D.5 Continuidad Del Negocio y Recuperacin de Desastres ISACA PDF

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10
Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

1
Continuidad del Negocio y Recuperacin de Desastres
1.- Introduccin
La planificacin de la continuidad del negocio BCP y la planificacin de la contingencia
para los sistemas de informacin son elementos de un sistema de control interno que se
establece para gestionar la disponibilidad de los procesos crticos en el caso de una
interrupcin. La parte ms importante de ese plan trata con el soporte rentable del sistema
de informacin. La disponibilidad de los datos del negocio es vital para el desarrollo
sostenible y/o incluso para la supervivencia de cualquier organizacin.
La BCP es un proceso continuo ms que un proyecto. Los planes que el planificador
desarrolla como parte de este proceso dirigirn la respuesta a incidentes desde simples
emergencias hasta desastres totales.
La meta ltima del proceso es poder responder a incidentes que puedan impactar en la
gente, las operaciones y la capacidad de entregar bienes y servicios al mercado.
Esta rea presenta una visin general de los principios de continuidad del negocio y
recuperacin de desastres y especficamente las siguientes reas:
- Los procesos de BCP y planeacin de recuperacin ante desastres DRP.
- Anlisis de impacto al negocio BIA.
- Estrategias y Alternativas de Recuperacin.
- Pruebas de Plan.
- Respaldo y Restauracin.
- Consideraciones de Auditora.

2
2.- Relacin de las tareas con los conocimientos relacionados
Las tareas son lo que se espera que el candidato CISA sepa cmo hacer. Los
conocimientos relacionados delinean lo que se espera que el candidato CISA sepa para
realizar las tareas.
3.- Plan de la Continuidad del Negocio/ Recuperacin de Desastres (BCP/DRP)
BCP es un proceso diseado para reducir el riesgo del negocio de la organizacin que
surja de una interrupcin no esperada de las funciones/operaciones crticas (manuales o
automticas) necesarias para la supervivencia de la misma. Esto incluye recursos
humanos/materiales que soportan estas funciones/operaciones crticas y garanta de la
continuidad de por lo menos el nivel mnimo de los servicios necesarios para al menos las
operaciones crticas.
El primer enfoque para afrontar cualquier riesgo debe ser eliminar la amenaza
considerando las ubicaciones de negocios materiales para la construccin y la
duplicacin de funciones clave en ubicaciones remotas. Un objetivo realista es asegurar
la supervivencia de una organizacin estableciendo una cultura que identificar y
gestionar esos riesgos que podran causarle que sufra.
Algunos ejemplos de estos riesgos corporativos incluyen:
-Incapacidad de mantener los servicios crticos al cliente.
- Dao en la participacin de mercado, la imagen, reputacin o marca.
- No poder proteger los activos de la compaa, incluyendo propiedad intelectual y
personal.
- Falla de control de negocio.
- No poder cumplir los requerimientos legales o regulatorios.
El objetivo de la Continuidad del Negocio/ Recuperacin ante Desastres es permitir que un
negocio contine brindando sus servicios crticos en caso de una interrupcin y que pueda
sobrevivir a una interrupcin desastrosa de sus sistemas de informacin. Es necesaria una

3
planificacin rigurosa y una asignacin de recursos para planear adecuadamente para
un evento semejante.
Lo primero que hay que hacer para desarrollar un BCP es identificar los procesos de
negocio de importancia estratgica, que son los procesos clave que son responsables
tanto del crecimiento permanente del negocio como del cumplimiento de las metas del
negocio. Idealmente el BCP/DRP debe ser respaldado por una poltica ejecutiva formal
que establezca el objetivo general de la organizacin y asigna poder a las personas que
estn involucradas en el desarrollo, prueba y mantenimiento del plan.
Teniendo presente los procesos clave, el proceso de gestin de riesgos debe comenzar
con una valoracin de riesgos. El riesgo es directamente proporcional al impacto a la
organizacin y la probabilidad de que ocurra la amenaza percibida. El resultado de la
valoracin de riesgos debe ser la identificacin de lo siguiente:
- Aquellos recursos humanos, datos, elementos de infraestructura y otros recursos, incluyendo
aquellos suministrados por terceros que soportan los procesos clave.
- Una lista de las vulnerabilidades potenciales, los peligros o amenazas a la organizacin.
- La probabilidad estimada de que ocurran estas amenazas.
La parte de operaciones del BCP debe tratar todas las funciones y activos requeridos para
continuar como una organizacin viable. Aprovisionar al negocio con instalaciones
externas, algo que debera ser perseguido, es en ltima instancia una decisin de negocio
basada en la gestin de riesgos.
El centro de atencin est en la disponibilidad de los procesos clave del negocio para
continuar operaciones si surgiera algn tipo de interrupcin.
BCP es principalmente una responsabilidad de alta direccin, ya que ella es la encargada
de salvaguardar tanto los activos como la viabilidad de la organizacin, como se define
en la poltica de BCP/DRP. El BCP es generalmente ejecutad0Ppor las unidades de
negocio y de soporte por igual, para proveer un nivel reducido pero suficiente de
funcionalidad de las operaciones del negocio, inmediatamente despus de que se

4
produzca una interrupcin, mientras se est llevando a cabo la recuperacin. Este plan
debe tratar todas las funciones y los activos que se requieren para continuar como una
organizacin viable. Esto incluye los procedimientos de continuidad calificados como
necesarios para sobrevivir y para minimizar las consecuencias de la interrupcin del
negocio.
El BCP toma en consideracin:
Las operaciones crticas que son ms necesarias para la supervivencia de la organizacin.
Los recursos humanos/material que las soportan.
Adems del plan de continuidad de las operaciones, el BCP incluye:
- El DRP que se usa para recuperar una instalacin que se torn inoperable, incluyendo la
reubicacin de las operaciones en un nuevo lugar.
- El plan de restauracin que se usa para regresar las operaciones a la normalidad, ya sea en
una instalacin recuperada o en una nueva.
Dependiendo de la complejidad de la organizacin, podra haber uno o ms planes para
tratar los diversos aspectos de la continuidad del negocio y recuperacin ante desastres.
Estos planes no tienen necesariamente que ser integrados en un solo plan. Sin embargo,
cada uno tiene que ser consiente con otros planes para tener una estrategia viable de
BCP.
Es aconsejable tener un plan integrado para asegurar que:
- Todos los aspectos se cubran.
- Todos los recursos comprometidos se utilicen de la manera ms efectiva y exista la
confianza de que, a travs de su aplicacin, la organizacin sobreviva a una interrupcin.
4.- Planeacin de la continuidad del negocio/ recuperacin ante desastres de SI
Para el caso de la planeacin de continuidad del negocio de SI, el mtodo es el mismo
que en BCP, con la diferencia de que este caso los sistemas de procesamiento de SI estn

