Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Ad de Negocio
Plan de Ad de Negocio
Dentro del departamento de sistemas en una compañía es importante contar con un plan
alternativo que asegure la continuidad de la actividad del Negocio en caso de que ocurran
incidentes graves.
Cabe destacar que el Plan de Continuidad de Negocio que se pretende llevar a cabo para
estas compañía como en una Pyme, aunque consecuentemente el tiempo, el esfuerzo y el
presupuesto a emplear variarán sensiblemente.
ANTECEDENTES
A la velocidad con la que operan los negocios actuales un incidente de unas pocas horas
de duración puede tener un impacto catastrófico en los resultados y en la imagen de la
organización que lo sufra.
La íntima dependencia que existe entre el negocio y los sistemas de información exige que
éstos estén preparados para afrontar las múltiples amenazas que ponen en riesgo su
operatividad y, en consecuencia, la continuidad del negocio. Sin embargo, en no pocas
ocasiones no es necesario un desastre de dimensiones parecidas a las de los mencionados
anteriormente para poner en peligro no sólo la buena marcha del negocio sino su misma
supervivencia; eventos como la irrupción de un virus o la instalación de un parche de
seguridad pueden conducir a la inoperabilidad temporal de los sistemas, la pérdida de
información crítica o, en última instancia, la inutilización de las infraestructuras.
Tipos de incidentes
No sólo las catástrofes ambientales, tales como incendios o inundaciones, pueden causar
daños adversos a una organización. Otros tipos de incidentes, como los que se detallan a
continuación, pueden tener impactos adversos para una compañía:
• Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentación,
en los equipos de refrigeración.
• Daños deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.
Las consecuencias de estos accidentes sobre las organizaciones que no tienen un plan de
continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas.
Otros efectos derivados que pueden causar un gran impacto en la compañía son la
pérdida de reputación de cara a los clientes, o la pérdida de ventaja competitiva con otras
compañías.
• ¿Cuáles son los recursos de información relacionados con los procesos críticos del
negocio de la compañía?
BENEFICIOS
• Identifica los diversos eventos que podrían impactar sobre la continuidad de las
operaciones y su impacto financiero, humano y de reputación sobre la organización.
• Obliga a conocer los tiempos críticos de recuperación para volver a la situación anterior
al desastre sin comprometer al negocio.
Una de las actividades más importantes del departamento de sistemas es dar atención a sus
clientes por medio de servicio. Este es el caso de un Departamento de Sistemas, que al igual que
el de mantenimiento, compras y muchos otros, brindan servicios y soluciones a las demás áreas de
la empresa, que requieren de ellos para su buen funcionamiento.
En efecto, las principales áreas en que habitualmente ha incursionado la seguridad en los centros
de cómputos han sido:
· Seguridad física.
· Control de accesos.
Se debe establecer los tiempos de recuperación. Teniendo en cuenta que el objetivo del Plan es
dar continuidad al negocio tras un incidente o contingencia grave con las menores pérdidas
económicas posibles para la compañía, deben estimarse para cada uno de los procesos que se han
considerado críticos, el tiempo a partir del cual las pérdidas económicas afectarían de forma grave
a la compañía (Tiempo máximo de interrupción). Esta estimación es importante de cara a
seleccionar la estrategia de respaldo adecuada a las necesidades de recuperación.
ESQUEMA DEL ANÁLISIS DE RIESGOS
IDENTIFICAR ACTIVOS
Para cada procesos críticos de sistemas necesario realizar un inventario de los activos involucrados
en el proceso. Los activos se definen como los recursos de una compañía que son necesarios para
la consecución de sus objetivos de negocio. Ejemplos de activos de una compañía pueden ser:
• Información
• Equipamiento
• Conocimiento
• Sistemas
Una amenaza se define como un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus servicios.
Se analizarán los riesgos que hay que evaluar en las distintas amenazas que pueden provenir de las
más diversas fuentes. Entre éstas se incluyen los agresores malintencionados, las amenazas no
intencionadas y los desastres naturales.
EVALUAR VULNERABILIDADES
Son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que
puede causar daños graves en una compañía. Las vulnerabilidades en sí mismas no causan daño
alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una
amenaza afectar a un activo.
EVALUACIÓN DEL RIESGO
El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A continuación se muestra
un ejemplo de una matriz de probabilidad/impacto:
En esta fase ya se estará desarrollando lo que es el plan de continuidad ya que se conoce a fondo
la organización comenzaremos a definir la organización de los equipos:
• Equipo de Recuperación: Su función es restablecer todos los sistemas necesarios (voz, datos,
comunicaciones, etc.).
DESARROLLO DE PROCEDIMIENTOS
Una vez que hemos definido los equipos y se han establecido las funciones que debe desempeñar
cada equipo, tenemos que desarrollar los procedimientos que van a seguir, y su actuación en cada
una de las fases de activación del Plan de Continuidad.
- FASE DE ALERTA
- FASE DE TRANSICIÓN
- FASE DE RECUPERACIÓN
• Procedimientos de restauración.
En el siguiente esquema podemos ver las fases que componen el Plan de Continuidad de Negocio: