Auditoria de Sistemas de Información

PLAN DE CONTINUIDAD DE NEGOCIO

Alumno: Luis Gallardo Cerna

Profesor: Percy Carranza Medina

¿QUE ES UN PLAN DE CONTINUIDAD DE NEGOCIO?
Cada año son millones las organizaciones que padecen inundaciones,
incendios, ataques terroristas, actos vandálicos y otras amenazas. Las
compañías que logran superar estos traumas son las previsoras, las que están
preparadas para enfrentarse a lo peor, las que estiman los posibles daños que
pueden sufrir y ponen en marcha las medidas necesarias para protegerse. Un
Plan de Continuidad de Negocio se compone de varias fases que comienzan
con un análisis de los procesos que componen la organización. Este análisis
servirá para priorizar qué procesos son críticos para el negocio y establecer
una política de recuperación ante un desastre.
 OBJETIVO
•Concientizar a los participantes la
importancia de estar preparado en tiempo
de crisis.
•Presentar concepto generales de
continuidad del negocio.
•Presentar tema de seguridad, prevención
y servicio(Plan de respuesta).
 TEMA 1

SENSIBILACIÓN
ESTA USTED O SU EMPRESA
PREPARADA SI OCURRE
ALGUNOS DE ESTOS
DESASTRES O EVENTOS.
Terremoto Incendio
Huelga Tsunami
Ataque a las torres gemelas

• No sólo
prepararse a
nivel de TI.
• Gestión de
Continuidad
mejor que sólo
planes.
 OTRAS CAUSAS
• Problema informático de su Organización.
• La falla en la entrega de información o insumo básico por parte
de terceros.
• La falta de provisión de servicios básicos tales como energía
eléctrica, gas, agua y telecomunicaciones.
Todo lo anterior es
cierto, pero
– …Nosotros somos
inmunes a desastres
– …Eso nunca pasará aquí
– …Nosotros tenemos una
política de seguros, eso
es suficiente
– …Nosotros nunca hemos
tenido problemas antes
Deducción
• Qué haría usted mañana si su compañía es
consumida por alguno de estos eventos o incidentes hoy?

• Qué harían sus clientes?

