Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BANCA CENTRAL
LIMA (PER)
Noviembre de 1999
BANCO______
DE ESPAA
INSPECCIN DE SERVICIOS
I. INTRODUCCIN
Para que una organizacin funcione correctamente y alcance los objetivos propuestos por la Direccin son necesarios unos activos o recursos.
Estos recursos pueden ser humanos, materiales (edificios, instalaciones, hardware, etc.) e inmateriales (software, conocimiento acumulado,
credibilidad o buena imagen, etc.).
La mayor parte de estas interrupciones suelen ser temporales y las condiciones vuelven a ser normales en un perodo que no ocasiona situaciones crticas para la actividad normal de la empresa. Sin embargo, puede
haber circunstancias que generen interrupciones prolongadas, que lleguen a influir en la capacidad de funcionamiento de los servicios o impidan el desarrollo normal de los mismos en los locales habituales.
Para prever las consecuencias de estas situaciones y definir las estrategias que aseguren la continuidad de la actividad en el menor tiempo y
con el menor trastorno posible, se hace preciso la elaboracin de planes de contingencia y continuidad o de reanudacin para las distintas
actividades de las empresas con el fin de:
Asimismo, debe considerarse el Impacto en un activo, que es la consecuencia sobre ste de la materializacin de una amenaza. El impacto ser cualitativo cuando se produzcan prdidas funcionales y cuantitativo
si las prdidas se pueden traducir en dinero de forma directa o indirecta.
bos derivados a su vez de la relacin entre el activo y la amenaza, para decidir si dicho riesgo es asumible o aceptable.
Fruto de una decisin y con el objeto de reducir el riesgo surge un
conjunto de acciones que constituyen la Funcin de salvaguarda, que se
materializa en el correspondiente Mecanismo de salvaguarda o conjunto
de procedimientos o dispositivos que reducen el riesgo y que opera de
dos formas posibles, que son, en general, alternativas:
Estas funciones y mecanismos de salvaguarda se clasifican segn su forma de actuacin, en dos grandes tipos:
Por otra parte, el alcance y complejidad del Plan, en cuanto a las acciones, funciones y recursos que debe contemplar, estar determinado
por el grado en que las actividades ordinarias de la organizacin dependan del funcionamiento del centro de proceso de datos, y por el carcter crtico de algunas de las aplicaciones informticas para el funcionamiento normal de la empresa. Es obvio, que para el desarrollo de
Con respecto a los sistemas informticos, debe darse por supuesto que,
previamente, se han implantado en la Entidad las medidas de seguridad
fsica y lgica que aseguran la integridad, fiabilidad y disponibilidad
de la informacin, siguiendo los principios del plan de seguridad informtica de la Entidad. Por otra parte, debe existir un plan de proteccin civil que establezca los procedimientos y medios para la evacuacin del personal de los edificios.
En consecuencia, el Plan debe contemplar un conjunto de normas, procedimientos de actuacin, acciones, recursos humanos y tcnicos, junto
con la organizacin y coordinacin necesaria de todos ellos, para dar
respuesta a prdidas de informacin o a cualquier interrupcin, total o
parcial, de las operaciones o de los servicios informticos, con el fin
de minimizar los efectos de estos sucesos en las actividades de la Organizacin y lograr en el menor plazo posible la recuperacin o restauracin de los distintos servicios.
Una vez realizado lo anterior, se debe determinar lo que podramos denominar como nivel aceptable de seguridad. Se trata de encontrar un
punto de equilibrio entre la seguridad que proporciona la diminucin de
riesgos, que de la implantacin de estas medidas se puedan derivar, y
el coste de implantacin y mantenimiento de las tcnicas y procedimien-
Por un lado, los costes de los daos que pueden ocasionar en la empresa el impacto derivado de la materializacin de las amenazas.
Por el otro, los costes de implantacin y mantenimiento de las medidas
apropiadas para su contencin.
El Plan debe ser sobre todo una organizacin viva, con distintos equipos que tienen previsto qu hacer y cmo en situaciones de emergencia,
10
para acelerar la restauracin de los servicios dentro del tiempo previsto en el mismo, a fin de que no se produzcan prdidas de cualquier
tipo.
