Technology and Security

Risk Services

Planes de Continuidad de Negocio

AS TSRS

Planes de Continuidad de Negocio

Conjunto de tareas que permite a las
organizaciones continuar su actividad en la
situacin de que un evento afecte sus
operaciones.
Un plan de continuidad afecta tanto a los
sistemas informticos como al resto de
procesos de una organizacin y tiene en
cuenta la situacin antes, durante y despus
de un incidente.

Metodologa del Plan de Continuidad

Lograr una situaci
situacin que garantice la
continuidad del negocio.
El proyecto se inicia en el negocio y progresa hasta garantizar su
continuidad.
Los resultados de cada etapa alimentan a la siguiente, con lo que
se logra una evolucin coherente.
A lo largo del desarrollo del
proyecto, se cubren los siguientes
objetivos:

4
3

5
Prever y documentar las
acciones necesarias
para restaurar la
actividad.
Desarrollar una solucin cuya relacin
coste-beneficio cumpla los requisitos y las
expectativas de la Entidad.

Determinar las necesidades crticas para permitir un grado de

operatividad en lnea con la estrategia definida.

1
Lograr un conocimiento profundo de la plataforma tecnolgica.
Obtener una imagen clara y detallada de los procesos de negocio de la Entidad, determinando sus
criticidades, interdependencias y riesgos.

Proceso Externo

Gestin de Continuidad
Relacin Operativa

Relacin Estratgica

Calidad de Servicio

Planificacin Conjunta

Garantas Contractuales

SLAs y Auditoras
Preparacin Conjunta

Recuperacin

Plan de Contingencia

Calidad de Servicio Interna

Comit de Crisis

Proceso Interno

Plan de Recuperacin de Desastres

Baja Dependencia

Alta Dependencia

Diferencias entre BCP y DRP

El DRP, Disaster Recovery
Plan plantea:
Realizar planes de prevencin y
recuperacin antes los
escenarios de desastre con
mayor impacto y probabilidad de
ocurrencia.
El mbito del DRP son los
sistemas de informacin de la
organizacin.
Dentro de los DRP son crticos
los tiempos de prdida y
recuperacin de informacin.

El BCP, Business
Continuity Plan extiende el
alcance:
El BCP tiene como objetivo el
mantenimiento de la actividad de
la empresa, bien mediante la
recuperacin de los procesos de
soporte o mediante la aplicacin
de procesos de emergencia.
Dentro del BCP es clave el BIA,
Business Impact Analysis, que
tiene en cuenta el impacto
econmico de una parada de la
actividad.

Ejemplo de Manual de Contingencia:

Manuales de Contingencia
rbol de Decisin: Procedimiento de toma de decisin para la declaracin de
contingencia y activacin de los procedimientos adecuados.
Hoja de Contactos: Procedimientos de contacto y comunicacin con cada
miembro de los comits o equipos de recuperacin. Esta hoja incluye
procedimientos de contacto y responsables de salvaguarda.

Acciones

Preparacin: Inicio de actividades

Movilizacin: Activacin y puesta en marcha de los recursos necesarios
Recuperacin: Puesta en marcha de las medidas de recuperacin
Verificacin: Validacin por cada responsable del funcionamiento de las medidas
de recuperacin

Gestin Documental: Procedimientos de almacenamiento y distribucin

de los manuales de contingencia

BCP y SGSI
La existencia de un BCP se considera una parte
clave en la implantacin de un SGSI
UNE 71502, BS-7799-2, ISO 27001

Una medida bsica en cualquier organizacin de

seguridad es la disponibilidad y acceso a la
informacin crtica
Las organizaciones ms importantes van a
empezar a solicitar Planes de Contingencia a sus
proveedores

Adaptando los BCP a la Organizacin

Cul es el objetivo de mi organizacin?
Es necesarios establecer los escenarios que pueden afectar
a su continuidad

Cul es el mbito del proyecto?

El proyecto debe involucrar a todos los procesos y reas
crticas de la empresa

Adaptando los BCP a la Organizacin

Responsables del BCP
Los responsables de los procesos de BCP deben ser los
responsables de los procesos crticos en la organizacin
Cadena de Sumistro
Produccin
Explotacin Informtica

La supervisin del BCP debe estar a cargo de

departamentos de calidad o aduditora

Adaptando los BCP a la Organizacin

Comit de Crisis
Los responsables del comit de crisis deben tener la
autoridad y los mecanismos de comunicacin
Todos los procedimientos del comit de crisis deben
estar definidos y aprobados
Cada miembro del comit debe tener una persona
de respaldo
Los subcomits ms frecuentes son:
Comunicacin
Tecnologa
Logstica

Adaptando los BCP a la Organizacin

Recomendaciones
Conocer la madurez de los
sistemas de gestin de la
organizacin
Obtener el soporte adecuado al
mbito del proyecto
Realizar un enfoque mixto
externo interno

Deficiencias en los BCP

Involucran solo a las reas
tcnicas
La gestin del riesgo se limita a
pequeas reas
No se implantan las medidas
establecidas

Conclusiones
Elementos crticos de un BCP
Conocer los elementos clave del negocio
Responsabilizar de los BCP a los directores de cada rea
clave
Establecer el mbito necesario de los BCP

Utilizar el BCP como elemento de motivacin y

concienciacin

Su turno!

Contacte con nosotros

Alejandro Villarn Vzquez
Senior Manager, CISA
Responsable Zona Norte E&Y Technology&Security Risk Services (TSRS)
alejandro.villaranvazquez@es.ey.com
Telf: 944 243777
C/Ibaez de Bilbao, 28
48009 Bilbao