5
amenazados. El procesamiento de SI es de importancia estratgica. Es un componente
crtico ya que la mayora de los procesos clave del negocio depende de la disponibilidad
de sistemas clave y componente de infraestructura.
La planeacin de la continuidad del negocio/recuperacin ante desastres de SI es un
componente importante de la estrategia general de continuidad del negocio y
recuperacin ante desastres de una organizacin. Por lo tanto, debera haber una
instalacin reservada y lista para soportar estas operaciones clave en caso de una
interrupcin en que el negocio no pudiera funcionar sin el procesamiento continuo de
informacin. En caso de que fuera un plan respaldo, el plan de SI deber ser consistente
con y soportar el BCP corporativo.
El plan de continuidad del negocio del SI debe tambin estar alineado con la estrategia
de la organizacin. De ese modo, la clasificacin con respecto a la criticidad de los
diversos sistemas de aplicacin desplegados en la organizacin depende de la
naturaleza del negocio as como tambin del valor de cada aplicacin del negocio.
Una vez que la valoracin de riesgos identifica el valor de los componentes de SI para la
organizacin, se puede desarrollar un plan para establecer la criticidad de los sistemas y
los mtodos ms apropiados para la restauracin.
Un plan de continuidad del negocio de SI es mucho ms que slo un plan para los
sistemas de informacin. Un BCP identifica lo que el negocio har en el caso de un
desastre. Un subcomponente del plan de continuidad del negocio es el plan de
recuperacin ante desastres de TI. ste, tpicamente detalla el proceso que el personal de
TI utilizar para restablecer los sistemas de cmputo. Los DRPs pueden estar incluidos en el
BCP como un documento completamente separado, dependiendo de las necesidades del
negocio.
No todos los sistemas requerirn de una estrategia de recuperacin. Basada en los
resultados del anlisis de riesgo, la gerencia puede no ver una relacin costo-beneficio
favorable para restablecer ciertas aplicaciones en el caso de un desastre. Un factor que
se debe tener siempre presente para determinar las opciones de recuperacin es que el
costo nunca debe exceder el beneficio.

6
La calidad de los elementos de SI es esencial para la recuperacin ante desastres de SI.
Por lo tanto, se recomienda que la organizacin implemente un sistema de gestin de
seguridad de la informacin para mantener la integridad, confidencialidad y
disponibilidad de SI.
5. Desastres y otras interrupciones
Los desastres son interrupciones que ocasionan que los recursos crticos de informacin
queden inoperantes por un perodo de tiempo, impactando adversamente las
operaciones organizacionales. La interrupcin podra durar desde varios minutos hasta
algunos meses, dependiendo de la extensin de dao a los recursos de informacin. Ms
importante an, los desastres requieren esfuerzos de recuperacin para restaurar el estado
operativo.
Un desastre puede ser causado por calamidades naturales, como por ejemplo, terremotos,
inundaciones, tornados, tormentas elctricas severas, incendios, etc. los cuales causan
daos importantes a las instalaciones de procesamiento y a la localidad en general. Otros
eventos desastrosos que causan interrupciones pueden ocurrir cuando los servicios
esperados ya no son proporcionados a la compaa, por ejemplo, el suministro de energa
elctrica, las telecomunicaciones, el suministro de gas natural u otros servicios provistos por
externos (que pueden o no estar relacionados con un desastre natural). Un desastre
podra tambin ser causado por eventos precipitados por seres humanos tales como
ataques terroristas, de hackers, virus o error humano.
No todas las interrupciones crticas del servicio son causadas por un desastre. Por ejemplo,
la interrupcin del servicio es causada a veces por mal funcionamiento del sistema,
eliminacin accidental de archivos, ataques de negacin de servicio (DoS), intrusiones y
virus.
Un buen plan de continuidad del negocio tomar en cuenta todos los tipos de
acontecimientos que impacten tanto en las instalaciones de procesamiento de los
sistemas de informacin crticos como las funciones organizacionales normales de
operacin del usuario final. Para escenarios de peor caso, se requieren estrategias de
marcha atrs de corto y largo plazo. Para el corto plazo, se puede necesitar una

7
instalacin del procesamiento alterno para satisfacer las necesidades operativas
inmediatas, como en el caso de un desastre natural mayor. En el largo plazo, para
recuperacin ante desastres, se debe considerar una nueva instalacin permanente,
equipada para proveer la continuidad del servicio de procesamiento de los sistemas de
informacin de manera regular.
Tratando con Daos a la Imagen, la Reputacin o la Marca
Los rumores dainos pueden surgir de muchas fuentes (incluso internas). Pueden o no estar
asociados con un incidente serio o con una crisis. Una de las peores consecuencias de las
crisis es la prdida de la confianza.
Toda organizacin que experimente un incidente mayor deber considerar y aplicar
algunas mejoras prcticas bsicas. Independiente de las consecuencias de un incidente
(demora o interrupcin del servicio, prdidas econmicas, etc.), de darse alguno,
cualquier opinin pblica o rumores negativos pueden ser muy costosos. Reaccionar de
manera apropiada en pblico (o para con los medios) durante una crisis no es sencillo. Se
debe nombrar y preparar de antemano un portavoz debidamente entrenado.
Normalmente, el asesor legal o un director de relaciones pblicas es la mejor eleccin.
Nadie, independientemente de su rango en la jerarqua de la organizacin, con
excepcin del portavoz, debe hacer declaraciones pblicas.
6. Proceso de planificacin de continuidad del negocio
El proceso de BCP puede dividirse en las etapas del ciclo de vida siguientes:
Creacin de una poltica de continuidad del negocio.
BIA. Anlisis de Impacto del negocio.
Clasificacin de las operaciones y anlisis de criticidad.
Identificacin de los procesos de SI que soportan funciones organizacionales crticas.
Desarrollo de un BCP y procedimientos de recuperacin ante desastres de SI.
Desarrollo de procedimientos de reanudacin.

