse su

operatividad.
Punto de Reunión: Centro de Trabajo de Valencia. Si no es posible reunirse en

el Centro de Valencia porque los daños sean cuantiosos, se tomará como punto
de reunión el polideportivo “Deporte y Salud”, situado a 500 metros del centro
de trabajo y con quienes se ha firmado un acuerdo de colaboración.
58
Caso de Estudio
Listado de Integrantes del Equipo de Recuperación
Integrantes del Equipo Nombre: Federico Alonso

Posición: Responsable de Sistemas
Nombre: Alba González

Posición: Técnico Informático
Nombre: Alberto Pérez

Posición: Técnico Informático
EQUIPO DE COORDINACIÓN LOGÍSTICA
El equipo de coordinación logística es responsable de todo lo relacionado con las

necesidades logísticas. En función del tipo de incidente se encargará de:
o Atender las necesidades logísticas de primera instancia tras la

contingencia. (Transporte de personas, transporte de materiales, etc.)
o Contactar con los proveedores para solicitar el material necesario que

indiquen los responsables de la recuperación.
o Reservar habitaciones de hotel en Albacete para las personas que se

desplacen a este Centro.
o Gestionar el suministro de comida al personal involucrado.
Listado de Proveedores
59
Caso de Estudio
DELL Persona de Contacto: Ángel Núñez
Teléfono Contacto: xxxxxx
HP Persona de Contacto: Felipe Méndez
Teléfono Contacto: xxxxxxx
FUJIJTSU Persona de Contacto: Laura Pérez
Teléfono Contacto: xxxxxx
Listado de Integrantes del Equipo de Coordinación Logística
Integrantes del Equipo Nombre: Daniela Gómez

Posición: Técnico de RRHH
Nombre: David López

Posición: Administrativo
EQUIPO DE RELACIONES PÚBLICAS
El equipo de Relaciones Públicas es responsable de “ser la voz” de la empresa en

el contexto de la contingencia. Las tareas a realizar serán:
o Si el tipo de incidente lo requiere, emitir un comunicado oficial a clientes y

proveedores en el que se indique que se restablecerán los servicios lo
antes posible.
o Atender a los clientes para proporcionarles información sobre el incidente

y tranquilizarles lo máximo posible.
60
Caso de Estudio
Listado de Integrantes del Equipo de Relaciones Públicas
Integrantes del Equipo Nombre: Juan Carlos Bono

Posición: Técnico Comercial
Nombre: Ángela Cano

Posición: Atención al Cliente
EQUIPO DE LAS UNIDADES DE NEGOCIO
Estos equipos estarán formados por las personas que trabajan con las
aplicaciones críticas, y serán los encargados de realizar las pruebas de
funcionamiento para verificar la operatividad de los sistemas.
Integrantes del Equipo Nombre: Inés Burgos

Posición: Responsable Pedidos
Nombre: Ángela Cano

Posición: Atención al Cliente
Nombre: Marta Álvarez

Posición: RRHH
…..
61
Caso de Estudio
FASE DE ALERTA
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE
Cualquier empleado de Zapasol S.A. que sea consciente de un incidente grave

que pueda afectar a la empresa, debe comunicarlo al Jefe de Seguridad de la
Planta proporcionando el mayor detalle posible en la descripción de los hechos.
El Jefe de Seguridad debe evaluar la situación e informar al Responsable del

Comité de Crisis, que en este caso coincide con la figura del Director General.
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN
El Comité de Crisis reunido en el punto de encuentro evaluará la situación. Con

toda la información de detalle sobre el incidente, se decidirá si se activa o no el
Plan de Continuidad de Negocio. En caso afirmativo, se iniciará el procedimiento
de ejecución del Plan.
En el caso de que el Comité decidida no activar el Plan de Continuidad porque la

gravedad del incidente no lo requiere, sí será necesario gestionar el incidente
para que no aumente su gravedad.
PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN
Activar el árbol de llamadas para avisar a los integrantes de los diferentes

equipos que van a participar en el Plan.
62
Caso de Estudio
Comité de Crisis
Equipo de Equipo de Equipo de

Recuperación Coordinación Relaciones
Logística Públicas
Equipo de
Unidades de
Negocio
63
Caso de Estudio
FASE DE TRANSICIÓN
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y

