Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NDICE
1.
INTRODUCCIN ....................................................................................................................... 1
2.
3.
ANTECEDENTES ........................................................................................................................ 3
4.
5.
6.
6.1
6.1.1
RELACIN DE PROCESOS.................................................................................................... 11
6.1.2
RELACIN DE APLICACIONES............................................................................................... 11
6.1.3
6.1.4
6.1.5
6.2
7.
6.2.1
6.2.2
6.2.3
6.2.4
6.2.5
6.2.6
7.1
8.
8.1
8.1.1
8.1.2
8.1.3
8.1.4
8.1.5
8.2
8.2.1
8.2.2
9.
8.2.3
8.2.4
8.2.5
9.1
PRUEBAS ............................................................................................................................ 34
9.2.1.
9.2.2.
9.3
ANEXOS ............................................................................................................................................... 37
ANEXO I CUADROS DE RECOGIDA DE DATOS ANLISIS DE IMPACTO ................................. 38
ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41
ANEXO III EJEMPLOS DE VULNERABILIDADES .......................................................................... 43
ANEXO IV EJEMPLO RBOL DE LLAMADAS............................................................................... 44
ANEXO V SITIOS DE INTERS........................................................................................................ 45
CASO DE ESTUDIO ............................................................................................................................. 47
ANTECEDENTES ............................................................................................................................. 47
ANLISIS DE IMPACTO ................................................................................................................ 48
COMPONENTES DE LOS PROCESOS ...................................................................................... 48
PROCESO PEDIDOS................................................................................................................... 48
PROCESO DE NMINAS ............................................................................................................ 50
TIEMPO MXIMO DE RECUPERACIN DE LOS PROCESOS .................................................. 52
ANLISIS DE RIESGOS ................................................................................................................ 53
INVENTARIO DE ACTIVOS ......................................................................................................... 53
LISTADO DE AMENAZAS ............................................................................................................ 53
VULNERABILIDADES .................................................................................................................. 54
EVALUACIN DE RIESGOS ....................................................................................................... 55
RECOMENDACIONES - CONTRAMEDIDAS .............................................................................. 55
ESTRATEGIA DE RECUPERACIN .............................................................................................. 56
DESARROLLO DEL PLAN .............................................................................................................. 57
COMIT DE CRISIS ..................................................................................................................... 57
EQUIPO DE RECUPERACIN .................................................................................................... 58
1. INTRODUCCIN
Dentro de la Gestin de la Seguridad de la Informacin en una compaa es
importante contar con un plan alternativo que asegure la continuidad de la
actividad del Negocio en caso de que ocurran incidentes graves.
Tradicionalmente, los Planes de Continuidad, denominados Planes de
Contingencia en sus orgenes, estn asociados a grandes compaas que
necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa
sus servicios. La realidad es que cualquier compaa puede sufrir un incidente
que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho
incidente, las consecuencias pueden ser ms o menos graves.
Esta gua pretende desglosar las actividades necesarias para desarrollar un Plan
de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al
lector a entender cada una de las fases y tareas que componen el Plan.
2. OBJETO DE LA GUIA
Una de las motivaciones que me ha llevado a desarrollar esta gua es la poca
informacin que he encontrado que contenga una descripcin detallada de las
fases y tareas que componen un Plan de Continuidad. Por ello, los principales
objetivos son:
3. ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unas
pocas horas de duracin puede tener un impacto catastrfico en los resultados y
en la imagen de la organizacin que lo sufra.
La ntima dependencia que existe entre el negocio y los sistemas de informacin
exige que stos estn preparados para afrontar las mltiples amenazas que
ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.
El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de
2005 o el Huracn Katrina en agosto de ese mismo ao, son dos ejemplos que
vienen a sumarse a sucesos, como los atentados del 11-S del ao 2001. Sin
embargo, en no pocas ocasiones no es necesario un desastre de dimensiones
parecidas a las de los mencionados anteriormente para poner en peligro no slo
la buena marcha del negocio sino su misma supervivencia; eventos como la
irrupcin de un virus o la instalacin de un parche de seguridad pueden conducir
a la inoperabilidad temporal de los sistemas, la prdida de informacin crtica o,
en ltima instancia, la inutilizacin de las infraestructuras.
Tipos de incidentes
No slo las catstrofes ambientales, tales como incendios o inundaciones,
pueden causar daos adversos a una organizacin. Otros tipos de incidentes,
como los que se detallan a continuacin, pueden tener impactos adversos para
una compaa:
BENEFICIOS
En los casos en que la organizacin tenga varias sedes, ser necesario establecer
un alcance geogrfico.
