Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ndice
1.
INTRODUCCIN
2.
PROPOSITO
3.
ANTECEDENTES ........................................................................................................................ 3
4.
5.
6.
................................................ 5
..................................................................................................... 7
............................ 9
6.1.2
RELACIN DE APLICACIONES............................................................................................... 11
6.1.3
6.1.4
6.1.5
6.2.1
IDENTIFICAR ACTIVOS......................................................................................................... 15
6.2.2
IDENTIFICAR AMENAZAS...................................................................................................... 16
6.2.3
6.2.4
6.2.5
6.2.6
EVALUAR CONTRAMEDIDAS................................................................................................. 20
8.
............................................................................................................... 2
6.1.1
6.2
7.
....................................................................................................................... 1
............................................................................ 22
SELECCIN DE ESTRATEGIAS........................................................................................ 22
............................................ 25
8.1.1
8.1.2
8.1.3
EQUIPO LOGSTICO............................................................................................................. 26
8.1.4
8.1.5
8.2
8.2.1
FASE DE ALERTA................................................................................................................ 29
8.2.2
9.
8.2.3
FASE DE RECUPERACIN.................................................................................................... 32
8.2.4
8.2.5
PRUEBAS............................................................................................................................ 34
9.1.1.
9.2
....................................................................... 34
9.2.1.
EJERCICIOS TCNICOS................................................................................................... 35
9.2.2.
TEST COMPLETO............................................................................................................ 35
9.3
ANEXOS ............................................................................................................................................... 37
ANEXO I CUADROS DE RECOGIDA DE DATOS ANLISIS DE IMPACTO ................................. 38
ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41
ANEXO III EJEMPLOS DE VULNERABILIDADES.......................................................................... 43
ANEXO IV EJEMPLO RBOL DE LLAMADAS............................................................................... 44
ANEXO V SITIOS DE INTERS........................................................................................................ 45
CASO DE ESTUDIO............................................................................................................................. 47
ANTECEDENTES ............................................................................................................................. 47
ANLISIS DE IMPACTO ................................................................................................................ 48
COMPONENTES DE LOS PROCESOS ...................................................................................... 48
PROCESO PEDIDOS................................................................................................................... 48
PROCESO DE NMINAS ............................................................................................................ 50
TIEMPO MXIMO DE RECUPERACIN DE LOS PROCESOS .................................................. 52
ANLISIS DE RIESGOS ................................................................................................................ 53
INVENTARIO DE ACTIVOS ......................................................................................................... 53
LISTADO DE AMENAZAS............................................................................................................ 53
VULNERABILIDADES.................................................................................................................. 54
EVALUACIN DE RIESGOS ....................................................................................................... 55
RECOMENDACIONES - CONTRAMEDIDAS.............................................................................. 55
ESTRATEGIA DE RECUPERACIN .............................................................................................. 56
DESARROLLO DEL PLAN .............................................................................................................. 57
COMIT DE CRISIS ..................................................................................................................... 57
EQUIPO DE RECUPERACIN.................................................................................................... 58
1. INTRODUCCIN
Dentro de la Gestin de la Seguridad de la Informacin en una compaa es
importante contar con un plan alternativo que asegure la continuidad de la
actividad del Negocio en caso de que ocurran incidentes graves.
Tradicionalmente, los Planes
de Continuidad,
denominados Planes de
Contingencia en sus orgenes, estn asociados a grandes compaas que
necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa
sus servicios. La realidad es que cualquier compaa puede sufrir un incidente
que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho
incidente, las consecuencias pueden ser ms o menos graves.
Esta gua pretende desglosar las actividades necesarias para desarrollar un Plan
de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al
lector a entender cada una de las fases y tareas que componen el Plan.