PERSONAS
Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión indicado. Además del traslado de personas al Centro de
Albacete hay que trasladar todo el material necesario para poner en marcha el
centro de recuperación (cintas de backup, material de oficina, documentación,
...). Esta labor queda en manos del equipo logístico.
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN
Una vez que el equipo de recuperación llegue al Centro de Albacete y que los
materiales empiecen a llegar, pueden comenzar a instalar las aplicaciones en los
equipos que se encuentran en esta oficina.
El equipo de recuperación solicitará al equipo de logística cualquier tipo de

material extra que fuera necesario para la recuperación.
64
Caso de Estudio
FASE DE RECUPERACIÓN
PROCEDIMIENTO DE RESTAURACIÓN
El orden de recuperación de las funciones se realizará según la criticidad los

sistemas: Pedidos, Facturación, Correo, Nóminas.
Los dos primeros sistemas deben recuperarse lo antes posible, en las 48 horas
siguientes. Los demás sistemas pueden esperar a recuperarse después de
Pedidos y Facturación.
Nota: En este apartado deberá indicarse el procedimiento concreto de

recuperación de cada uno de los sistemas.
PROCEDIMIENTO DE SOPORTE Y GESTIÓN
Una vez recuperados los sistemas, se avisará a los equipos de los departamentos
que gestionan los sistemas (listado del equipo de Unidades de Negocio) para que
realicen las comprobaciones necesarias que certifiquen que funcionen de manera
correcta y pueda continuarse dando el servicio.
Además el Equipo de Seguridad deberá comprobar que existen las garantías de

seguridad necesarias (confidencialidad, integridad, disponibilidad) antes de dar
por terminada la fase de recuperación.
Comité de Crisis
Equipo de
Recuperación
Equipo de
Unidades de
Negocio
65
Caso de Estudio
FASE DE VUELTA A LA NORMALIDAD
Una vez con los procesos críticos en marcha y solventada la contingencia, hay
que plantearse las diferentes estrategias y acciones para recuperar la normalidad
total de funcionamiento.
ANÁLISIS DEL IMPACTO
Es el momento de realizar una valoración detallada de los equipos e instalaciones

dañadas para definir la estrategia de vuelta a la normalidad. Para ello, el equipo
de recuperación junto con el equipo de seguridad, realizarán un listado de los
elementos que han sido dañados gravemente y son irrecuperables, así como de
todo el material que se puede volver a utilizar. Esta evaluación deberá ser
comunicada lo antes posible al equipo director para que determinen las acciones
necesarias que lleven a la operación habitual lo antes posible.
ADQUISICIÓN DE NUEVO MATERIAL
Una vez realizada la evaluación del impacto, se determinará la necesidad de

nuevo material. El Comité de Crisis contactará con el seguro de la compañía para
conocer qué parte cubre el seguro (dependiendo del tipo de póliza contratada por
Zapasol S.A.) y qué inversión tendrá que hacer la compañía en el material que
no se pueda recuperar.
Contactar con los proveedores para que en el menor tiempo posible repongan
todos los elementos dañados.
FIN DE LA CONTINGENCIA
Dependiendo de la gravedad del incidente, la vuelta a la normalidad de operación

puede variar entre unos días (si no hay elementos clave afectados) e incluso
meses (si hay elementos clave afectados). Lo importante es que durante el
transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a los
clientes y trabajadores por parte de la compañía y que la incidencia afecte lo
menos posible al negocio.
66
Caso de Estudio
CONCLUSIONES
La diferencia para Zapasol S.A. entre tener y no tener un Plan de Continuidad,

puede suponer que la compañía pueda desaparecer en caso de un incidente
grave que perjudique sus principales procesos. Por ello, como parte de la gestión
de seguridad, Zapasol S.A. ha considerado como prioritario desarrollar un Plan
de Continuidad para estar preparados ante cualquier incidente.
67
Bibliografía
BIBLIOGRAFÍA
• “Good Practice Guidelines” – The Business Continuity Institute

http://www.thebci.org/
• http://www.contingencyplanning.com/
• http://www.globalcontinuity.com/
• http://www.nfpa.org
• Revista de Seguridad SIC
• Norma Internacional ISO/IEC 17799:2002
• NIST - http://www.nist.org/ -SP 800-30 “Risk Management Guide for IT