Sistemas
11
Gastos financieros.
procesos que se han considerado crticos, el tiempo a partir del cual las prdidas
econmicas afectaran de forma grave a la compaa (Tiempo mximo de
interrupcin). Esta estimacin es importante de cara a seleccionar la estrategia
de respaldo adecuada a las necesidades de recuperacin.
Pueden existir procesos en los que el tiempo de recuperacin es muy pequeo
(horas), por ejemplo el servicio de banca electrnica de un banco, y otros
procesos como la facturacin a clientes en una empresa de servicios, pueden
tener un periodo de recuperacin mayor (das o semanas).
HORAS
DIAS
SEMANAS
MESES
13
6.2
ANLISIS DE RIESGOS
Qu se intenta proteger?
14
MARION
OCTAVE
MAGERIT
Informacin
Equipamiento
Conocimiento
Sistemas
16
17
ESCENARIOS
1. Entrada no autorizada a los datos
NIVEL DE PROTECCIN
Existe un control de acceso a los datos?
de almacenamiento magntico.
almacenamiento protegidos y
controlados de forma adecuada?
no autorizados.
los datos?
ALTO
RIESGO
ALTO
RIESGO
ALTO
MEDIO
PROBABILIDADD
RIESGO
MEDIO
RIESGO
BAJO
RIESGO
MEDIO
RIESGO
ALTO
BAJO
RIESGO
BAJO
RIESGO
BAJO
RIESGO
MEDIO
BAJO
MEDIO
ALTO
IMPACTO
Figura 7. Matriz de Riesgos
DESCRIPCIN
PROBAB
IMPACTO
RIESGO
BAJA
MEDIO
BAJO
ALTA
MEDIO
ALTO
BAJA
ALTO
MEDIO
ALTA
ALTO
ALTO
Una vez que se han evaluado los riesgos, queda decidir qu hacemos con ellos.
Se pueden tomar diferentes caminos:
Controles preventivos
o
o
Ejemplos:
Controles detectivos
o
Ejemplos:
Monitorizacin de eventos.
Auditoras internas.
Revisiones peridicas de procesos.
Sensores de humo.
Deteccin de virus (Antivirus).
Controles Correctivos
o
o
o
o
Ejemplos:
Parches de seguridad.
Correccin de daos por virus.
Recuperacin de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporcin
entre el esfuerzo y coste necesarios para su implantacin y el riesgo que mitigan
(evaluacin del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible
que se produzcan incidentes que hagan necesaria su ejecucin. Por ello, es
importante que la compaa conozca sus riesgos y ponga las medidas adecuadas
para corregir el mayor nmero de vulnerabilidades que puedan provocar un
incidente grave.
La evaluacin de riesgos debe ser peridica y de acuerdo con el modelo de
gestin de riesgos de la organizacin y en funcin de la evolucin del negocio
(crecimiento), de cambios importantes en la organizacin (procesos internos),
nuevas obligaciones legales, etc.
21
7.1
SELECCIN DE ESTRATEGIAS
desde
22
o
o
o
TIEMPO OBJETIVO DE
INTERNAS
RECUPERACIN
CONTRATADO
MESES
Reconstruccin /
Realojamiento
SEMANAS
Contratacin de unidades
mviles o prefabricados
DIAS
Recuperacin in situ
Subcontratacin de procesos en
oficinas mviles
Trabajo en casa
----
HORAS
Re-localizacin de un grupo de
personas
INMEDIATO
Cambio de funcionamiento a un
centro de respaldo subcontratado
23
Espacio suficiente
Hardware
Software
Comunicaciones
Datos de respaldo
Tiempos de activacin
Coste
Suele ocurrir que cuanto menor sea el tiempo de recuperacin objetivo, mayor
ser el coste de la solucin. Por ello es conveniente realizar un anlisis con
tiempos de recuperacin adecuados y adaptados a la realidad de la compaa.
Una vez tomada la decisin sobre el tipo de estrategia que se utilizar como
respaldo en caso de interrupcin del negocio, pasaremos a desarrollar todos los
procedimientos, funciones y actividades que permitirn restablecer los procesos
de negocio en unos plazos razonables.