8
Programa de capacitacin y concientizacin.
Prueba e implementacin del plan.
Monitoreo.
7. Poltica de continuidad del negocio
Una poltica de continuidad del negocio debe ser proactiva y abarcar controles
preventivos, de deteccin y correctivos. El BCP es el control correctivo ms crtico.
Depende de que otros controles sean efectivos, en particular la gestin de incidentes y
respaldo de medios.
8. Gestin de incidentes dentro de la planeacin de continuidad del negocio
Los incidentes y crisis son dinmicos por naturaleza. Evolucionan, cambian con el tiempo y
las circunstancias, y a menudo son rpidos e imprevisibles.
Dependiendo de una estimacin del nivel de daos resultantes a la organizacin, todos los
tipos de incidentes deben ser clasificados. Un sistema de clasificacin podra incluir las
siguientes categoras: sin importancia, menor, mayor y crisis. La clasificacin puede
cambiar dinmicamente mientras se resuelve el incidente. Estos niveles pueden describirse
como sigue:
Incidentes sin importancia son los que no causan daos perceptibles o significativos, como
por ejemplo, cadas del sistema operativo (OS) muy breves con recuperacin total de la
informacin o cortes de energa momentneos con respaldo de suministro ininterrumpido
de energa (UPS).
Eventos menores, son los que, aunque no insignificantes, no producen un impacto material
(de relativa importancia) o financiero negativo.
Incidentes mayores que causan un impacto material negativo sobre los procesos de
negocio y pueden afectar otros sistemas, departamentos o incluso clientes externos.
La crisis es un incidente mayor que puede tener un impacto material (de relativa
importancia) serio sobre el funcionamiento continuo del negocio y que puede tambin

9
tener un impacto adverso sobre otros sistemas o terceros. La seriedad de ellos depende de
la industria y de las circunstancias, pero la severidad es generalmente directamente
proporcional al tiempo transcurrido desde el inicio del incidente hasta su resolucin.
En general el criterio principal para la severidad (nivel) de los incidentes es el tiempo sin
servicio. Otros criterios pueden incluir el impacto sobre los datos o sobre las plataformas. El
servicio puede definirse como la inclusin de compromisos con clientes que pueden ser
tanto clientes externos como departamentos internos. En la mayora de los ambientes, la
severidad es proporcional al tiempo improductivo. Otros criterios pueden incluir el impacto
sobre los datos o sobre las plataformas
9.- Anlisis del impacto al negocio
El BIA es un paso crtico para desarrollar el BCP. Esta etapa implica identificar los diversos
eventos que podran tener un impacto sobre la continuidad de las operaciones y su
impacto financiero, humano, legal y de reputacin sobre la organizacin.
Se debe establecer la criticidad de los recursos de informacin de:
Sistemas.
Datos.
Redes.
Software de sistemas.
Instalaciones.
Hay diferentes mtodos para efectuar un anlisis del impacto sobre el negocio (BIA). Uno
de los ms populares es el mtodo del cuestionario. Este enfoque implica desarrollar un
cuestionario detallado y circularlo a los usuarios clave tanto en las reas de TI como de los
usuarios finales. La informacin recopilada es tabulada y analizada.
Otro mtodo popular es entrevistar a grupos de usuarios clave. La informacin recopilada
durante estas sesiones de entrevistas es tabulada y analizada para desarrollar un plan y
una estrategia detallada de BIA. Un tercer mtodo es reunir al personal de TI y usuarios

10
relevantes para llegar a una conclusin respecto al impacto potencial sobre el negocio de
diversos niveles de interrupcin.
Los auditores de SI deben analizar el volumen de transacciones pasadas para determinar
el impacto sobre el negocio si el sistema no estuviera disponible por un perodo
prolongado de tiempo.
Las tres principales preguntas que deben ser consideradas durante la etapa de BIA
incluyen las siguientes:
1.- Cules son los diferentes procesos de negocio?
2.- Cules son los recursos de informacin crticos relacionados con los procesos crticos
del negocio de la organizacin?
Recepcin de pagos.
Produccin.
Pago de empleados.
Publicidad.
Despacho de productos terminados.
Cumplimiento de leyes y regulaciones.
3.- cul es el perodo crtico de tiempo de recuperacin para los recursos de informacin
en el cual se debe restablecer el procesamiento del negocio antes de que se
experimenten las prdidas significativas o inaceptables?
Para tomar esta decisin, hay dos factores independientes de costo a considerar: uno es
el costo de tiempo producto del desastre, cuyo componente principal se deriva del
tiempo improductivo y de la falta de servicio.
El otro factor es el costo de las estrategias de correccin alternativas (la activacin del
BCP), que disminuye con el objetivo escogido para el tiempo de recuperacin.

11
Al identificar estos costos, se suman los costos totales (interrupciones y recuperacin)
donde una organizacin querran encontrar el punto en el cual el costo total minimizado.
Cada estrategia posible tiene un costo fijo (es decir, no cambia con el tiempo). Tenga en
cuenta que el costo fijo de cada estrategia posible puede ser diferente, normalmente,
cuanto ms es el tiempo de recuperacin que se pretende, ms elevado ser el costo fijo.
La organizacin paga por la estrategia, an si no ocurriera ningn accidente. Si hubiera un
accidente, los costos variables aumentarn de manera significativa (por ejemplo, su
contrato de warm site puede proveer un costo anual fijo ms un costo diario de
ocupacin efectiva) debido a la necesidad del personal adicional, horas adicionales,
transporte adicional y otra logstica (por ejemplo, viticos diarios, nuevas lneas de
comunicacin).
Clasificacin de las operaciones y anlisis de la criticidad
C Cl la as si if fi ic ca ac ci i n n D D D De es sc cr ri ip pc ci i n n
Crtico Estas funciones no pueden realizarse a menos que sean
reemplazadas por capacidades idnticas. Las aplicaciones
crticas no pueden ser reemplazadas por mtodos
manuales. La tolerancia a la interrupcin es muy baja. Por lo
tanto, el costo de interrupcin es muy alto.
Vital Estas funciones pueden realizarse manualmente por slo por
un perodo breve de tiempo. Hay mayor tolerancia a la
interrupcin que con los sistemas crticos, por lo tanto, los
costos de interrupcin son un poco ms bajos considerando
que las funciones son restauradas dentro de un marco de
tiempo determinado (por lo general 5 das o menos).
Sensible Estas funciones se pueden realizar manualmente, a un costo
tolerable y por un perodo prolongado de tiempo. Aun
cuando se pueden realizar manualmente, por lo general es
un proceso difcil y requiere de personal adicional para

12
llevarlas a cabo.
No Sensible Estas funciones pueden ser interrumpidas por un perodo
prolongado de tiempo, a un costo muy pequeo o nulo
para la compaa que requiere de poco o ningn esfuerzo
para ponerse al da cuando son restauradas.