2. OBJETO DE LA GUIA
Una de las motivaciones que me ha llevado a desarrollar esta gua es la poca
informacin que he encontrado que contenga una descripcin detallada de las
fases y tareas que componen un Plan de Continuidad. Por ello, los principales
objetivos son:
3. ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unas
pocas horas de duracin puede tener un impacto catastrfico en los resultados y
en la imagen de la organizacin que lo sufra.
La ntima dependencia que existe entre el negocio y los sistemas de informacin
exige que stos estn preparados para afrontar las mltiples amenazas que
ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.
El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de
2005 o el Huracn Katrina en agosto de ese mismo ao, son dos ejemplos que
vienen a sumarse a sucesos, como los atentados del 11-S del ao 2001. Sin
embargo, en no pocas ocasiones no es necesario un desastre de dimensiones
parecidas a las de los mencionados anteriormente para poner en peligro no slo
la buena marcha del negocio sino su misma supervivencia; eventos como la
irrupcin de un virus o la instalacin de un parche de seguridad pueden conducir
a la inoperabilidad temporal de los sistemas, la prdida de informacin crtica o,
en ltima instancia, la inutilizacin de las infraestructuras.
Tipos de incidentes
No slo las catstrofes ambientales, tales como incendios o inundaciones,
pueden causar daos adversos a una organizacin. Otros tipos de incidentes,
como los que se detallan a continuacin, pueden tener impactos adversos para
una compaa:
BENEFICIOS
actividades de continuidad.
En los casos en que la organizacin tenga varias sedes, ser necesario establecer
un alcance geogrfico.
Sistemas de Infraestructura,
11
procesos que se han considerado crticos, el tiempo a partir del cual las prdidas
econmicas afectaran de forma grave a la compaa (Tiempo mximo de
interrupcin). Esta estimacin es importante de cara a seleccionar la estrategia
de respaldo adecuada a las necesidades de recuperacin.
Pueden existir procesos en los que el tiempo de recuperacin es muy pequeo
(horas), por ejemplo el servicio de banca electrnica de un banco, y otros
procesos como la facturacin a clientes en una empresa de servicios, pueden
tener un periodo de recuperacin mayor (das o semanas).
DIAS
SEMANAS MESES
13
6.2
ANLISIS DE RIESGOS
Qu se intenta proteger?
14
MARION
OCTAVE
MAGERIT
Para el desarrollo de esta gua no se ha seleccionado ninguna metodologa
concreta, sino que se realiza una descripcin general de los pasos que componen
un Anlisis de Riesgos.
16
17
ESCENARIOS
1. Entrada no autorizada a los datos
NIVEL DE PROTECCIN
Existe un control de acceso a los datos?
de almacenamiento magntico.
almacenamiento protegidos y
controlados de forma adecuada?
no autorizados.
los datos?
RIESGO
PROBABILIDADDMEDIO
RIESGO
ALTO
RIESGO
ALTO
MEDIO
RIESGO
BAJO
RIESGO
MEDIO
RIESGO
ALTO
BAJO
RIESGO
BAJO
RIESGO
BAJO
RIESGO
MEDIO
ALTO
IMPACTO
Figura 7. Matriz de Riesgos
DESCRIPCIN
PROBAB
IMPACTO
RIESGO
ALTA
ALTA
MEDIO ALTO
ALTO ALTO
Una vez que se han evaluado los riesgos, queda decidir qu hacemos con ellos.
Se pueden tomar diferentes caminos:
Transferir el riesgo a travs de seguros o subcontratando la gestin del
riesgo a terceras empresas.
Aceptar el riesgo (posicionamiento aprobado por la direccin de la
compaa).
Reducir el riesgo con controles que los mitiguen.
Eliminar el riesgo (eliminando la causa o el foco del riesgo).
Ejemplos:
Controles detectivos
o
Ejemplos:
Monitorizacin de eventos.
Auditoras internas.
Revisiones peridicas de procesos.
Sensores de humo.
Deteccin de virus (Antivirus).
Controles Correctivos
o
o
o
o
Ejemplos:
Parches de seguridad.