Por lo expuesto anteriormente, podemos establecer que el objetivo general del programa de auditora consiste en verificar la existencia de
unos planes de contingencia y de continuidad o de recuperacin de la
actividad ante desastres; que contemplan un conjunto de procedimientos
de actuacin y de recursos necesarios para la restauracin progresiva
de los servicios en el caso de paralizacin de las actividades; en los
11
12
Las respuestas a las siguientes cuestiones permitirn valorar el cumplimiento de los objetivos propuestos:
El Plan se elabor con arreglo a un proyecto documentado y autorizado, que se conserva adecuadamente?
sobre los
tarlas?
13
Se identificaron e inventariaron los recursos de todo tipo (hardware, aplicaciones en explotacin, software de sistemas, otros) a incluir en el anlisis de riesgos y se determinaron aquellos recursos
que resultaban crticos para la Institucin, efectundose una estimacin de la repercusin de un posible siniestro en los citados recursos?
Se han determinado los tiempos crticos de demora o de servicio interrumpido y el impacto econmico y de imagen que pudiera ocasionar
la interrupcin total o parcial de los servicios?
Para la seleccin de recursos con los que dar respuesta a cada una
de las situaciones de siniestro consideradas, se elabor un estudio
de las diversas alternativas, el cul se conserva adecuadamente y se
estima conforme?
14
Ante la imposibilidad de usar los sistemas informticos, se han establecido otros procedimientos alternativos para el funcionamiento
de los distintos departamentos?
La revisin del contenido del Plan tiene por objeto comprobar que responde al proyecto autorizado y elaborado segn los criterios expuestos
en el apartado anterior; y que, siguiendo las instrucciones y procedi-
15
Se determina con precisin el procedimiento a seguir antes de declarar la situacin de emergencia, as como las personas que, en su
caso, deben efectuar dicha declaracin?
16
Existe un inventario detallado de las copias de seguridad necesarias para la recuperacin de los ficheros de las aplicaciones crticas y estn definidas sus caractersticas?
En relacin con dicho centro, tambin se contemplan los requerimientos de hardware, software de explotacin, ficheros, acuerdos con
los proveedores, as como la inclusin del software de seguridad de
dicha instalacin?
Se han tenido en cuenta el rea de comunicaciones, las redes corporativas, las redes de rea local?
17
De los ordenadores personales que tienen informacin critica existen procedimientos de recuperacin especficos?
Como resumen de todo lo anterior, deber efectuarse una valoracin general de que el Plan garantiza la recuperacin del nivel y calidad de
servicio de la Entidad, dentro de los plazos previamente determinados.
Igualmente, para garantizar su eficacia, el Plan debe ser probado peridicamente, adems de cuando se produzcan modificaciones en el entorno informtico que de alguna manera afecten a su contenido y puesta en
marcha.
18
o de implanta-
19
Se han planificado pruebas del Plan y establecido los plazos, motivos y responsable de las mismas?
20
21
de
relaciones
sus
de
necesidades
recursos
crticas,
mnimos
cada
necesarios
Oficina
utilizar
elabor
en
unas
caso
de
22
comprobndose
que
dichas
copias
no
suponan
retardos
que
se
haga
una
copia
de
seguridad
de
todos
los
datos
de
Direccin
de
la
Reanudacin
(EDR)
los
Equipos
de
23
Cuando ocurra el desastre, se activan los procedimientos de notificacin y se forman los equipos necesarios para la reanudacin de
la actividad en el Banco de Espaa. Estos equipos sern responsables
de la recuperacin de cada oficina y reportarn al Equipo de Direccin de la Recuperacin y obedecern sus instrucciones. Estos equipos
son los siguientes:
24
Los principales motivos para realizar el mantenimiento del PRA son los
siguientes: aadir, cambiar o eliminar responsabilidades de la funcin;
el cambio de personal; las mejoras tecnolgicas que se incorporen
(hardware y software); la variacin en el resultado del anlisis de
riesgos o del impacto en la actividad.
25