La etapa siguiente en la gestin de la continuidad es identificar las diversas estrategias de
recuperacin y las alternativas disponibles para recuperarse de una interrupcin y/o un
desastre.
10.- Punto de recuperacin objetivo y tiempo de recuperacin objetivo
El RPO se determina sobre la base de la prdida de datos aceptable en caso de una
interrupcin de operaciones. Ello indica el punto ms anticipado en el tiempo al cual es
aceptable recuperar los datos. Por ejemplo, si el proceso puede permitirse perder los datos
hasta cuatro horas antes del desastre, entonces la ltima copia de respaldo debera ser
hasta cuatro horas antes del desastre o de la interrupcin y por tanto, las transacciones
durante RPO y la interrupcin debern ser ingresadas despus de la recuperacin
(conocido como catch-up data o puesta al da de los datos).
RPO cuantifica efectivamente la cantidad permitida de prdida de datos en el caso de
interrupcin. Es casi imposible recuperar la totalidad de los datos. Incluso despus de
ingresar los datos faltantes, algunos todava se perdern y a ellos se hace referencia como
datos hurfanos.
El RTO (tiempo objetivo de recuperacin) se determina sobre la base del tiempo de
inactividad aceptable en caso de una interrupcin de operaciones. Ello indica el punto
ms anticipado en el tiempo en el que las operaciones de negocio deben retomarse
despus del desastre. La siguiente figura, muestra la relacin entre RTO y RPO.

13

Cuanto ms bajo sea el tiempo de recuperacin requerido, ms elevado ser el costo de
las estrategias de recuperacin, es decir, si el RPO est en minutos (prdida de datos
aceptable ms baja posible), entonces el MIRROGING o la duplicacin de datos debe
implementarse como la estrategia de recuperacin. Si el RTO es menor, entonces el sitio
alternativo podra preferirse a un contrato de hot site.
Adems de RTO y RPO, existen algunos parmetros que son importantes para definir las
estrategias de recuperacin. Estos incluyen:
Ventana de Interrupcin: El tiempo que una organizacin puede esperar, desde el
punto de falla, hasta la restauracin de servicios/aplicaciones crticas. Despus de
ese tiempo, las prdidas progresivas causadas por la interrupcin no son
aceptables.
Objetivo de prestacin de servicios (SDO): El nivel de servicios a proveer durante el
modo de proceso alterno, hasta que se restaure la situacin normal. Esto est
directamente relacionado con las necesidades del negocio.
Cortes mximos tolerables: El tiempo mximo que la organizacin puede soportar
procesar en modo alterno.

14
11.- Estrategias de Recuperacin
Una estrategia de recuperacin identifica la mejor forma de recuperar un sistema en
caso de interrupcin, incluyendo desastre y provee orientacin basada en qu
procedimientos detallados de recuperacin se pueden desarrollar.
La estrategia apropiada es la que tiene un costo para un tiempo aceptable de
recuperacin que tambin es razonable con el impacto y la probabilidad de
ocurrencia.
Las acciones ms efectivas seran:
- Eliminar la amenaza completamente.
- Minimizar la probabilidad y el efecto de la ocurrencia.
Una estrategia de recuperacin es una combinacin de medidas preventivas,
detectivas y correctivas.
La seleccin de una estrategia de recuperacin dependera de:
- La criticidad del proceso del negocio y las aplicaciones que soportan los
procesos.
- Costo.
- El tiempo requerido para recuperarse.
- Seguridad.
En general, cada plataforma TI en la que corra una aplicacin que soporte una
funcin crtica del negocio necesitar una estrategia de recuperacin. Lo que se
trata es de firmar un acuerdo con otra organizacin que tenga equipos y sistemas
similares. Lo que se transa son horas de procesamiento.
Ventajas:
- Bajo Costo.

15
- Recuperacin rpida.
Desventajas:
- Por lo general no son obligatorias.
- Poltica divergente debido a que las organizaciones difieren en
procedimientos, personal y habilidades.
- Puede que las instalaciones no estn disponibles cuando se desean.
12.- Alternativas de Recuperacin
Las interrupciones ms prolongadas y ms costosas, en particular los desastres que
afectan la instalacin fsica primaria, requieren alternativas de recuperacin en un
sitio distinto a la ubicacin primaria (offsite). Los tipos de instalaciones de respaldo de
hardware en sitio alternativo que existen son:
Hot Sites: Se configuran totalmente y estn listos para operar dentro de varias
horas. El equipo, red y software del sistema deben ser compatibles con la instalacin
primaria que est siendo respaldada. Las nicas necesidades adicionales son
personal, programas, archivos de datos y documentacin.
Los costos asociados con el uso de un hot site de terceros por lo general son
elevados, pero ms bajos que crear un sitio redundante y con frecuencia son costos
justificables para aplicaciones crticas.
El hot site est destinado para operaciones de emergencia durante un perodo
limitado de tiempo y no para uso prolongado.
Warm Sites: Estn parcialmente configurados, por lo general con conexiones
de red y equipo perifrico seleccionado, como por ejemplo, unidades de discos y
otros controladores, pero sin la computadora principal. Algunas veces un warm site
est equipado con una CPU menos potente que la que se usa generalmente. El
supuesto detrs del concepto warm site es que la computadora puede por lo
general obtenerse rpidamente para una instalacin de emergencia y como la

16
computadora es la unidad ms cara, dicho acuerdo es menos costoso que un hot
site.
Cold Sites.
Instalaciones de Procesamiento de Informacin Duplicadas.
Sitios mviles: Especie de remolque especialmente diseado para ser
transportado rpidamente a un lugar de negocio o a un sitio alterno para proveer
una instalacin acondicionada y lista para el procesamiento de informacin.
Acuerdos recprocos con otras organizaciones: Este es un mtodo usado con
menos frecuencia entre dos o ms organizaciones con equipos o aplicaciones
similares. Bajo el acuerdo tpico, los participantes prometen proveerse mutuamente
tiempos de computadoras cuando surja una emergencia.
13.- Disposiciones contractuales
Configuraciones: Son las configuraciones de hardware y software adecuadas
para satisfacer las necesidades de la compaa, a medida que stas varan con el
tiempo?
Desastre: Es la definicin de desastre lo suficientemente amplia para
satisfacer las necesidades anticipadamente?
Velocidad de disponibilidad: Con qu rapidez despus de un desastre
estarn disponibles las instalaciones?
Suscripciones por sitio: El contrato limita el nmero de suscriptores por sitio?
Suscriptores por rea: El contrato limita el nmero de suscriptores en un
edificio o rea?
Preferencia: Quin obtiene preferencia si hay desastres comunes o
regionales? Existe copia de respaldo para instalaciones de respaldo? Es el uso de la
instalacin exclusivo o el cliente tiene que compartir el espacio disponible si ml tiples