Correccin de daos por virus.
Recuperacin de datos perdidos.
Las medidas seleccionadas para mitigar riesgos deben mantener una proporcin
entre el esfuerzo y coste necesarios para su implantacin y el riesgo que mitigan
(evaluacin del coste-beneficio).
Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible
que se produzcan incidentes que hagan necesaria su ejecucin. Por ello, es
importante que la compaa conozca sus riesgos y ponga las medidas adecuadas
para corregir el mayor nmero de vulnerabilidades que puedan provocar un
incidente grave.
La evaluacin de riesgos debe ser peridica y de acuerdo con el modelo de
gestin de riesgos de la organizacin y en funcin de la evolucin del negocio
(crecimiento), de cambios importantes en la organizacin (procesos internos),
nuevas obligaciones legales, etc.
21
o
o
o
TIEMPO OBJETIVO DE
INTERNAS
RECUPERACIN
CONTRATADO
MESES
Reconstruccin /
Realojamiento
SEMANAS
Contratacin de unidades
mviles o prefabricados
DIAS
Recuperacin in situ
Subcontratacin de procesos en
oficinas mviles
Trabajo en casa
----
HORAS
Re-localizacin de un grupo de
personas
INMEDIATO
23
Espacio suficiente
Hardware
Software
Comunicaciones
Datos de respaldo
Tiempos de activacin
Coste
Suele ocurrir que cuanto menor sea el tiempo de recuperacin objetivo, mayor
ser el coste de la solucin. Por ello es conveniente realizar un anlisis con
tiempos de recuperacin adecuados y adaptados a la realidad de la compaa.
Una vez tomada la decisin sobre el tipo de estrategia que se utilizar como
respaldo en caso de interrupcin del negocio, pasaremos a desarrollar todos los
procedimientos, funciones y actividades que permitirn restablecer los procesos
de negocio en unos plazos razonables.
24
Comit de Crisis:
Encargado de dirigir las acciones durante la
contingencia y recuperacin.
Equipo de Recuperacin: Su funcin es restablecer todos los sistemas
necesarios (voz, datos, comunicaciones, etc.).
Equipo Logstico: Responsable de toda la logstica necesaria en el
esfuerzo de recuperacin.
Equipo de las Unidades de Negocio: Encargados de la realizacin de
pruebas que verifiquen la recuperacin de los sistemas crticos.
25
El personal asignado a cada uno de los equipos puede variar dependiendo del
tamao de la organizacin y de la estrategia de recuperacin seleccionada. Una
persona puede pertenecer a ms de un equipo, siempre y cuando no existan
incompatibilidades en las tareas a realizar.
Anlisis de la situacin.
Decisin de activar o no el Plan de Continuidad.
Iniciar el proceso de notificacin a los empleados a travs de los diferentes
responsables.
Seguimiento del proceso de recuperacin, con relacin a los tiempos
estimados de recuperacin.
Suministros de oficina.
Comida.
Reservas de hotel, si son necesarias.
Contacto con los proveedores.
Este equipo debe trabajar conjuntamente con los dems, para asegurar que
todas las necesidades logsticas sean cubiertas.
27
- FASE DE ALERTA
Procedimiento de notificacin del desastre.
Procedimiento de lanzamiento del Plan
Procedimiento de notificacin de la puesta en marcha del Plan a los
equipos implicados.
- FASE DE TRANSICIN
Procedimiento de concentracin de equipos.
Procedimiento de traslado y puesta en marcha de la recuperacin.
- FASE DE RECUPERACIN
Procedimientos de restauracin.
Procedimientos de soporte y gestin.
28
Notificacin
Dado que no es posible confeccionar un Plan de Alerta que d cabida a todos los
casos que resultan de suponer que cualquier persona pueda dar aviso de un
incidente, vamos a suponer que la persona que descubre la contingencia ser un
empleado o cualquier otra persona prxima al lugar donde ocurre el incidente.