24
8.1
de
dirigir
las
acciones
durante
la
El personal asignado a cada uno de los equipos puede variar dependiendo del
tamao de la organizacin y de la estrategia de recuperacin seleccionada. Una
persona puede pertenecer a ms de un equipo, siempre y cuando no existan
incompatibilidades en las tareas a realizar.
Anlisis de la situacin.
8.1.3
EQUIPO LOGSTICO
Suministros de oficina.
Comida.
Este equipo debe trabajar conjuntamente con los dems, para asegurar que
todas las necesidades logsticas sean cubiertas.
Uno de los valores ms importantes de una compaa son sus clientes, por lo que
es importante mantener informados a los mismos, estableciendo canales de
comunicacin.
27
8.2
DESARROLLO DE PROCEDIMIENTOS
Una vez que hemos definido los equipos y se han establecido las funciones que
debe desempear cada equipo, tenemos que desarrollar los procedimientos que
van a seguir, y su actuacin en cada una de las fases de activacin del Plan de
Continuidad.
- FASE DE ALERTA
- FASE DE TRANSICIN
- FASE DE RECUPERACIN
Procedimientos de restauracin.
28
Notificacin
Dado que no es posible confeccionar un Plan de Alerta que d cabida a todos los
casos que resultan de suponer que cualquier persona pueda dar aviso de un
incidente, vamos a suponer que la persona que descubre la contingencia ser un
empleado o cualquier otra persona prxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa de
concienciacin, en el que se informe debidamente al personal de cmo actuar
ante estos casos y a quin comunicar lo ocurrido.
29
EVENTO
1
Situacin de contingencia/incidente
detectado por algn empleado de la
compaa. (Fuego, inundacin, virus, etc.).
2
El responsable de turno o de seguridad
conoce que ha sucedido una contingencia.
ACCIN
Aviso inmediato con el mximo detalle
posible al Responsable de Personal de turno
o a Seguridad.
Aviso a la persona de contacto del Comit de
Crisis.
Aviso a los equipos de emergencia (si
procede).
Evaluacin
Una vez que un miembro del Comit de Crisis es contactado e informado del
incidente, proceder a evaluar la situacin con la recopilacin de la mayor
informacin posible. El Comit informar a los responsables de los distintos
equipos de lo ocurrido y de la situacin en ese momento para que permanezcan
en situacin de espera, hasta que se tome la decisin de disparar el Plan o iniciar
otro tipo de estrategia.
EVENTO
ACCIN
Responsable de Seguridad.
Relaciones Pblicas.
Equipo de Recuperacin.
EVENTO
ACCIN
Procedimientos de Restauracin
Procedimientos de Restauracin
Estos procedimientos se refieren a las acciones que se llevan a cabo para
restaurar los sistemas crticos.
32
33
PRUEBAS
Probar la efectividad y los tiempos de respuesta del Plan para comprobar que
estn alineados con la definicin realizada en el diseo.
34
suponga una parada de los sistemas de informacin, debe realizarse una ventana
de tiempo que impacte lo menos posible para el negocio.
En algunos casos puede resultar complicado realizar una prueba completa del
Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa
de pruebas planificado para garantizar que todos los aspectos de los planes y
personal se han ensayado durante un perodo de tiempo.
Procedimientos de emergencia.
Mtodos alternativos.
Lneas de telecomunicaciones de backup.
Procedimientos de notificacin Vendedores / Clientes.
Capacidad y rendimiento del hardware.
Portabilidad del software.
Accesibilidad al centro de respaldo.
Movilizacin de los equipos de trabajo.
Recuperacin de ficheros y documentacin almacenados en lugar externo.
Recuperacin de datos.