17
clientes declaran desastres de manera simultnea? Tiene el proveedor ms de una
instalacin disponible para el uso del suscriptor?
Perodos de uso: Cunto tiempo est disponible la instalacin para su uso?
Es este perodo adecuado? Qu soporte tcnico proveer el operador del sitio?
Es adecuado?
Comunicaciones: Son las comunicaciones adecuadas? Son suficientes las
conexiones de comunicacin con el sitio de respaldo, permitir la comunicacin
ilimitada si fuera necesario?
Garantas: Qu garantas dar el proveedor respecto a la disponibilidad del
sitio y lo adecuado de las instalaciones? Hay limitaciones de responsabilidad y est
la compaa dispuesta a vivir con stas?
Auditora: Hay una clusula de derecho a auditar, que permite la auditora
del sitio para evaluar la seguridad fsica y ambiental?
Pruebas: Qu derechos de prueba estn incluidos en el contrato? Verificar
con la compaa de seguros para determinar cualquier reduccin de primas que
puedan obtenerse debido a la disponibilidad del lugar de respaldo.
Confiabilidad: El proveedor debe poder dar fe de la confiabilidad del o de los
sitios que se estn ofreciendo. Idealmente, el proveedor debe tener una UPS,
suscriptores limitados, una gestin tcnica adecuada garantas de compatibilidad
de hardware y software.
14.- Obtencin de Hardware Alternativo
Hay varias alternativas disponibles para asegurar el hardware y las instalaciones
fsicas de respaldo, incluyendo:
Un proveedor o tercero: Los proveedores de hardware son por lo general, la
mejor fuente para el reemplazo de equipo. Sin embargo, esto implica a
menudo un perodo de espera que no es aceptable para las operaciones
crticas.

18
Fuera de inventario: Dichos componentes estn rpidamente a disposicin
provenientes del inventario de los proveedores, previo aviso, no muy
anticipado, y con una necesidad mnima de acuerdos especiales.
Contrato de crdito o tarjetas de crdito de emergencia: Asegurar los planes
de recuperacin incluye instrucciones sobre cmo se va a pagar dicho
equipo.
Dado que se requieren datos y software para estas estrategias, es necesario
considerar acuerdos especiales para su respaldo en medios removibles y para su
almacenamiento seguro y a salvo fuera del sitio.
Adicionalmente, parte de la recuperacin de las instalaciones de TI involucrarn las
telecomunicaciones, para las cuales las estrategias que se consideran usualmente
incluyen:
Prevencin de desastres en red:
-Direccionamiento alternativo.
- Direccionamiento diversificado.
- Diversidad de red de largo alcance.
- Proteccin del loop local.
- Recuperacin de voz.
- Disponibilidad de circuitos apropiados y ancho de banda adecuado.
Planes de recuperacin ante desastres de servidor.
Habiendo desarrollado una estrategia para la recuperacin de las instalaciones de TI,
suficiente para soportar los procesos crticos del negocio, es esencial que las
estrategias para estas actividades puedan funcionar hasta que todas las
instalaciones sean restauradas. Por lo tanto pueden incluir:
No hacer nada hasta que las instalaciones de recuperacin estn listas.

19
Usar los procedimientos manuales.
Cumplir solamente con los requerimientos regulatorios y legales.
Concentrarse en los clientes, proveedores, productos, sistemas, etc. ms
importantes.
Usar sistemas basados en PC para capturar datos para realizar procesamiento
local simple.
15.- Desarrollo de planes de continuidad del negocio y recuperacin de desastres
Basado en la informacin recibida del BIA, el anlisis de criticidad y la estrategia de
recuperacin seleccionada por la gerencia, se debe desarrollar o revisar un plan
detallado de continuidad del negocio y recuperacin ante desastres.
Los diversos factores que se deben considerar mientras se desarrolla/ revisa el plan son:
- Estar preparado antes de un desastre cubriendo el manejo de respuestas a
incidentes para tratar todos los incidentes que afecten los procesos del
negocio.
- Procedimientos de evacuacin.
- Procedimientos para declarar un desastre.
- Las circunstancias bajo las cuales se debe declarar un desastre. Todas las
interrupciones no son desastres, pero un pequeo incidente, si no es tratado a
su debido tiempo o de manera apropiada, puede conducir a un desastre. Por
ejemplo, un ataque de virus no reconocido y contenido a tiempo puede
hacer colapsar toda la instalacin de TI.
- La clara identificacin de las responsabilidades en el plan.
- La clara identificacin de informacin de los contratos.
- La explicacin paso por paso de la opcin de recuperacin.

20
- La clara identificacin de los diversos recursos requeridos para la
recuperacin y operacin continua de la organizacin.
El plan debe estar documentado y escrito en un lenguaje sencillo y comprensible para
todos.
16.- Organizacin y Asignacin de Responsabilidades
El plan debe identificar los equipos con sus responsabilidades asignadas en el caso de un
incidente / desastre. Para implementar las estrategias que se han desarrollado para la
recuperacin del negocio, se debe identificar el personal de tomas de decisiones de SI y
del usuario final. Es una buena idea desarrollar una matriz sobre la correlacin entre los
equipos que se necesitan para participar y el esfuerzo de recuperacin/ nivel de
interrupcin estimado.
Los equipos de recuperacin/ continuidad/ respuesta pueden incluir cualquiera de los
siguientes:
- Equipo de respuesta a incidentes.
- Equipo de accin de emergencia.
- Equipo de evaluacin de daos.
- Equipo de administracin de la emergencia.
- Equipo de almacenamiento de offsite.
- Equipo del software.
- Equipo de las aplicaciones.
- Equipo de seguridad.
- Equipo de operaciones de emergencia.
- Equipo de recuperacin de la red.
- Equipo de comunicaciones.

21
- Equipo de transportes.
- Equipo de hardware de usuario.
- Equipo de preparacin de datos y registros.
- Equipo de soporte administrativo.
- Equipo de suministros.
- Equipo de salvamento.
- Equipo de reubicacin.
- Equipo de coordinacin.
- Equipo de asuntos legales.
- Equipo de prueba de recuperacin.
- Equipo de entrenamiento.
Equipo de Administracin de Emergencia: coordina las actividades de todos
los otros equipos de recuperacin. Este equipo se encarga de:
- Recuperar los datos crticos y vitales desde el sitio de almacenamiento alterno.
- Instalar y comprobar el software del sistema y las aplicaciones en el lugar de
recuperacin.
- Identificar, comprar e instalar el hardware en el lugar de recuperacin del
sistema.
- Operar desde el lugar de recuperacin del sistema.
- Redireccionar el trfico de comunicaciones de red.
- Restablecer la red de usuario/ sistema.
- Transportar a los usuarios a la instalacin de recuperacin.

