Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Business Continuity and Disaster Recovery Plan For Information Se - En.es
Business Continuity and Disaster Recovery Plan For Information Se - En.es
Cloud
12-2017
Cita recomendada
Jorrigala, Vyshnavi, "Plan de Continuidad del negocio y recuperación de desastres para la Seguridad de la Información" (2017). Los proyectos que culminan en seguridad de la
información. 44.
http://repository.stcloudstate.edu/msia_etds/44
Este papel con asterisco está traído a usted por el acceso libre y abierto por el Departamento de Sistemas de Información en theRepository en St. Cloud State. Ha sido aceptado para su inclusión en
proyectos que culminan en seguridad de la información por un administrador autorizado de theRepository en St. Cloud State. Para obtener más información, póngase en contacto Modea @
stcloudstate.edu, rswexelbaum @ stcloudstate.edu .
Continuidad de negocio y plan de recuperación para la Seguridad de la Información
por
Un papel Starred
de la Licenciatura, de
Maestro de la ciencia
en Aseguramiento de la Información
De diciembre de 2018
Resumen
Expresiones de gratitud
Me gustaría expresar mi agradecimiento a todos los que me ayudaron con mi papel estrellado.
En primer lugar, me gustaría agradecer al Dr. Susantha Herath, el presidente de mi papel estrellado
comité que me han ayudado desde el principio del documento, me proporciona toda la orientación
requerido para arrancar el papel. Además del Dr. Herath, también me gustaría dar las gracias al resto de la
miembros del comité, el Dr. Dien D Phan y el Dr. Kasi Balasubramanian para ser parte de la
comité. Gracias al Dr. Dien D Phan y el Dr. Abu Abdullah Hussein por su perspicaz
los comentarios.
Por último, agradecer al personal de la biblioteca SCSU por asistirme en ir a buscar y utilizar la
los recursos necesarios para desarrollar un trabajo de calidad. Este trabajo no habría sido posible sin
Tabla de contenido
Página
Lista de mesas.............................................................................................................................7
Capítulo
Introducción ............................................................................................................ 10
Resumen ................................................................................................................. 15
Introducción .....................................................................................................dieciséis
Capítulo Página
Resumen ................................................................................................................. 31
Introducción ............................................................................................................ 32
Resumen ................................................................................................................. 37
Introducción ............................................................................................................ 38
Resumen ................................................................................................................. 76
Introducción ............................................................................................................ 77
Conclusiones ........................................................................................................... 77
6
Capítulo Página
Referencias ...............................................................................................................................82
7
Lista de mesas
Mesa Página
Lista de Figuras
Figura Página
5. Reglamento para sitios de recuperación de desastres por los diferentes países ................................ 25
18. Respuesta a los Desastres y la Recuperación del ciclo de vida para la continuidad del negocio ................................. 53
Figura Página
21. Porcentaje de empresas que Uso basado en la nube servicios de recuperación de desastres .............. 63
22. El tiempo de inactividad máxima admisible como se indica por 280 encuestados ..............................64
23. Reducción del tiempo de recuperación con recuperación basado en la nube ................................................ 67
Capítulo I: Introducción
Introducción
La mayoría de las organizaciones se concentran sólo en el frente tecnológico y esperan que la tecnología sea
el aspecto central para el éxito. Aunque la tecnología es sin duda uno de los aspectos centrales de
éxito, hay algunos casos que pueden romper la organización en cuestión de segundos. Hoy en día, los pequeños
y las grandes empresas de negocios se basan en el Internet, y las perturbaciones ocasionadas a que detendrán el
principales áreas de operación y funcionamiento de ese negocio. Por lo tanto, las organizaciones tienen que estar preparados
de las molestias en la tecnología que pueden ocurrir debido a eventos inesperados; los ataques de
9/11 son el mejor ejemplo. Una continuidad de negocio fuerte y bien estructurada y el desastre
plan de recuperación podría ayudar a una organización enfrentar esos eventos inesperados.
Aunque hay algunas organizaciones que tienen un buen plan de contingencia listo para ayudar
en situaciones críticas, la mayoría de las organizaciones todavía no tienen un plan, de hecho, no lo hacen
siquiera la molestia de tener uno. Es sorprendente saber que algunas organizaciones no tienen datos fuertes
planes de respaldo para este compromiso. Un plan de recuperación de desastres o cualquier plan de contingencia no ayudaría en conseguir
beneficios para los negocios, pero sin duda ayudará en la prevención de las pérdidas enormes pérdidas-. Un desastre puede
ocurrir en cualquier momento, y un negocio debe estar preparado para ello. “Dependiendo de la naturaleza de la
organización y su tamaño y otros factores, una empresa debe diseñar un plan óptimo para
minimizar el efecto de los desastres y continuar con las funciones críticas de negocio”(SANS Institute
2002, p. 559). Un plan óptimo tendrá en cuenta muchos factores, incluyendo el efecto y el alcance de la
desastre, las limitaciones de costo, RTO, RPO, y MTO. En este capítulo se presentará el problema que tiene
11
problema, le dará una idea sobre las cuestiones de cómo la investigación se progresó y lo que la investigación
El principal reto al que se enfrentan las organizaciones, mientras que la construcción de una continuidad del negocio y
plan de recuperación de desastres es preparar de manera eficiente, implementar y mantener los planes para evitar la
consecuencias de un desastre.
