Plan Continuidad Negocio

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Plan de Continuidad de Negocio
Ramiro Cid | @ramirocid

2
Índice
1. Posibles tipos de desastres Pág. 4
2. Plan de continuidad Pág. 7
3. Diferentes enfoques de Business Continuity Plan Pág. 14
4. BS 25999 Pág. 17
5. Business Impact Analysis (BIA) Pág. 23
6. Estrategias para la creación de BCP Pág. 25
7. Estrategias posibles para los centros de respaldo Pág. 26
8. Estructura de los BCP Pág. 32
9. Relación de procesos de los BCP Pág. 42

¿100% Seguridad?
“El único sistema que es realmente seguro es uno apagado y desconectado
de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un
bunker, rodeado de gas nervioso y custodiado por guardas armados y muy
bien pagados. Incluso entonces, no daría mi vida por ello …”
Gene Spafford
Director de Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue

Posibles tipos de desastres
Otras
2%
Errores Hardware
8%
Errores Humanos
2%
Inundaciones
10%
Caídas de Red
2%
Tormentas y Rayos
12% Terremotos
5%
Fuego
6%
Sabotaje
3%
Chispas y Subidas de Tensión
3%
Huracanes
6%
Atentados
7%
Fugas de agua
1%
Caídas de Energía
27%
Fallos en el Servicio
1%
Errores Software
5%

Despacho de un Responsable de Área TIC después de un incendio y la utilización
de extinción automática por agua.

Plan de continuidad
Las organizaciones tratan de evitar las situaciones de riesgos a través de la
instalación de medidas de seguridad preventivas.
A pesar de la inversión que se pueda realizar, hay que asumir que nunca se
podrá obtener una seguridad del 100%.
Para tratar de reducir estos riesgos se deben pensar planes de reacción
antes las situaciones de riesgo que se consideren más críticas.
Los planes de continuidad de negocio se definen para CUANDO falle el
sistema, no POR SI FALLA.

Plan de continuidad
Un Plan de Continuidad de Negocio es la respuesta prevista por una
organización ante aquellas situaciones de riesgo que afectan de forma
crítica a los servicios que ofrecen y que son los que le permiten la
realización de sus actividades diarias y que deben ser las que se quieren
protegen.
En esencia, un Plan de Continuidad de Negocio se centra en obtener el
mínimo tiempo de recuperación ante una determinada situación de riesgo
así como la minimización de las consecuencias que estas acciones
podrían llegar a provocar.

Plan de continuidad
Los Planes de Continuidad de Negocio buscan:
1. Mantener el nivel de servicio en los límites definidos por la organización.
2. Establecer un período de recuperación mínimo para garantizar la
continuidad del negocio.
3. Recuperar la situación inicial de los servicios y procesos hasta la situación
anterior al incidente de seguridad que lo provocó.
4. Analizar el resultado de la aplicación del Plan de Continuidad de Negocio y
los motivos del fallo para optimizar las acciones que la comprenden.
Deben estar en consonancia con el Análisis de Riesgos de la organización ya
que permite identificar las medidas de seguridad que se deben implantar
en una organización así como ante que situaciones se deberá pensar en
el Plan de Continuidad de Negocio.

Análisis de Riesgos y Planes de Continuidad
De un proceso de Análisis de Riesgos se obtienen:
1. Situación a controlar
2. Situación objetivo
3. Controles implementados
4. Controles del plan de continuidad
5. Activos implicados
6. Amenazas
7. Áreas de la empresa implicadas

Estructura de los Planes de Continuidad
Activos críticos
Definición situaciones críticas Procesos de trabajo
Análisis de riesgos
Asignación de responsabilidades Comité de emergencia
Responsables de planes
Disparo situación de alarma Indicadores de disparo
y acciones de respuesta Secuencia de acciones
Registros
Planes de mantenimientos Datos de pruebas y disparo
Propuestas de mejora o cambios

Planes de Continuidad
Tienen que responder a las diferentes situaciones de riesgos que están
definidas.
Recogen todas las acciones a llevar a cabo desde el momento que se
detecta la emergencia hasta que la empresa vuelve a sus condiciones de
funcionamiento.

Planes de Continuidad
Resulta fundamental para el éxito de un Plan de Continuidad de Negocio
que se tengan en consideración los siguientes aspectos de cara al éxito
de este tipo de proyectos:
Detectar todos los recursos necesarios que se requieren tanto para la
protección como para la recuperación de los procesos a salvaguardar.
Definir la disponibilidad, mantenimiento y operatividad de todos los recursos
implicados en el Plan de Continuidad de Negocio.
Establecer claramente el momento de disparo de los Planes de Continuidad.
Asignar un responsable al Plan de Contingencias específico.
Asignar responsabilidades claramente para cada acción definida.
Establecer un proceso de revisión una vez recuperada la situación.

Diferentes enfoques de Business Continuity Plan
Disaster Recovery Planning (DRP)
Recuperación de los servicios TIC y los recursos, dado un evento que
ocasiona un interrupción mayor en su funcionamiento.
Bussiness Resumption Planning (BRP)
Reanudación de los procesos de negocio afectados por un fallo en las
aplicaciones de IT.
Continuity od Operations Planning (COOP)
Busca la recuperación de las funciones estratégicas de una organización que
son desempeñadas en sus instalaciones corporativas.

Contingencia Planning (CP)
Se enfoca en la recuperación de los servicios y recursos de TI después de un
desastre de dimensiones mayores a una interrupción menor.
Emergency Response Planning
Es de salvaguardar, a los empleados, público, ambiente y a los activos de la
empresa.
Diferentes enfoques de Business Continuity Plan

Normativas para la creación de los Planes de Continuidad de Negocio
Durante este año 2007 se presentó la primera normativa de carácter
internacional en la que se indica que aspectos deben tenerse en
consideración a la hora de la creación e implantación de un Plan de
Continuidad de Negocio en una organización. Esta normativa se
denomina BS 25999.
Es la primera norma con carácter internacional (durante el próximo año
pasará a ser ISO) que aporta unas buenas prácticas para la gestión de la
continuidad del negocio.
Incluso está en elaboración la segunda parte de esta norma con el objetivo de
poder certificar dichos PCN.
Determina como deben gestionarse de la forma correcta los planes de
continuidad de negocio con el objetivo de que se integren en las
organizaciones.

BS 25999
Este estándar describe las diferentes fases que tienen que establecerse
para la creación y gestión continua de un plan de continuidad de negocio.
Programa de
Gestión del
PCN
Comprensión de la
Organización
Determinación de
la estrategia del
PCN
Desarrollo e
implementación del
PCN
Prueba,
mantenimiento y
revisión del PCN

BS 25999: Primera Fase
Comprensión de la organización
Esta primera fase a la hora de la creación de un Plan de Continuidad de Negocio
resulta la más crítica y fundamental de cara al éxito de este tipo de proyectos. El
objetivo fundamental consiste en la comprensión total de las actividades que se
realizan por parte de la organización así como todos los elementos que se requieren
para la realización de estos procesos.
Para la elaboración de esta primera fase se divide en dos sub-fases:
Gestión del riesgo
Tratar de minimizar los riesgos detectado en el Análisis de Riesgo con el fin de
reducir los riesgos existentes, preferentemente aquellos que podrían provocar
grandes daños para la organización.

Business Impact Analysis (BIA)
Consiste en identificar los procesos relacionados con la misión de la organización y
analizar con mucho detalle los impactos en la gestión comercial del negocio si
esos procesos se vieran interrumpidos como resultado de un desastre.
Se identifican las áreas críticas para el alcance de la organización, así como la
magnitud potencial del impacto operativo y financiero.
El BIA resulta el proceso más complejo dentro de un Plan de Continuidad de
Negocio ya que es a partir del mismo que se consigue identificar los valores
fundamentales de todo PCN:
Tiempo máximo de inactividad por proceso / actividad de negocio.
Tiempo de recuperación de la información que se requiere para ofrecer un proceso
/actividad de negocio.
Minimo nivel de servicio que se requiere para ofrecer los procesos /actividades de
negocio
BS 25999: Primera Fase

BS 25999: Segunda Fase
Determinación de la estrategia del PCN
Consiste en la realización del estudio de las posibles soluciones que existen
para poder recuperar los procesos más críticos en el menor tiempo posible
con una menor inversión.
El objetivo es garantizar que no se superará el tiempo máximo de inactividad
de negocio permitido desde el momento en el que sucede la contingencia
hasta que el servicio se vuelve a ofrecer.

BS 25999: Tercera Fase
Desarrollo e implantación del Plan de Continuidad de Negocio
Consiste en la creación de:
Los equipos de continuidad de negocio.
Preparación de las infraestructuras requeridas para la ejecución de estos planes
de continuidad.
Determinación de los momentos de ejecución de los diferentes planes.
Elaboración de las diferentes acciones que se deberán ejecutar en el momento de
uso del Plan de Continuidad de Negocio.
Determinación de las personas que deben ejecutar todas y cada una de las
acciones que se deberán desarrollar.