Como parte del Plan de Continuidad se debe establecer un programa de
concienciacin, en el que se informe debidamente al personal de cmo actuar
ante estos casos y a quin comunicar lo ocurrido.
29
EVENTO
ACCIN
1 Situacin de contingencia/incidente
detectado por algn empleado de la
compaa. (Fuego, inundacin, virus, etc.).
Evaluacin
Una vez que un miembro del Comit de Crisis es contactado e informado del
incidente, proceder a evaluar la situacin con la recopilacin de la mayor
informacin posible. El Comit informar a los responsables de los distintos
equipos de lo ocurrido y de la situacin en ese momento para que permanezcan
en situacin de espera, hasta que se tome la decisin de disparar el Plan o iniciar
otro tipo de estrategia.
EVENTO
ACCIN
Responsable de Seguridad.
Relaciones Pblicas.
Equipo de Recuperacin.
EVENTO
ACCIN
32
33
un Plan de
Continuidad deben
34
suponga una parada de los sistemas de informacin, debe realizarse una ventana
de tiempo que impacte lo menos posible para el negocio.
En algunos casos puede resultar complicado realizar una prueba completa del
Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa
de pruebas planificado para garantizar que todos los aspectos de los planes y
personal se han ensayado durante un perodo de tiempo.
Procedimientos de emergencia.
Mtodos alternativos.
Lneas de telecomunicaciones de backup.
Procedimientos de notificacin Vendedores / Clientes.
Capacidad y rendimiento del hardware.
Portabilidad del software.
Accesibilidad al centro de respaldo.
Movilizacin de los equipos de trabajo.
Recuperacin de ficheros y documentacin almacenados en lugar externo.
Recuperacin de datos.
35
36
ANEXOS
37
CUADRO DE PROCESOS
Frecuencia
Proceso
responsable
Subproceso
Breve
descripcin
(Diario/Semanal
Persona
Mensual)
Tcnicos
Nombre
del
Sistema
Tipo de
Sistema
Descripcin
Criticidad
(PC/Servidor/
Mainframe)
Rangos de Criticidad:
N de
Equipos
con la
aplicacin
Responsable
Contacto
38
Localizacin
Tipo de hardware
Detalles del
Modelo/Configuracin
Rangos de Criticidad:
Distribuidor
Criticidad
OTROS ACTIVOS
Localizacin
Descripcin
Rangos de Criticidad:
Tipo
Criticidad
39
Para cada
uno de los procesos, se determinar el tiempo mximo de
interrupcin, especificando cuntos das puede permanecer el proceso sin incurrir
en prdidas econmicas graves.
Criticidad Proceso
Necesidades de Recuperacin
40
41
Robo de software
Descarga de software no controlada
Interceptacin de las lneas de comunicacin
Manipulacin de las lneas de comunicacin
Abuso de privilegios de acceso
Introduccin de virus en los sistemas
Troyanos
Ataques por ingeniera social
Bombas lgicas
Ataques de denegacin de servicio
Errores intencionados
Copias incontroladas de documentos/software/datos
Errores en el mantenimiento
Corrupcin de datos
Incumplimientos legales intencionados
42
VULNERABILIDADES
Existencia de materiales inflamables como papel o cajas
Cableado inapropiado
Ancho de banda inapropiado
Suministro elctrico inapropiado
Mantenimiento inapropiado del servicio tcnico
Ausencia de mantenimiento
Educacin inadecuada del personal en virus y malware
Polticas de firewall inadecuadas
Poltica de seguridad de la informacin inadecuada
Ausencia de poltica de seguridad
Derechos de acceso incorrectos
Ausencia de un sistema de extincin automtica de fuegos/humos
Ausencia de backup
Ausencia de control de cambios de configuracin eficiente y efectiva
Ausencia de mecanismos de identificacin y autenticacin
Ausencia de poltica de restriccin de personal para uso licencias de software
Ubicacin fsica en un rea susceptible de desastres naturales
Carencia de software antivirus
Descarga incontrolada y uso de software de Internet
Ausencia de mecanismos de cifrado de datos para la transmisin de datos
confidenciales
Proteccin fsica de equipos inadecuada
Personal sin formacin adecuada
Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)
Definicin de privilegios de acceso inadecuada
Ausencia de un Plan de recuperacin de incidentes
43
Comit de Crisis
Comit de
Direccin
Equipo de
Recuperacin
Equipo de
Coordinacin
Logstica
Equipo de
Seguridad
Equipo de
Relaciones
Pblicas
Equipo de Unidades
de Negocio
44
45
CASO DE ESTUDIO
46
CASO DE ESTUDIO
ANTECEDENTES
Zapasol S.A. es una compaa que fabrica zapatos con materiales reciclados.
Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de
fabricacin, una en Valencia y otra en Albacete distante 200 kilmetros. El xito
de venta de este tipo de zapatos les ha llevado a mercados internacionales,
importando a ms de 20 pases.
Dentro de la propia fbrica cuentan con un pequeo departamento de informtica
formado por 4 empleados que se encargan de la gestin de todo lo relacionado
con comunicaciones, software, hardware, bases de datos. Este departamento y
su centro de proceso de datos se encuentran en Valencia.
47
ANLISIS DE IMPACTO
Para desarrollar este Plan, el director de informtica ha encargado a Luis (otro de
los empleados del departamento de informtica) que realice un inventario de los
procesos crticos de la compaa, estableciendo los tiempos de recuperacin de
los mismos, antes de incurrir en prdidas graves. Para ello, Luis se ha
entrevistado con los responsables de los procesos obteniendo la siguiente
informacin:
Frecuencia
Proceso
Subproceso
Breve descripcin
(Diario/Semanal
Responsable
Mensual)
Diario
Ins Burgos
Pedidos
--
Atencin al
Cliente
---
Recogida y Gestin de
incidentes
Recursos
Humanos
--
Marta
Segn
lvarez
necesidad
Nminas
--
Laura
Mensual
Cuesta
Stock
---
ngela
Diario Cano
Diario Antonio
Romero
Nota: Para el ejemplo slo se toman dos procesos de muestra (Pedidos y Nminas)
PROCESO PEDIDOS
Sistemas del proceso de Pedidos :
48
Nombre
del
Sistema
Descripcin
Correo
Electrnico
Gestin
Pedidos
Tipo de
Sistema
(PC/Servidor/
Mainframe)
Criticidad
Responsable
Contacto
--- ----
2 Servidor de 4
Correo
Aplicacin
para la
Gestin de
pedidos
N de
Equipos
Tcnicos
con la
aplicacin
----
Tipo de
Hardware
Detalles del
Modelo/Configuracin
Distribuidor
Criticidad
Localizacin
Servidor de
Correo
PowerEdgeTM 1900
Servidor en torre de
ncleo cudruple con 2
sockets
Dell
3
datos Valencia
PCs
Procesador
Intel CoreTM 2 Duo
E6000
Dell 2 Centros de
Centro proceso
Valencia y
Albacete
PowerEdgeTM 2900
Servidor en torre de
ncleo cudruple con 2
sockets
Descripcin
Lnea RDSI de
comunicaciones
Tipo
Comunicaciones
Criticidad
Localizacin
Centros
1
de trabajo
49
Impresoras
Hardware
2Centros de trabajo
Centralita de
Comunicaciones
Comunicaciones
Centros
3
de trabajo
PROCESO DE NMINAS
Sistemas del proceso de Nminas:
Nombre
del
Sistema
Aplicacin
Nminas
Descripcin
Programa
que se
encarga de
realizar el
clculo de las
nminas
Windows Sistema
Operativo
Criticidad
3
Tipo de
Sistema
(PC/Servidor/
Mainframe)
Servidor /
PCs
N de
Equipos
Tcnicos
con la
aplicacin
-----
Responsable
Laura
Cuesta
Angel Perez
PCs 20
Windows
Contacto
Soporte
Tipo de
Hardware
Detalles del
Modelo/Configuracin
Distribuidor
Criticidad
Localizacin
Servidor de
aplicaciones
PowerEdgeTM 1900
Servidor en torre de
ncleo cudruple con 2
sockets
Dell
2
datos Valencia
PCs
Procesador
Intel CoreTM 2 Duo
E6000
Dell 2 Centros de
Centro proceso
Valencia y
Albacete
50
Descripcin
Impresoras
Tipo
Hardware
Criticidad
Localizacin
Centros
2
de trabajo
51
Necesidades de
Recuperacin
En 2-3 das
Criticidad
1
Proceso
NOMINAS
Necesidades de
Recuperacin
En 15-30 das
Criticidad
3
52
ANLISIS DE RIESGOS
Una parte importante dentro del desarrollo del Plan de Continuidad es el Anlisis
de Riesgos. Este anlisis permitir a la compaa conocer sus riesgos y
gestionarlos de forma adecuada.
INVENTARIO DE ACTIVOS
Activo/Descripcin
Tipo
Propietaro
Localizacin
Valor
SERVIDOR DE
APLICACIOMES
APLICACIN DE
PEDIDOS
INFORMACIN
CLIENTES
IMPRESORAS
BAJO
Albacete y
Valencia
REDES DE
COMUNICACIONES
BAJO
Albacete y
Valencia
MEDIO
Proceso de
datos
MEDIO
PCs
ALTO
LISTADO DE AMENAZAS
Del listado de Amenazas marcamos las que pueden afectar la compaa en su
situacin actual.
53
AMENAZAS
POSIBLE
DESASTRES NATURALES
Inundaciones
Incendios
DAOS ACCIDENTALES
Fuego fortuito
Inundaciones
Prdida de confidencialidad
Incumplimientos legales
ATAQUES INTENCIONADOS
Accesos no autorizados al edificio
Actos de vandalismo
Robo de equipos
VULNERABILIDADES
Tomando como base los objetivos de seguridad de la ISO 17799 y en funcin de
las Amenazas que hemos marcado como posibles, establecemos los escenarios
en que una amenaza puede convertirse en un incidente de seguridad.
ESCENARIOS
NIVEL DE PROTECCIN
RESPUESTA
NO
NO
54
3. Prdida de informacin
clave de la compaa.
No peridicamente
4. Accesos no autorizados al
edificio
NO
5. Robo de datos
NO
NO
EVALUACIN DE RIESGOS
DESCRIPCIN
PROBAB
IMPACTO
RIESGO
Terremotos
BAJA
MEDIO BAJO
ALTA
MEDIO ALTO
BAJA
ALTOMEDIO
ALTA
ALTO ALTO
ALTA
ALTO
ALTO
RECOMENDACIONES - CONTRAMEDIDAS
Para gestionar los riesgos detectados y mitigarlos en la medida de lo posible, se
propone la puesta en marcha de las siguientes contramedidas:
o
o
o
o
o
55
ESTRATEGIA DE RECUPERACIN
Una vez que se ha realizado la gestin de los riesgos detectados, se debe
seleccionar una estrategia de recuperacin de negocio
que asegure la
continuidad de los procesos que hemos considerado crticos en el Anlisis de
Impacto.
De las alternativas existentes y dado que la opcin de subcontratar espacios y
soporte a terceros resultara muy cara para Zapasol S.A., la solucin ms
adecuada sera utilizar el centro de Albacete con alternativa en caso de
incidencia grave. De esta forma Zapasol S.A. podra seguir dando servicio a
sus clientes, sin que el impacto de
un incidente tuviera consecuencias
catastrficas para la compaa. Para ello, podrn utilizarse en primera instancia
los equipos que se utilizan en este centro, de forma que se reaproveche la
inversin. Para que estos equipos sean vlidos ser necesario equipar la
infraestructura del centro de trabajo de Albacete con algunos elementos extras
(incremento de memoria, capacidad de disco, etc.).