• Qué harían sus competidores?
• Qué harían sus bancos y accionistas?
 TEMA 2
HISTORIA Y EVOLUCION Y MARCO TEORICO DE CONTINUIDAD
• El concepto nace a finales de los años 60, en Estados Unidos solo en el
ámbito de la información para la administración de procesos de forma
adecuada y consistente.
• En los años 90 con el desarrollo de los sistemas computacionales, se tomo el
concepto de recuperación operacional y solo se recuperaba información,
pero solo en Estados Unidos se crean Normas regulatorias relacionadas hasta
la fecha.
• En el 2001 el BSI (British Standards Institution) BS 25999 en 2007
proporcionó a las empresas los principios y la metodología necesaria para
establecer planes de contingencia en caso de desastre en la organización.
Ahora, los principios y requisitos de la nueva ISO 22301, muy alineados con
los de la norma BS 25999, proporcionarán algunas mejoras que serán de gran
ayuda en los planes de continuidad de negocio de las organizaciones.
Algunos estándares internacional más comunes y certificables:
• DRII (Instituto de desastres de recuperación internacional) un
conjunto de prácticas profesionales para la elaboración de los
planes. / América
• BSI (British Standard) abarca todo el ciclo de vida de la gestión
de continuidad del Negocio / Europa.
• BS 25999-1: 2006
• BS 25999-2: 2007
• ISO 22301: 2012 (resultado de las dos anteriores) gestión
de continuidad de negocio adecuado para cualquier
organización de cualquier tamaño.
• NFPA 1600:2007 Standard on Disaster / Emergency
Management & Business Continuity.
• ISO/PAS 22399:2007 Incident Preparedness & Organizational
Continuity.
• En la actualidad el concepto de continuidad de negocio es aplicado a toda la
organización, que incorpora toda la cadena logística, es decir desde el cliente
hasta el proveedor de insumos.
Marco Teórico
• El “British Continuity Institute BCI y British Standar Institute BSI define
“Business Continuity Management” (BCM) como “un proceso de gestión
integral que identifica potenciales impactos de una amenaza a la organización y
provee una estructura flexible y una capacidad de efectiva respuesta que
resguarde los intereses de sus inversionistas, clientes, empleados, reputación,
marca y creación de valor. Teniendo en cuenta las siguientes aclaraciones:”
 Marco Teórico
• BCM no es solo una respuesta, es la capacidad de una empresa para hacer
frente a los impactos de un medio incierto.
• BCM no es solo apagar fuego, es entender que pueden existir riesgos y
establecer estrategias si pensamos que vamos hacia ello.
• BCM no es solo tener planes súper elaborados, es tener planes que se
Acomoden a la naturaleza de su negocio.
• BCM no está anexado al negocio, debe estar incorporado íntegramente con el
gerenciamiento del proceso, gerenciamiento del riesgo en general como parte
de un buen gerenciamiento del negocio.
 Ventajas el BCM en la organización:
• Administrar la continuidad del negocio.
• Resistencia del negocio ante interrupciones.
• Detectar los aspectos vulnerables y las posibles causas.
• Protege y asegura la imagen de la empresa.
• Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios.
• Aumenta la disponibilidad del negocio.
 Continuidad del Negocio y los Componentes de la Empresa
Los efectos de los incidentes, afectan todos los niveles de
la organización.
• Las Personas. son quienes trabajan en la organización, toman decisiones,
soportan los procesos, operan maquinas.
• Los Procesos. diversidad de estos existen en la organización, algunos más
importantes que otros, incluso al nivel de detener el proceso productivo
completo. Hay que identificar cada uno de ellos para determinar su impacto.
• Tecnología está presente en todo los lugares, no se trata solo de el uso de los
sistemas informáticos, también los sistemas de control y procesos,
comunicación telefónica. La importancia se nota cuando falla y prescinde de
ella.
• Comunidad o Sociedad se ha considerado importante ponerla aquí porque hay
dos puntos desde donde se puede enfocar el impacto; los clientes son los que
adquieren o utilizan nuestros servicios además va directamente relacionado
con lo que se refiere a reputación y marca .Esto es especialmente importante
cuando los incidentes son internos de la organización , accidentes,
contaminación, en general incidentes que afecten a la comunidad.
 TEMA 3
PROGRAMA Y CONCEPTOS DE CONTINUIDAD
PLAN DE RESPUESTA CORPORATIVA DE CONTINUIDAD
DEL NEGOCIO
Objetivo: Definir los 2 OBJETIVO: Definir los
lineamientos y procedimientos
procedimientos que PLAN DE PLAN DE permitan mantener la
utilizará el negocio para COMUNICACIÓN
crisis y que afecta
RECUPERACIÓN
OBJETIVO: continuidad de los
comunicar interna y/o directamente a
DE CRISIS DEL NEGOCIO servicios y procesos
externamente incidentes 3 prioritarios en caso de
o eventos que puedan la ocurrencia de un
Definir los
generar una crisis y que eventos que
puedan generar lineamientos y
evento de desastre o
afecta directamente a una PLAN DE interrupción.
1
la entidad CONTINUIDAD
y/o DEL NEGOCIOprocedimientos OBJETIVO: Establecer
externamente que utilizará el
OBJETIVO: Minimizar 5 incidentes o los procedimientos que
las lesiones y perdidas PLAN DE permitan la activación y
PLAN DE negocio para
de vidas humanas, y comunicar
RECUPERACION escalamiento de una
EMERGENCIAinterna
protección de las DE DESASTRE crisis o incidente que
instalaciones afecte o pueda afectar
4 la reputación, imagen, u
operación del negocio

OBJETIVO: Establecer los procedimientos

que permitan mantener la continuidad
de la plataforma tecnológica
PARA QUE LA ADMINISTRACIÓN DE CONTINUIDAD DEL NEGOCIO.
• Para reducir el riesgo antes de un evento.
• Como responder durante un evento.
• Para Recuperarse después del evento (restauración de la edificación,
sistema tecnológico, funciones o procesos Críticos)
OBJETIVO DE LA ADMINISTRACIÓN DE CONTINUIDAD DE NEGOCIO.
• Proteger al personal y los activos corporativos.
• Asegurar la continuidad de las operaciones.
• Garantizar la reanudación de los procesos críticos dentro de los
márgenes de tiempo tolerables.
• Minimizar el proceso de toma de decisiones durante una
Contingencia.
• Reducir los efectos negativos ocasionados por el caos.
• Mantener el servicio al cliente
• Responder a los Inversionistas.
• Cumplir con requerimientos Legales / Contractuales /
Gubernamentales.
• Reducir al máximo los niveles de dependencia sobre
personas o grupos específicos en el proceso de
continuidad.
• Eliminar la necesidad de desarrollar nuevos
procedimientos durante la contingencia.
• Minimizar la posibilidad de pérdida de información
crítica para el negocio.
• Cumplir con requerimientos de auditoria.
 Conceptos Generales
Que es un DESASTRE?
Punto de vista NORMATIVO: Un evento súbito que rebasa la capacitada
respuesta del sistema.