22
- Reconstruir bases de datos.
- Suministrar los artculos de oficina necesarios, tales como, formularios
especiales, inventario de cheques, papel.
- Hacer los arreglos y pagar por los gastos de reubicacin de los empleados en
el sitio de recuperacin.
17.- Otros aspectos a tener en cuenta en el desarrollo del plan
La participacin de la gerencia es vital para el xito del BCP. Es esencial para la
identificacin de los sistemas, sus tiempos crticos de recuperacin asociados y recursos
que necesita para la recuperacin.
Las tres divisiones principales que requieren participacin en la formulacin del BCP son los
servicios de soporte, las operaciones del negocio y el soporte de procesamiento de
informacin.
La organizacin completa necesita ser considerada para el BCP y no solamente el
personal TI.
Cuando el plan se formule, se deben incluir los siguientes puntos: Una lista del personal, con
informacin de contacto, requerido para mantener las funciones crticas del negocio en el
corto, mediano y largo plazo. La configuracin de las instalaciones fsicas, escritorios, sillas,
telfonos etc. que se requieren para mantener las funciones crticas del negocio, en el
corto, mediano y largo plazo.
Es decir, componentes de un BCP:
- Personal clave para la toma de decisiones (rbol de llamadas y directorios). Es
un directorio telefnico de las personas que deben ser notificadas en caso de
un desastre o de una catstrofe.
- Respaldo de los suministros requeridos (base de datos, sistemas operativos,
etc.). se deben considerar todos los suministros necesarios para la continuidad

23
de las actividades normales del negocio durante el proceso de recuperacin.
Procedimientos, formularios y todos los documentos que se requieran.
- Mtodos de recuperacin de desastre de las redes de telecomunicaciones.
- Arreglo redundante de discos independientes.
- Seguros.
Propsito y Alcance de los Componentes del BCP
Plan Propsito Alcance
Plan de continuidad
del negocio BCP.
Procedimientos para sostener las
operaciones esenciales del negocio
mientras ste se recupera de una
interrupcin significativa.
Se ocupa de los procesos del
negocio; dirigido a TI basado
nicamente como soporte para
los procesos de negocio.
Plan de recuperacin
o reanudacin del
negocio. BRP
Proveer procedimientos para
recuperar las operaciones del
negocio inmediatamente despus
de un desastre.
Se ocupa de los procesos de
negocio; no se enfoca en TI;
dirigido a TI basado nicamente
como soporte para los procesos
de negocio.
Plan de continuidad
de las operaciones
COOP
Proveer procedimientos y
capacidades para sostener las
funciones estratgicas esenciales de
una organizacin en un sitio alterno
hasta por 30 das.
Se ocupa del subconjunto de
las misiones de una
organizacin que se consideran
ms crticas; por lo general se
escribe a nivel de las oficinas
centrales; no est enfocado en
TI.

Para las fases de planeacin, implementacin y evaluacin del BCP se debe acordar lo
siguiente:

24
Las polticas que regirn todos los esfuerzos de continuidad y recuperacin.
Las metas/ requerimientos/ productos de cada fase.
Instalaciones alternativas para realizar tareas y operaciones.
Recursos de informacin crtica a instalar.
Personas responsables de su ejecucin.
Recursos disponibles para ayudar en la ejecucin del plan.
El cronograma de actividades con las prioridades establecidas.

18.- Personal clave para la toma de decisiones

El plan debe contener un directorio de notificaciones del personal clave o rbol de
llamadas en la toma de decisiones del SI y del personal del usuario final que se
requiera para iniciar y llevar a cabo los esfuerzos de recuperacin. Es por lo general un
directorio telefnico de las personas que deben ser notificadas en caso de un desastre
o de una catstrofe.

Este directorio debe contener la siguiente informacin:

- Una lista con prioridades, de los contactos, es decir, quien debe ser llamado
primero en una lista de telfonos.
- Nmeros de telfono y direcciones primarias y de emergencia para cada persona
crtica a contactar. Estos sern por lo general, jefes clave de equipo, responsables
de contactar a los miembros de su equipo.

- Nmeros de telfono y direcciones de los representantes del equipo y de los
proveedores de software.

- Nmeros de telfono de los contactos, dentro de la compaa que hayan sido
designados para proveer suministros y equipo o servicios.

25
- Nmeros de telfono de las personas a contactar en las instalaciones de
recuperacin, incluyendo representantes en el mismo lugar o servicios definidos
previamente de re direccionamiento de las comunicaciones de red.

- Nmeros de telfono de las personas a contactar en las instalaciones de
almacenamiento alterno y de las personas a contactar dentro de la compaa que
estn autorizadas para retirar las copias de respaldos de la instalacin alterna.

- Nmeros de telfono de los agentes de la compaa de seguros.

- Nmeros de telfono de los contactos del personal de las empresas contratadas.

- Nmeros de telfono y contactos de agencias legales/ regulatorias/ de gobierno,
si se quisiera.

19.- Respaldo de los Suministros Requeridos

El plan de respaldo debe considerar todos los suministros necesarios para la
continuidad de las actividades normales de negocio durante el proceso de
recuperacin.

Si la funcin de ingreso de datos dependiera de ciertos dispositivos de hardware y/o de
programas de software, estos programas y equipos deben ser suministrados al hot site
incluyendo equipo especializado y programas de intercambio electrnico de datos
(EDI). Lo mismo se aplicara al equipo criptogrfico.

20.- Mtodos de Recuperacin ante Desastres de las Redes de Telecomunicaciones

El plan debe abarcar las redes de telecomunicaciones de la organizacin. stas son
susceptibles a los mismos desastres naturales que los centros de datos y tambin son

26
vulnerables a diversos inconvenientes que son propios de las caractersticas de los
medios de telecomunicaciones.

Los mtodos de proteccin de la red son:

Redundancia: Proveer capacidad adicional LAN: 2do cable a travs de una
ruta alterna, vas mltiples entre routers, proteccin de archivos de configuracin
de routers, switches, firewalls, etc.
Direccionamiento Alternativo: Mtodo de direccionar informacin a travs de un
medio alterno, como por ejemplo, cable de cobre o fibra ptica. Esto involucra
el uso de distintas redes, circuitos o puntos si la red normal no estuviera
disponible.
Direccionamiento Diverso: El mtodo de encaminar el trfico a travs de
instalaciones divididas de cable o instalaciones duplicadas de cable. Esto se
puede lograr con fundas de cables diferentes y/o duplicados. Si se usan fundas
diferentes de cables, el cable puede estar en el mismo conducto y por lo tanto
sujeto a las mismas interrupciones que el cable al que est respaldando.
Diversidad de Red de Largo Alcance: Software de redireccionamiento
automtico y lneas redundantes que proveen recuperacin instantnea si
ocurriera un corte en sus lneas.
Proteccin de Circuito de ltima Milla: Se tiene redundancia slo para el
segmento que une el domicilio del usuario con el carrier.
Recuperacin de Voz.