Prueba, mantenimiento y revisión del Plan de Continuidad de Negocio
Prueba de los PCN
Se deben efectuar de forma periódica pruebas para verificar que el plan de continuidad
de negocio consigue los objetivos marcados a la hora de la determinación y creación
de estos planes
Estas pruebas sirven para la realización de mejoras en el Plan de Continuidad de
Negocio.
Mantenimiento del PCN
Se trata de mantener el Plan de Continuidad de Negocio en un estado de preparación
constante para dado un desastre poder ejecutarlo minimizando las posibilidades de
error.
BS 25999: Tercera Fase

Business Impact Analysis
Resulta una de las fases más importantes a la hora de
la creación de los planes de continuidad de negocio.
Se realiza a nivel de proceso y no a nivel de activo.
Conviene una clara y precisa comprensión del negocio
La información se extrae de entrevistas con diferentes
personas de alta dirección del negocio así
Permite decidir que procesos deberán recuperarse con
anterioridad en caso de desastre
Incluye aspectos como:
• pérdida de ingresos,
•sanciones y multas,
• pérdida de imagen
• incremento de
costes.

Business Impact Analysis

Estrategias para la creación del PCN
Existen varios aspectos fundamentales a la hora de la decisión de una
solución:

Estrategias posibles para los Centro de Respaldo
Cold Site
Solo tienen:
Cableado eléctrico
Aire Acondicionado
Warm Site
Configuraciones parciales, solo
Conexiones de red
Equipos periféricos
Carecen generalmente de la CPU
La disponibilidad depende del acopio e instalación de la CPU
Deben ser compatibles, (equipo, red y software)
Necesitan CPU, personal, programas, datos y documentación
Destinado para operaciones de emergencia para periodos cortos

Hot Site
Configuraciones totales
Listas para ser usadas dentro de pocas horas
Deben ser compatibles: equipos, red y software
Necesitan personal, programas, datos y documentación
Destinados a
operaciones de emergencia para periodos cortos
operaciones de emergencia para procesos de negocio muy críticos
Caros compartidos

Lugares dedicados
Son lugares dedicados (generalmente propios)
Para asegurar su viabilidad es necesario:
No debe estar sujeto a los mismos desastres que el lugar primario
Debe haber coordinación de estrategias de actualización (hard/soft) entre ambos
centros
Debe asegurar la disponibilidad de los recursos
Debe haber acuerdos para agregar aplicaciones (carga de trabajo) para la
recuperación
Es necesario una prueba periódica

Sitios móviles
Remolque diseñado para ser trasladado rápidamente
Suelen contener
Servidores
Estaciones de trabajo
Equipos de comunicaciones
Enlaces vía satélite
Útiles para
desastres que afectan a una amplia zona geográfica
organizaciones de oficinas múltiples

Acuerdos recíprocos
Los participantes acuerdan proveerse mutuamente instalaciones en caso de
emergencia
Ventajas
Bajo Costo
Es posible que sea la única alternativa
Inconvenientes
Estos acuerdos NO suelen OBLIGAR a las partes
Pueden existir INCOMPATIBILIDADES de equipos y configuración
Los cambios sobre carga de trabajo afectan a los participantes

Estructura de los BCP
Esquema de los BCP:
1. Objetivo
2. Alcance
3. Descripción de la situación a controlar
1. Riesgos a controlar
2. Activos que intervienen
3. Nivel de servicio exigido
4. Tiempos para cada respuesta: tiempo total de reacción
5. Recursos necesarios en cada uno de los planes. Disponibilidad y
operatividad
4. Listado de Procedimientos concretos y responsables
5. Disparo de Alarma

6. Plan de respuesta
7. Plan de respaldo
8. Plan de recuperación
9. Plan de análisis y mejora
10. Planes de prueba

Objetivo: recoge brevemente el objetivo del plan de contingencia concreto
Alcance: recoge el ámbito de aplicación del PC. Se define el servicio,
localización en la empresa, personal responsable, etc.