Systems”
• Metodología de Análisis de Riesgos OCTAVE - www.cert.org/octave/
• Metodología de Análisis de Riesgos MAGERIT-

www.csi.map.es/csi/pdf/magerit.pdf
• Business Continuity Plan (BCP) Format Guide - Centers for Disease Control
and Prevention
• http://www.disaster-recovery-guide.com/
• http://www.businesscontinuityjournal.com
• http://www.ccep.ca/
• http://www.businesscontingency.com/
• http://www.contingency-planning-disaster-recovery-guide.co.uk/
• http://www.drii.org/
• http://www.gartner.com/
• BS 25999 - 'Specification for Business Continuity Management'
68

Guia para La Elaboracion Plan de Contingencia PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Guia para La Elaboracion Plan de Contingencia PDF

Caricato da

Copyright:

Formati disponibili

Guía de Desarrollo de un Plan de

1. INTRODUCCIÓN ....................................................................................................................... 1

2. OBJETO DE LA GUIA ............................................................................................................... 2

3. ANTECEDENTES ........................................................................................................................ 3

4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5

5. POR DÓNDE EMPEZAMOS..................................................................................................... 7

6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS ............................ 9

6.1 ANÁLISIS DE IMPACTO ................................................................................................... 10

7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 22

7.1 SELECCIÓN DE ESTRATEGIAS ........................................................................................ 22

8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25

8.1 ORGANIZACIÓN DE LOS EQUIPOS.................................................................................. 25

8.2.3 FASE DE RECUPERACIÓN .................................................................................................... 32

9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34

9.1 PRUEBAS ............................................................................................................................ 34

ANEXOS ............................................................................................................................................... 37

ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ................................. 38

ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41

ANEXO III – EJEMPLOS DE VULNERABILIDADES .......................................................................... 43

ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS............................................................................... 44

ANEXO V – SITIOS DE INTERÉS........................................................................................................ 45

CASO DE ESTUDIO ............................................................................................................................. 47

ANTECEDENTES ............................................................................................................................. 47

EQUIPO DE COORDINACIÓN LOGÍSTICA................................................................................. 59

Dentro de la Gestión de la Seguridad de la Información en una compañía es

Tradicionalmente, los Planes de Continuidad, denominados Planes de

Es importante destacar que la guía puede servir para desarrollar un Plan de

Una de las motivaciones que me ha llevado a desarrollar esta guía es la poca

o Dar a conocer la importancia del Plan de Continuidad de Negocio para

o Desarrollar una Guía completa sobre Continuidad de Negocio, donde se

o Resumir de forma clara y sencilla cada una de las actividades a desarrollar

o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de

A la velocidad con la que operan los negocios actuales un incidente de unas

La íntima dependencia que existe entre el negocio y los sistemas de información

No sólo las catástrofes ambientales, tales como incendios o inundaciones,

• Incidentes serios de seguridad en los sistemas, como delitos

• Daños en las infraestructuras o en los servicios, fallos en el

• Fallos en los equipos o en los sistemas, incluyendo fallos en las

• Daños deliberados como actos de terrorismo o de sabotaje, guerras,

Los accidentes afectan de forma diferente a cada organización, dependiendo de

fundamental; las pequeñas y medianas organizaciones también pueden verse

Las consecuencias de estos accidentes sobre las organizaciones que no tienen un

• Un 43% de las organizaciones después de un accidente no podrán

• Un 80% tendrán que hacerlo en menos de 13 meses.

• Un 53% de los clientes de estas organizaciones no recuperarán las

• Un 50% se verán forzadas a cerrar antes de cinco años después del

A pesar de que los efectos inmediatos de un desastre aparentemente son la

¿Qué es un Plan de Continuidad de Negocio?

4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO?

Un Plan de Continuidad de Negocio se compone de varias fases que comienzan

Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,

En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas

• ¿Cuáles son los recursos de información relacionados con los procesos

• ¿Cuál es el período de tiempo de recuperación crítico para los recursos

Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que

La activación de un Plan de Continuidad debería producirse solamente en

• Identifica los diversos eventos que podrían impactar sobre la continuidad

• Obliga a conocer los tiempos críticos de recuperación para volver a la

• Previene o minimiza las pérdidas para el negocio en caso de desastre.

• Clasifica los activos para priorizar su protección en caso de desastre.

• Aporta una ventaja competitiva frente a la competencia.

¿Qué es un Plan de Continuidad de Negocio?

• Fomenta e implica a los recursos humanos de la compañía en las