21.- Arreglo Redundante de Discos Independientes (RAID)

Provee mejoras de desempeo y capacidades de tolerancia a fallas por medio de
soluciones de hardware o de software, desglosando datos y grabndolos en una
serie de mltiples discos para mejorar el desempeo y/o salvar simultneamente
grandes archivos. Estos sistemas proveen el potencial para el mirroring (operacin
de espejo) rentable fuera del sitio de respaldo de datos.

27

Nivel 0: Arreglo de disco con datos distribuidos sin tolerancia a fallas: Mejora
el desempeo creando lo que parece ser un disco entre varios manejadores
de disco separados fsicamente.
Nivel 1: Mirroring: Permite que una copia exacta de informacin en un rea
de disco, sea copiada a otra. Una vez establecidos, los datos grabados en el
disco tambin se graban en el espacio libre de la otra mitad del disco
espejo.
Nivel 2: Cifrado de curva elptica con cdigo de hamming (ECC): Es el
proceso de intercalar datos en mltiples drives incluyendo informacin de
paridad creada usando la tcnica del cdigo de Hamming.
Nivel 3: Transferencia paralela con paridad: Usa paridad a nivel de byte en
dispositivos (drives) dedicados y datos de usuario distribuidos a travs de los
mltiples dispositivos.
Nivel 4: Discos de datos independientes con bloques de paridad compartida:
Similar al nivel 3 pero usa paridad a nivel de bloque y disk striping, en vez de
byte dentro de un bloque.
Nivel 5: Discos de datos independientes con bloques de paridad distribuida:
Hace una distribucin tanto de los datos, como de la informacin de paridad
entre los mltiples discos a nivel de bloque.

22.- Seguros

El plan de recuperacin debe contener informacin clave sobre los seguros de la
organizacin. La poltica de tener seguros para equipos de procesamiento de los
sistemas de informacin es por lo general una poltica de riesgos mltiples diseada
para proveer diversos tipos de cobertura de SI. Debe ser construida de manera
modular de modo que pueda ser adaptada al ambiente de SI particular del
asegurado.

Los tipos especficos de cobertura que deben tener los seguros son:

28

- Equipos e instalaciones de SI: Provee cobertura por daos fsicos al sitio de
procesamiento de informacin y al equipo de su propiedad.
- Reconstruccin de los medios (software): Cubre daos a los medios de SI
que sean de prioridad del asegurado y del cual el asegurado sea
responsable.
- Gastos adicionales: Estn diseados para cubrir los costos adicionales que
ocasiona la continuidad de las operaciones luego de los daos o de la
destruccin en el sitio de procesamiento de la informacin.
- Interrupcin del negocio: Prdida de ganancias debido a la interrupcin
de actividades.
- Documentos y registros valiosos: Valor real efectivo de documentos y
registros valiosos que se encuentran en las instalaciones del asegurado.
- Error y omisiones: Proteccin legal de responsabilidad.
- Cobertura de fidelidad: Prdida originada por actos deshonestos o
fraudulentos de empleados.
- Transporte de medios: Prdida o dao potencial a medios en trnsito hacia
instalaciones de respaldo.

23.- Pruebas del Plan

Se deben realizar las pruebas al PCN para saber si el plan funciona bien o qu partes
de ste necesitan ser resguardadas. Las pruebas deben ser programadas durante un
tiempo que minimice las interrupciones de las operaciones normales. Por ejemplo, los
fines de semana, en la noche, etc.

Especificaciones:
- Verificar si el BCP es completo y preciso.
- Evaluar el desempeo del personal involucrado en el ejercicio.
- Evaluar la capacitacin y concientizacin de los miembros del equipo de
continuidad que no pertenecen al negocio.

29
- Evaluar la coordinacin entre el equipo de continuidad del negocio y los
proveedores.
- Medir la habilidad y capacidad del lugar de respaldo para llevar a cabo
el procesamiento prescrito.
- Valorar la capacidad de recuperacin de los registros vitales.
- Evaluar el estado y la cantidad de equipo y de suministros que han sido
reubicados en el lugar de recuperacin.
- Medir el desempeo general de actividades operativas y de
procesamiento de los sistemas de informacin relacionadas con el
mantenimiento de la entidad de negocio.

Ejecucin de Pruebas:

- Pre-prueba, prueba, post prueba.
- Prueba de escritorio prueba de papel.
- Prueba de preparacin (simulacin de cada del SIC).
- Prueba operativa (paso ms cercano a una interrupcin real del servicio).

Programar la prueba durante un tiempo que minimice las interrupciones a las
operaciones normales (fin de semana, noche).

La prueba debe simular las condiciones reales de procesamiento.

Ejecucin de Prueba: Documentacin de resultados, anlisis de resultados (tiempo,
cantidad y exactitud), mantenimiento del plan de continuidad/ recuperacin (revisin
y actualizacin).

Participacin del personal clave del equipo de recuperacin.

La responsabilidad de mantener el BCP es el CIO. Las responsabilidades especficas del
mantenimiento del plan son:

30

-Desarrollar un programa para revisin y mantenimiento peridico del plan avisando a
todo el personal.
-Exigir revisiones no programadas cuando hayan ocurrido cambios significativos.
-Examinar las revisiones y comentarios y actualizar el plan dentro de X das siguientes a
partir de la fecha de revisin.
-Hacer arreglos y coordinar las pruebas programadas y no programadas del BCP para
evaluar si son adecuadas.
-Participar en las pruebas programadas del plan.
-Desarrollar un programa para capacitar al personal de recuperacin en los
procedimientos de emergencia y de recuperacin como se establece en el BCP.
-Mantener registros de las actividades de mantenimientos del BCP pruebas,
capacitacin y revisiones.
-Actualizar peridicamente, por lo menos trimestralmente el directorio de notificaciones
con todos los cambios de personal, incluyendo nmeros de telfono, responsabilidades
o estatus dentro de la compaa.

24.- Respaldo y Recuperacin

Para asegurar que las actividades de un negocio no sean interrumpidas en el caso de
un desastre, se usan medios secundarios de almacenamiento para almacenar
programas y datos asociados para fines de copias de respaldo.

Controles de la Biblioteca en el Sitio Alterno Incluyen:
- Garantizar el acceso fsico al contenido de la biblioteca.
- Asegurar que la construccin fsica pueda resistir al fuego / calor / agua
(por dos horas).
- Ubicar la biblioteca lejos de la sala de computadoras, preferentemente a
kilmetros de distancia para evitar que el riesgo de un desastre afecte
ambas instalaciones.

31
- Asegurar que slo el personal autorizado tenga acceso a la biblioteca y a
los medios fuera de lnea.
- Asegurar que se mantenga un inventario perpetuo de todos los medios de
almacenamiento y de los archivos almacenados en la biblioteca.
- Asegurar que se mantenga un registro de informacin respecto al
contenido, a las versiones y a la ubicacin de los archivos de datos.