3. Descripción de la situación a controlar: Recoge los datos de la situación
analizada y los parámetros que se quieren mantener.
Situaciones de riesgo: descripción de amenazas y forma de actuación
Activos involucrados: listado y consecuencias producidas
Niveles exigidos: situación requerida de la empresa para la situación
descrita en los PC en los momentos de interrupción del servicio
Tiempos de respuesta: tiempo máx. para alcanzar cada una de las fases
Recursos necesarios para los planes de respuesta, respaldo y recuperación

4. Planes desarrollados y responsables en cada uno de los planes: listado
de los planes o procedimientos concretos con los responsables de los
mismos. Se especifica versión, aprobación y distribución, así como la
persona responsable de su implantación y mantenimiento.
5. Disparo de alarma: Recoge claramente las situaciones o indicadores que
hacen que las acciones indicadas arranquen. Se define quién puede
detectar estas situaciones de inicio y qué primera acción debe efectuar.

6. Plan de respuesta: procedimiento que describe las acciones a realizar
tras el disparo de la alarma o emergencia:
Acciones para proteger a las personas
Acciones para cortar la situación de riesgo: control de las amenazas
Acciones para proteger los activos
Acciones de notificaciones públicas
Registro de las acciones que se van realizando

7. Plan de respaldo: procedimiento donde se describen las acciones a llevar
a cabo para mantener el servicio mientras se resuelve la situación de
emergencia. Trata de mantener el servicio en los niveles requeridos por la
organización.
Recursos necesarios para mantener la operación
Mantenimiento de los recursos
Activación de las diferentes acciones
Registro de las acciones llevadas a cabo: inicio, desarrollo y resultados
Personal implicado

8. Plan de recuperación: procedimiento donde se describen los pasos a
realizar para restaurar el servicio a los niveles que existían antes de las
emergencias.
Restitución de activos, suministros, entorno
Arranque de los sistemas, servicios, etc.
Pruebas para comprobar los sistemas restaurados
Puesta en operación
Retirada de los planes de respaldo
Registro de las acciones realizadas y resultados.

9. Plan de análisis y mejora: procedimiento donde se describe qué datos
analizar y cómo hacerlo una vez finalizada la emergencia y restaurados
los sistemas
Datos sobre situación de emergencia, causas, duración, daño producido
Datos sobre el desarrollo y adecuación de los planes de respuesta,
respaldo y restauración. Registros tomados durante el desarrollo de los
planes
Problemas detectados en el proceso del PC
Informe para comité de seguridad/emergencia
Propuesta de acciones correctoras y de mejora. Seguimiento.

10.Planes de prueba: descripción de las pruebas a realizar del plan de
contingencias para verificar que funcione correctamente, están los
recursos necesarios disponibles, están los procedimientos disponibles y
son conocidos.
Planificación de las pruebas
Responsables de realizar las pruebas
Pasos a realizar, simulacros
Análisis de los resultados
Presentación de mejoras al responsable del plan de contingencias y al
comité de seguridad/emergencia.

Relación de procesos de los BCP
Disparo
de alarma
Plan de respuesta
Plan de respaldo Plan de recuperación
Plan de Análisis y
Mejora
Plan de pruebas
Resultados
Pruebas
Registros
Propuestas de
cambios y
mejora
si
no

Desarrollo de los PCN
Nº FUNCIÓN Responsable Resultado
1 Considerando el Análisis de Riesgos. Describir
el esquema de los PC
Comité Seguridad
Responsable Seguridad
Estructura PC
PC a desarrollar por los
responsables PC
2 Para cada PC describir los puntos y procesos
de cada uno de ellos
Responsable de los PC PC
Registros definitivos
3 Revisar los PC para coordinar acciones y
asegurar la coherencia
Comité seguridad
Responsable Seguridad
Aprobación formal de los planes
4 Establecer y aprobar la programación de las
pruebas y revisiones de los PC
Comité seguridad
Responsable seguridad
Aprobación formal de los planes
de pruebas
5 Asegurar la disponibilidad de los recursos
necesarios para aplicar los planes
Responsables del PC Recursos disponibles
6 Distribución de los planes y formación del
personal
Responsable de los PC Conocimiento y preparación del
personal implicado
7 Desarrollo de pruebas y revisiones Responsable de PC Mejora y mantenimiento de los
PC

¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
ramiro@ramirocid.com
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
http://www.youtube.com/user/cidramiro
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Plan Continuidad Negocio

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Plan Continuidad Negocio

Similar to Plan Continuidad Negocio (20)

More from Ramiro Cid

More from Ramiro Cid (20)

Recently uploaded

Recently uploaded (20)

Plan Continuidad Negocio