Punto de vista del NEGOCIO: Cualquier interrupción crítica de las

funciones del negocio que resulte en impactos operacionales o
financieros significativo y/o que requiera la reubicación a un lugar
alterno.
 Conceptos Generales
Plan de Recuperación de Desastres (DRP): Es
el conjunto de procedimientos y estrategias
definidos para asegurar la reanudación oportuna y ordenada de los
servicios informáticos críticos en caso de contingencia.
Responsable:
- Tecnología
 Conceptos Generales
Plan de Continuidad del Negocio (BCP): Es el
conjunto de procedimientos y estrategias
definidos para asegurar la reanudación oportuna y
ordenada de los procesos del negocio generando
un impacto mínimo o nulo ante una contingencia.
• Responsable:
- Unidades de Negocio y Operaciones.
 Conceptos Generales
Diferencia
Plan de Contingencias: Es un documento
desarrollado en forma preventiva, con el
objetivo de servir de guía de acción antes,
durante y después de la ocurrencia de un
Imprevisto.
Factores críticos en continuidad:
• Si pierdes la información de la organización en algún momento.
• Si pierdes acceso a ciertas localidades, por problemas climáticos,
manifestaciones públicas, etc.
• Tema de gente por desastres naturales, pandemias que no les permiten
llegar a trabajar.
• Problemas con la electricidad.
•Dependencia de proveedores
• Te falla en el servido que brinda.
• Pierdes tus instalaciones – incendio, terremotos
 Factores importantes para la elaboración de
los planes de continuidad
1. Análisis de riesgo (RA), revisar de acuerdo a nuestro negocio cuáles
son los riesgos o amenazas a los cuales se expone el negocio,
agrupándolos en las siguientes categorías: naturaleza, tecnología,
creados (por personas, accidental o a propósito). Qué voy hacer
cuando se materialicen, que controles debo implementar, como los
voy a mitigar. La importancia de estos es si evaluamos mal los riesgos
obviamente se obtendrá un plan que no servirá.
2. Análisis Impacto en el Negocio (BIA/AIA), identificar las actividades
de misión crítica de una organización, sus dependencias y sus puntos
de fallas así como analizar el impacto y el efecto que se generaría en
caso de la perdida e interrupción de las actividades de misión crítica.
La clave para realizar un BIA es analizar el negocio como un todo, más
no como componentes, procesos o funciones individuales. Debe
determinarse por cada proceso de negocio dos parámetros, el RTO y
el RPO
El RTO (Recovery Time Objetive) establece cómo de rápido las diferentes
unidades de negocio necesitar volver a su funcionamiento. Por tanto,
determina los requisitos de recuperación. Estos pueden establecerse en
periodos de tiempo en función de la criticidad de los procesos y pueden
ser cuestión de horas o en aquellos procesos prescindibles, semanas.

El RPO (Recovery Point Objetive) es el más reciente punto en el tiempo

en el que los sistemas pueden ser recuperados, reflejando por tanto
cuanta es la cantidad de información que una organización puede
permitirse perder sin que afecte muy negativamente a la organización. Por
tanto, el RPO determina la periodicidad con la que deben salvaguardarse
los datos para todos aquellos procesos de negocio
3. Desarrollo Implementación del plan de continuidad
negocios. Esta fase involucra el diseño, desarrollo e
implementación de planes de continuidad del negocio
para evitar interrupciones de acuerdo a los marcos
establecidos.

4. Prueba, Planificar y coordinar el plan de ejercicios y

evaluar, y documentar los resultados de los mismos.
Aumentar el nivel de prueba.

5. Actualización, Definir un cronograma de

mantenimiento de los planes, formular los
procedimientos de control de cambios, establecer
procedimientos para informar el estado de los planes.
 BCM
(ADMINISTRACIÓN DE CONTINUIDAD DE NEGOCIO)
Linea de Tiempo de una Contingencia
Unidades
de Plan de Continuidad y Procedimientos (BCP)
Negocio

Contención Vuelta a la
Unidades Operación en Contingencia Normalidad
Operativas Mitigación

RPO RTO
Comité
Administración
de Crisis
Comité t4 t1 t2 t3 Sitio Alterno t5 t6 t
Continuidad de
Negocio
RPO: Punto de Ejecución RTO: Tiempo de Período en Contingencia Tiempo para
Recuperación Árbol de Recuperación retornar a la
Objetivo Llamados Objetivo Normalidad

Mantener Contingencia y
Tecnología Actividades para
Soporte a la operación
levantar sitio y/o
Comunicaciones sistemas alternos Actividades para la Vuelta a la Ejecutar Vuelta
RRHH Normalidad Normalidad

Plan de Recuperación de Desastres (ICT &BC _DRP)

 CONCLUSIÓN
El hecho de que su Organización tenga un plan de contingencia
o de continuidad no implica que se trabaje inadecuadamente.
Por el contrario indica que su Organización es previsora y que
está cubriendo las eventualidades tanto internas como externas.