Seguridad y control de las instalaciones alternas: El sitio alterno de procesamiento
de informacin debe ser tan seguro y controlado como el sitio primario. Esto incluye
controles adecuados de acceso fsico como por ejemplo, puertas cerradas con
cerrojo, ninguna ventana y personal para vigilancia.

La instalacin alterna debe poseer el mismo monitoreo y control ambiental
constante que el sitio primario. Esto incluye el monitoreo de humedad, de
temperatura y de aire que lo rodea para logar condiciones ptimas para almacenar
medios pticos, magnticos y en papel y, si fuera aplicable, equipo operativo de
cmputo y dispositivos perifricos. Incluido en los controles ambientales apropiados,
est el suministro ininterrumpido de energa operando sobre un piso falso y con la
instalacin de detectores de humo y agua apropiados y un sistema de extincin de
incendio probado y en operacin.

Respaldos de los medios y de la documentacin: Un elemento crucial para el
plan de recuperacin para la continuidad de un negocio, en el sitio o en el sitio
alterno, es la disponibilidad de datos adecuados. La duplicacin de datos y de
documentacin importantes, incluyendo el almacenamiento de dichos datos y de
la documentacin de respaldo en el sitio alterno, es un requisito previo para
cualquier tipo de recuperacin.

Procedimientos peridicos de copias de respaldo: Tanto los archivos de datos
como los software deben ser respaldados peridicamente, de acuerdo con el RPO
definido. El perodo de tiempo en el que se debe programar la copia de respaldo

32
puede diferir por programa de aplicacin o por sistema de software. Por ejemplo,
ciertos sistemas de aplicacin que se ejecutan mensualmente en los cuales los
archivos principales o de transacciones se actualizan mensualmente requerirn que
se programen las copias de respaldo despus que se ejecute la produccin
mensual. Sin embargo, los sistemas operativos o el software de aplicacin que sea
actualizado con frecuencia podrn requerir copias de respaldo semanales. A
menudo los sistemas en lnea que efectan el procesamiento de grandes
volmenes de transacciones requieren de copias de respaldo cada noche o
inmediatamente o utilizan actualizaciones de archivos maestros espejados en una
instalacin de procesamiento separada.

Frecuencia de rotacin.

Tipos de medios y documentacin rotada: Sin software, el hardware de
computadora tiene poco valor. Por lo tanto, el software incluyendo sistemas
operativos, lenguajes de programacin, compiladores, programas utilitarios y de
aplicacin debe ser mantenido en un sitio alterno y en un estado actualizado.
Tambin la documentacin en papel y sus copias deben ser almacenadas en un
sitio alterno. Esta informacin en forma de guas operativas, manuales de usuario,
registros, archivos de datos, bases de datos y documentos de entrada/ salida,
proporciona la materia prima y los productos terminados para el ciclo de
procesamiento de los sistemas de informacin.

La siguiente figura describe la documentacin que debe tener respaldo y que debe
ser almacenada en un sitio alterno:

33
Almacenamiento en el Sitio Alterno
Clasificacin Descripcin
Procedimientos de operacin Libreras o bibliotecas de ejecucin de las aplicaciones,
instrucciones para la ejecucin consecutiva de trabajos,
manuales del sistema operativo y procedimientos especiales.
Documentacin de sistemas
y de programas
Diagramas de flujo, listados del cdigo fuente de los
programas, descripcin lgica de los programas, sentencias
o instrucciones del lenguaje especial de control de trabajos
en condiciones de error y manuales de los usuarios.
Procedimientos especiales Cualquier procedimiento o instruccin que est fuera de lo
ordinario como por ejemplo, el procesamiento de
excepcin, variaciones en el procesamiento y
procesamiento de emergencia.
Documentos fuente de
entrada
Documentos de salida
Copias duplicadas, fotocopias, microfichas, reportes de
microflim o resmenes que se requieren para hacer auditora,
anlisis histrico, la realizacin de trabajo vital, la satisfaccin
de los requisitos legales o agilizar los reclamos de seguros.
Plan de Continuidad del
Negocio
Una copia apropiada del plan para referencia.

Mtodo de rotacin: A pesar de que hay diversos mtodos para la rotacin de
medios, una de las tcnicas ms aceptadas es referida como el mtodo Abuelo
Padre Hijo. En este mtodo, las copias de respaldo diarias (hijo) se realizan durante
una semana. La copia de respaldo final de la semana se convierte en la copia de
respaldo de esa semana (padre). Los medios de respaldo diarios anteriores se rotan
para ser utilizados de nuevo como medios de respaldo de la segunda semana. Al final
del mes, la copia de respaldo semanal final se guarda como la copia de respaldo de
ese mes (abuelo). Posteriormente, los medios de respaldo semanales anteriores se
rotan para ser utilizados de nuevo en los meses subsiguientes. Al final del ao, la copia
de respaldo mensual final se convierte en la copia de respaldo anual. Normalmente,

34
las cintas u otros medios mensuales y anuales son retenidos y no estn sujetos al ciclo
de rotacin.

Un elemento clave de este mtodo es que las copias de respaldo rotadas en el sitio
alterno no deben ser devueltas para su reutilizacin hasta que su reemplazo haya
sido enviado al sitio alterno. Como un ejemplo, los medios de respaldo para la
semana 1 no deben ser devueltos del almacenamiento alterno hasta que la copia de
respaldo de fin de mes est almacenada con seguridad en el sitio alterno. Se pueden
emplear variaciones de este mtodo dependiendo de si se requieren copias de
respaldo trimestrales y de la cantidad de redundancia que una organizacin pueda
desear tener.

Mantenimiento de los archivos almacenados en el sitio alterno.

Mejores prcticas de gestin de la continuidad del negocio: La necesidad de revisar
continua y peridicamente el proceso de continuidad del negocio con el propsito
de mejorarlo, es crtica para el desarrollo de estrategias exitosas y robustas de
recuperacin para una organizacin, independientemente de si la organizacin est
en la etapa inicial de desarrollo de un BCP o desarrollando la impl ementacin inicial
de un proceso de BCM.

35

D.5 Continuidad Del Negocio y Recuperacin de Desastres ISACA PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

D.5 Continuidad Del Negocio y Recuperacin de Desastres ISACA PDF

Cargado por

Copyright:

Formatos disponibles

Marn N 0586 Providencia/ Mesa Central: +56 (2) 496 69 00 - Fax: +56 (2) 496 69 10

Ventas: ventas@caschile.cl /Casilla de Reclamos: reclamos@caschile.cl

También podría gustarte