56
COMIT DE CRISIS
Listado de Integrantes del Comit.
Una vez que se comunica un incidente, el Comit de Crisis debe reunirse y tomar
decisiones para afrontar la situacin. Deben estar continuamente informados de
57
EQUIPO DE RECUPERACIN
El equipo de recuperacin es el encargado de poner en marcha todo el proceso
de recuperacin para restaurar los servicios en el Centro de Albacete. Para ello
realizarn las siguientes actividades:
o
58
Listado de Proveedores
59
DELL
HP
FUJIJTSU
60
61
FASE DE ALERTA
PROCEDIMIENTO DE NOTIFICACIN DEL DESASTRE
Cualquier empleado de Zapasol S.A. que sea consciente de un incidente grave
que pueda afectar a la empresa, debe comunicarlo al Jefe de Seguridad de la
Planta proporcionando el mayor detalle posible en la descripcin de los hechos.
El Jefe de Seguridad debe evaluar la situacin e informar al Responsable del
Comit de Crisis, que en este caso coincide con la figura del Director General.
62
Comit de Crisis
Equipo de
Recuperacin
Equipo de
Coordinacin
Logstica
Equipo de
Relaciones
Pblicas
Equipo de
Unidades de
Negocio
63
FASE DE TRANSICIN
PROCEDIMIENTO DE CONCENTRACIN Y TRASLADO
DE MATERIAL Y
PERSONAS
Una vez avisados los equipos y puesto en marcha el Plan, debern acudir al
centro de reunin indicado. Adems del traslado de personas al Centro de
Albacete hay que trasladar todo el material necesario para poner en marcha el
centro de recuperacin (cintas de backup, material de oficina, documentacin,
...). Esta labor queda en manos del equipo logstico.
64
FASE DE RECUPERACIN
PROCEDIMIENTO DE RESTAURACIN
El orden de recuperacin de las funciones se realizar segn la criticidad los
sistemas: Pedidos, Facturacin, Correo, Nminas.
Los dos primeros sistemas deben recuperarse lo antes posible, en las 48 horas
siguientes. Los dems sistemas pueden esperar a recuperarse despus de
Pedidos y Facturacin.
Nota: En este apartado deber indicarse el procedimiento concreto de
recuperacin de cada uno de los sistemas.
Comit de Crisis
Equipo de
Recuperacin
Equipo de
Unidades de
Negocio
65
FIN DE LA CONTINGENCIA
Dependiendo de la gravedad del incidente, la vuelta a la normalidad de operacin
puede variar entre unos das (si no hay elementos clave afectados) e incluso
meses (si hay elementos clave afectados). Lo importante es que durante el
transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a los
clientes y trabajadores por parte de la compaa y que la incidencia afecte lo
menos posible al negocio.
66
CONCLUSIONES
La diferencia para Zapasol S.A. entre tener y no tener un Plan de Continuidad,
puede suponer que la compaa pueda desaparecer en caso de un incidente
grave que perjudique sus principales procesos. Por ello, como parte de la gestin
de seguridad, Zapasol S.A. ha considerado como prioritario desarrollar un Plan
de Continuidad para estar preparados ante cualquier incidente.
67
BIBLIOGRAFA
http://www.contingencyplanning.com/
http://www.globalcontinuity.com/
http://www.nfpa.org
Business Continuity Plan (BCP) Format Guide - Centers for Disease Control
and Prevention
http://www.disaster-recovery-guide.com/
http://www.businesscontinuityjournal.com
http://www.ccep.ca/
http://www.businesscontingency.com/
http://www.contingency-planning-disaster-recovery-guide.co.uk/
http://www.drii.org/
http:// www.gartner.com/
68