A pesar de un buen plan de contingencia en la práctica sería muy beneficioso para una empresa,
Detectamos, incluso con la tecnología de alta gama, y por lo tanto nosotros, como empresa debemos ser
preparado para el desastre o estar preparado para cerrar el negocio. El personal de seguridad son
cuentas por cualquier tipo de circunstancias. A medida que la competencia es cada vez mayor, una empresa no puede simplemente
dejar atrás a sí mismos por no tener un buen plan de contingencia. planes de BC y DR mejorar la
capacidad de respuesta y garantizar que las decisiones sensatas están hechas por los empleados durante
emergencias, proporcionando técnicas libres compuesta y avellana encontrarse con un desastre (Gregg,
2009).
consecuencia de una interrupción repentina de los servicios que ofrece una empresa son mal vistos,
caída repentina en valor de las acciones, las pérdidas en acciones, no hay ingresos para la compañía durante determinado período
y en el peor de los casos, ningún negocio en absoluto. “Cada dos de cada cinco organizaciones tuvo que cerrar
12
sus negocios dentro de los cinco años de sorprendente desastre”(Wheatman, 2001, ¶ 1). Incluso si las empresas
sobrevivir, tienen que pagar un costo enorme para no estar preparado para el desastre. Después del 9/11
ataques, alrededor del 39% del presupuesto de TI de la compañía fueron a la integración de los sistemas de back-end, acerca
24% se utilizó para mejorar la infraestructura de TI, el 34% de un nuevo software, y el 2% para la contratación externa
De acuerdo con Britton (2016), riesgos de no tener un Sistema de Gestión de Continuidad de Negocio
Programa son:
2. Los desastres pueden conducir a lesiones y muerte de los empleados, clientes y otros visitantes de
la compañia.
3. Los desastres pueden ser muy costoso, si no se manejan correctamente. “Durante un período de cinco años
período, las empresas perdieron más de $ 70 millones, debido al tiempo de inactividad solos”(Britton,
2016, ¶5).
4. Mala reputación: Las empresas que no tenga una recuperación de desastres o un negocio
plan de continuidad son vistos como inversión insegura y poco fiable por los clientes
sobrevive al desastre, tiene que ceder en al menos una de sus misiones críticas
operación.
13
El problema debe estar en una alta prioridad para comenzar inicialmente con un plan y debe ser siempre
probado con los actuales escenarios. Otras organizaciones deben tomarse como ejemplos, y la
documentación debe ser revisado a intervalos regulares. Al tener un buen plan de contingencia,
los empleados tendrán suficiente conocimiento sobre qué decisiones que deben tomarse, lo que los activos a ser
protegidos de alta prioridad, y que la operación del negocio se debe continuar durante una crisis
(Gregg, 2009). En otras palabras, las organizaciones tienen un procedimiento más controlado para ayudarles a
salido de una crisis. El estudio será útil conocer la importancia de una recuperación de desastres y
plan de continuidad del negocio y una organización insta a aplicar estrictamente con toda la
recursos necesitados.
Objetivo de la Investigación
implementación de la continuidad del negocio y recuperación de desastres plan y proporcionar una mejor manera de
2. ¿Cuáles son las mejores prácticas para preparar, instalar y mantener una recuperación de desastres
3. ¿Cuáles son los diferentes enfoques adoptados por plan de contingencia de la organización para
Limitación de la Investigación
• Muchas empresas no revelan su plan y por lo tanto los recursos de la línea están
sólo se utiliza.
• plan de contingencia nunca puede ser un todo una talla única solución.
Definición de términos
Método de ejecución: Método de aplicación es la más la palabra que se utiliza con mayor frecuencia
en este papel. La aplicación a largo plazo en este documento se utiliza como sinónimo para la preparación,
Las abreviaturas antes mencionados son los términos más utilizados en los conceptos
de continuidad / desastres documento del plan de recuperación de la continuidad / negocio de recuperación de negocios / desastres
Resumen
siendo preparado para un desastre son presentadas en este capítulo. Definición de algunos términos utilizados en este
papel se explican en este capítulo. Además, el problema objetivo y principal que ha sido el
fuerza motriz para la investigación también se discuten junto con preguntas que serán tratadas como
Introducción
en sistemas con redes como la principal herramienta vulnerables comprometer han comenzado. mientras cibernética
ataques son los más ciertos aspectos que vienen a la mente cuando el pensamiento acerca de la información
la seguridad, hay algunos ataques que no se hacen todavía traen enormes pérdidas a la intencionada
organización. De cualquier manera, las empresas deben prepararse para el desastre. “El secreto de
supervivencia es la preparación”(Edwards, 1994, p. 38). BCP y DRP son las soluciones de seguridad de datos para
empresas cuando ocurren eventos inesperados. La mayoría de las veces BCP y DRP son
mal entendida a ser una y la misma, pero hay una clara diferencia entre ambos. Esta
capítulo le dará una breve introducción sobre el plan de contingencia, más específicamente AC y DR
planes y las diferencias entre ellos. Literatura relacionada con el problema y los métodos
abordado por diferentes investigadores son presentadas en este capítulo. En este capítulo se dará una idea
acerca de las deficiencias del enfoque actual de la construcción de un desastre y la continuidad del negocio
plan de recuperación que puede ayudar en la construcción de un plan mejor y más exitosa.