35
9.3
36
ANEXOS
37
CUADRO DE PROCESOS
Frecuencia
Proceso
Subproceso
Breve
descripcin
(Diario/Semanal
Persona
responsable
Mensual)
Nombre
del
Sistema
Tipo de
Sistema
Descripcin
Criticidad
(PC/Servidor/
Mainframe)
Rangos de Criticidad:
N de
Equipos
con la
aplicacin
Responsable
Contacto
Tcnicos
38
Tipo de hardware
Detalles del
Modelo/Configuracin
Rangos de Criticidad:
Distribuidor
Criticidad
Localizacin
OTROS ACTIVOS
Descripcin
Rangos de Criticidad:
Tipo
Criticidad
Localizacin
39
Proceso
Necesidades de Recuperacin
Criticidad
40
AMENAZAS
DESASTRES NATURALES
Huracanes
Inundaciones
Incendios
DAOS ACCIDENTALES
Fuego fortuito
Inundaciones
Fallo del aire acondicionado
Exceso de humedad
Humo, gases txicos
Subida de tensin
Fallo de suministro elctrico
Fallo de la UPS
Accidentes del personal
Capacidad inadecuada de las comunicaciones
Fallo/degradacin del hardware
Fallo/degradacin de las comunicaciones
Errores de operacin
Fallos en las copias de seguridad
Fallos de los sistemas de autenticacin/autorizacin
Prdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Explosivos
Fuego intencionado
Accesos no autorizados al edificio
Actos de vandalismo
Radiaciones electromagnticas
Robos intencionados
Manipulacin de datos/software
Manipulacin de hardware
Uso de software por personal no autorizado
Acceso no autorizados a datos de la compaa
Software malicioso
Robo de equipos
Robo de documentos
41
Robo de software
Descarga de software no controlada
Interceptacin de las lneas de comunicacin
Manipulacin de las lneas de comunicacin
Abuso de privilegios de acceso
Introduccin de virus en los sistemas
Troyanos
Ataques por ingeniera social
Bombas lgicas
Ataques de denegacin de servicio
Errores intencionados
Copias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupcin de datos
Incumplimientos legales intencionados
42
VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro elctrico inapropiado
Mantenimiento inapropiado del servicio tcnico
Ausencia de mantenimiento
Educacin inadecuada del personal en virus y malware
Polticas de firewall inadecuadas
Poltica de seguridad de la informacin inadecuada
Ausencia de poltica de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extincin automtica de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuracin eficiente y efectiva
Ausencia de mecanismos de identificacin y autenticacin
Ausencia de poltica de restriccin de personal para uso licencias de software
Ubicacin fsica en un rea susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisin de datos
confidenciales
Proteccin fsica de equipos inadecuada
Personal sin formacin adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definicin de privilegios de acceso inadecuada
Ausencia de un Plan de recuperacin de incidentes
43
Comit de Crisis
Comit de
Direccin
Equipo de
Recuperacin
Equipo de
Coordinacin
Logstica
Equipo de
Seguridad
Equipo de
Relaciones
Pblicas
Equipo de Unidades
de Negocio
44
45
CASO DE ESTUDIO
46
CASO DE ESTUDIO
ANTECEDENTES
Zapasol S.A. es una compaa que fabrica zapatos con materiales reciclados.
Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de
fabricacin, una en Valencia y otra en Albacete distante 200 kilmetros. El xito
de venta de este tipo de zapatos les ha llevado a mercados internacionales,
importando a ms de 20 pases.
Dentro de la propia fbrica cuentan con un pequeo departamento de informtica
formado por 4 empleados que se encargan de la gestin de todo lo relacionado
con comunicaciones, software, hardware, bases de datos. Este departamento y
su centro de proceso de datos se encuentran en Valencia.
47
ANLISIS DE IMPACTO
Para desarrollar este Plan, el director de informtica ha encargado a Luis (otro de
los empleados del departamento de informtica) que realice un inventario de los
procesos crticos de la compaa, estableciendo los tiempos de recuperacin de
los mismos, antes de incurrir en prdidas graves. Para ello, Luis se ha
entrevistado con los responsables de los procesos obteniendo la siguiente
informacin:
Frecuencia
Proceso
Subproceso
Breve descripcin
(Diario/Semanal
Responsable
Mensual)
Diario
Pedidos
--
Ins Burgos
Atencin al
Cliente
---
Recogida y Gestin de
incidentes
Diario
ngela Cano
Recursos
Humanos
--
Segn
necesidad
Marta lvarez
Nminas
--
Mensual
Laura Cuesta
Stock
---
Diario
Antonio
Romero
Nota: Para el ejemplo slo se toman dos procesos de muestra (Pedidos y Nminas)
PROCESO PEDIDOS
Nombre
del
Sistema
Descripcin
Correo
Electrnico
Gestin
Pedidos
Criticidad
Aplicacin
para la
Gestin de
pedidos
Tipo de
Sistema
(PC/Servidor/
Mainframe)
N de
Equipos
con la
aplicacin
Servidor de
Correo
Responsable
Contacto
Tcnicos
---
----
----
Tipo de
Hardware
Detalles del
Modelo/Configuracin
Distribuidor
Criticidad
Localizacin
Servidor de
Correo
PowerEdgeTM 1900
Servidor en torre de
ncleo cudruple con 2
sockets
Dell
Centro proceso
datos Valencia
PCs
Procesador
Intel CoreTM 2 Duo
E6000
Dell
Centros de
Valencia y
Albacete
Dell
Centro proceso
datos Valencia
PowerEdgeTM 2900
Servidor en torre de
ncleo cudruple con 2
sockets
Descripcin
Lnea
RDSI
comunicaciones
Tipo
de
Comunicaciones
Criticidad
1
Localizacin
Centros de trabajo
49
Impresoras
Hardware
Centros de trabajo
Centralita de
Comunicaciones
Comunicaciones
Centros de trabajo
PROCESO DE NMINAS
Nombre
del
Sistema
Descripcin
Aplicacin
Nminas
Programa
que se
encarga de
realizar el
clculo de las
nminas
Windows
Sistema
Operativo
Criticidad
3
Tipo de
Sistema
(PC/Servidor/
Mainframe)
N de
Equipos
con la
aplicacin
Servidor /
PCs
PCs
Responsable
Laura
Cuesta
-----
Angel Perez
20
Contacto
Tcnicos
Soporte
Windows
Tipo de
Hardware
Detalles del
Modelo/Configuracin
Distribuidor
Criticidad
Localizacin
Servidor de
aplicaciones
PowerEdgeTM 1900
Servidor en torre de
ncleo cudruple con 2
sockets
Dell
Centro proceso
datos Valencia
PCs
Procesador
Intel CoreTM 2 Duo
E6000
Dell
Centros de
Valencia y
Albacete
50
Descripcin
Impresoras
Tipo
Hardware
Criticidad
2
Localizacin
Centros de trabajo
51
Proceso
PEDIDOS
Necesidades de
Recuperacin
En 2-3 das
Criticidad
1
Proceso
NOMINAS
Necesidades de
Recuperacin
En 15-30 das
Criticidad
3
52
ANLISIS DE RIESGOS
Una parte importante dentro del desarrollo del Plan de Continuidad es el Anlisis
de Riesgos. Este anlisis permitir a la compaa conocer sus riesgos y
gestionarlos de forma adecuada.
INVENTARIO DE ACTIVOS
Activo/Descripcin
Tipo
Propietaro
Localizacin
Valor
SERVIDOR DE
APLICACIOMES
Hardware
----
Centro de
Proceso de
datos
MEDIO
APLICACIN DE
PEDIDOS
Aplicacin
----
Servidores y
PCs
MEDIO
INFORMACIN
CLIENTES
Informacin
----
Base de datos
ALTO
IMPRESORAS
Hardware
----
Centros de
Albacete y
Valencia
BAJO
REDES DE
COMUNICACIONES
Comunicaciones
----
Centros de
Albacete y
Valencia
BAJO
LISTADO DE AMENAZAS
Del listado de Amenazas marcamos las que pueden afectar la compaa en su
situacin actual.
53
AMENAZAS
POSIBLE
DESASTRES NATURALES
Inundaciones
Incendios
DAOS ACCIDENTALES
Fuego fortuito
Inundaciones
Prdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Accesos no autorizados al edificio
Actos de vandalismo
Robo de equipos
VULNERABILIDADES
Tomando como base los objetivos de seguridad de la ISO 17799 y en funcin de
las Amenazas que hemos marcado como posibles, establecemos los escenarios
en que una amenaza puede convertirse en un incidente de seguridad.
ESCENARIOS
NIVEL DE PROTECCIN
RESPUESTA
NO
NO
54
3. Prdida de informacin
clave de la compaa.
No peridicamente
4. Accesos no autorizados al
edificio
NO
5. Robo de datos
NO
NO
EVALUACIN DE RIESGOS
DESCRIPCIN
PROBAB
IMPACTO
RIESGO
Terremotos
BAJA
MEDIO
BAJO
ALTA
MEDIO
ALTO
BAJA
ALTO
MEDIO
ALTA
ALTO
ALTO
ALTA
ALTO
ALTO
RECOMENDACIONES - CONTRAMEDIDAS
Para gestionar los riesgos detectados y mitigarlos en la medida de lo posible, se
propone la puesta en marcha de las siguientes contramedidas:
o
o
o
o
o
55
ESTRATEGIA DE RECUPERACIN
Una vez que se ha realizado la gestin de los riesgos detectados, se debe
seleccionar una estrategia de recuperacin de negocio que asegure la
continuidad de los procesos que hemos considerado crticos en el Anlisis de
Impacto.
De las alternativas existentes y dado que la opcin de subcontratar espacios y
soporte a terceros resultara muy cara para Zapasol S.A., la solucin ms
adecuada sera utilizar el centro de Albacete con alternativa en caso de
incidencia grave. De esta forma Zapasol S.A. podra seguir dando servicio a
sus clientes, sin que el impacto de un incidente tuviera consecuencias
catastrficas para la compaa. Para ello, podrn utilizarse en primera instancia
los equipos que se utilizan en este centro, de forma que se reaproveche la
inversin. Para que estos equipos sean vlidos ser necesario equipar la
infraestructura del centro de trabajo de Albacete con algunos elementos extras
(incremento de memoria, capacidad de disco, etc.).
56
COMIT DE CRISIS
Listado de Integrantes del Comit.
Una vez que se comunica un incidente, el Comit de Crisis debe reunirse y tomar
decisiones para afrontar la situacin. Deben estar continuamente informados de
57
EQUIPO DE RECUPERACIN
El equipo de recuperacin es el encargado de poner en marcha todo el proceso
de recuperacin para restaurar los servicios en el Centro de Albacete. Para ello
realizarn las siguientes actividades:
58
la
Listado de Proveedores
59
DELL
HP
FUJIJTSU
60
61
FASE DE ALERTA
PROCEDIMIENTO DE NOTIFICACIN DEL DESASTRE
Cualquier empleado de Zapasol S.A. que sea consciente de un incidente grave
que pueda afectar a la empresa, debe comunicarlo al Jefe de Seguridad de la
Planta proporcionando el mayor detalle posible en la descripcin de los hechos.
El Jefe de Seguridad debe evaluar la situacin e informar al Responsable del
Comit de Crisis, que en este caso coincide con la figura del Director General.
62
Comit de Crisis
Equipo de
Recuperacin
Equipo de
Coordinacin
Logstica
Equipo de
Relaciones
Pblicas
Equipo de
Unidades de
Negocio
63
FASE DE TRANSICIN
PROCEDIMIENTO DE CONCENTRACIN Y TRASLADO DE MATERIAL Y
PERSONAS
Una vez avisados los equipos y puesto en marcha el Plan, debern acudir al
centro de reunin indicado. Adems del traslado de personas al Centro de
Albacete hay que trasladar todo el material necesario para poner en marcha el
centro de recuperacin (cintas de backup, material de oficina, documentacin,
...). Esta labor queda en manos del equipo logstico.
64
FASE DE RECUPERACIN
PROCEDIMIENTO DE RESTAURACIN
El orden de recuperacin de las funciones se realizar segn la criticidad los
sistemas: Pedidos, Facturacin, Correo, Nminas.
Los dos primeros sistemas deben recuperarse lo antes posible, en las 48 horas
siguientes. Los dems sistemas pueden esperar a recuperarse despus de
Pedidos y Facturacin.
Nota: En este apartado deber indicarse
recuperacin de cada uno de los sistemas.
el
procedimiento
concreto
de
Comit de Crisis
Equipo de
Recuperacin
Equipo de
Unidades de
Negocio
65
FIN DE LA CONTINGENCIA
Dependiendo de la gravedad del incidente, la vuelta a la normalidad de operacin
puede variar entre unos das (si no hay elementos clave afectados) e incluso
meses (si hay elementos clave afectados). Lo importante es que durante el
transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a los
clientes y trabajadores por parte de la compaa y que la incidencia afecte lo
menos posible al negocio.
66
CONCLUSIONES
La diferencia para Zapasol S.A. entre tener y no tener un Plan de Continuidad,
puede suponer que la compaa pueda desaparecer en caso de un incidente
grave que perjudique sus principales procesos. Por ello, como parte de la gestin
de seguridad, Zapasol S.A. ha considerado como prioritario desarrollar un Plan
de Continuidad para estar preparados ante cualquier incidente.
67
BIBLIOGRAFA
http://www.contingencyplanning.com/
http://www.globalcontinuity.com/
http://www.nfpa.org
Business Continuity Plan (BCP) Format Guide - Centers for Disease Control
and Prevention
http://www.disaster-recovery-guide.com/
http://www.businesscontinuityjournal.com
http://www.ccep.ca/
http://www.businesscontingency.com/
http://www.contingency-planning-disaster-recovery-guide.co.uk/
http://www.drii.org/
http://www.gartner.com/
68