Desastre es la palabra más común que se utiliza en este documento y, antes de cualquier suposición es
hecho en la comprensión de lo que es un desastre, y concluyendo sólo los desastres naturales como volcánica
erupciones, terremotos, maremotos sean desastres, lo siguiente será dar una comprensión de la
Los desastres pueden ser causados debido a las condiciones ambientales, fallo del sistema o
fallas en el equipo o los desastres también pueden ser hechas por el hombre. Cualquier incidente que puede tomar más de
cantidad aceptable de tiempo para recuperarse o si tiene más de un rango aceptable de consecuencias,
• Ataques ciberneticos
• Terremoto
• huracanes
• Sabotaje
• Brechas de seguridad:
• sumideros
• Ataque terrorista
• Robo, etc.
18
• tsunami
• Erupción volcánica
• Guerra
equipos están dañados, el resultado no se puede deshacer, y el negocio es o bien en detenga o se puso
hasta el fin. Sin embargo, como la tecnología ha crecido, muchos datos de copia de seguridad de los planes han llegado de manera que en
mínimo, los datos y la información no se pierden. Agregando a la ventaja de tener la posibilidad de llevar
los datos de nuevo, si una empresa también puede ejecutar sus procesos centrales durante los desastres, será el gran
la capacidad se puede poner en esta era digital. Esa capacidad se denomina el plan de contingencia,
Plan de contingencia
Respuesta al incidente. respuesta a incidentes es una fase que prepara un equipo, respuesta a incidentes
Equipo, para estar preparados para manejar cualquier incidente en el momento. Un incidente puede variar de hardware
insuficiencia o cortes de energía a violación de las políticas de la organización por parte de un empleado descontento
(Bejtlich, 2004). El trabajo de incidente equipo de respuesta ayudará a la organización identificar qué tan bien una
equipo está trabajando para manejar las secciones mal funcionamiento de una organización.
Plan de recuperación en un desastre. Plan de recuperación de desastres es un plan diseñado para recuperar toda la vital
procesos de negocio durante un desastre con una cantidad limitada de tiempo. Este plan tiene toda la
19
procedimientos necesarios para manejar las situaciones de emergencia. Un proceso de recuperación de desastres debe
tener capacidad de recuperación demostrable, y por lo tanto proporciona el método más eficiente para ser
adoptada inmediatamente después de que ocurre un desastre. Sobre todo el DRP ha orientado a la tecnología
metodologías y concentrados en conseguir los sistemas tan pronto como sea posible, dentro de una
cantidad de tiempo razonable (RTO y RPO). RTO y RPO son el objetivo de tiempo de recuperación y
objetivo de punto de recuperación, que son los objetivos de DRP. “La recuperación de desastres de mayor éxito
estrategia es la que nunca se pondrá en práctica; por lo tanto, la evitación de riesgos es un crítico
Plan de negocios continuo. “La continuidad del negocio se refiere a las actividades necesarias para mantener
(SANS Institute, 2002, p. 1). BCP ayuda en continuar con el negocio, incluso después de que ocurra un desastre.
Los negocios tienen que mantenerse activo durante la crisis; si cierra sus operaciones aunque sea por un día o una semana,
que son muchas las posibilidades de que la organización va a experimentar pérdidas y tendrá que cerrar.
Por otra parte, las cuestiones legales pueden surgir si los servicios críticos no se proporcionan a los clientes. Esto puede conducir
a la mala reputación y muchos más problemas legales de una organización, además de tener la
dolor de estar en el estado de desastre. Por lo tanto, un plan de BCP eficiente puede ser utilizado para ejecutar activamente
organizaciones asumen que la continuidad del negocio y recuperación de desastres planes son una y la
mismo y el esfuerzo de preparar el plan no deben duplicarse por tener dos planes diferentes para
DR y BC. La continuidad términos del negocio y recuperación de desastres siempre vienen juntos, esto es
20
debido a que están destinados a ser realizado en paralelo y no son sinónimos. entender las diferencias
entre tanto los planes y haberlos hecho individualmente sin embargo, paralelamente ayudará a las organizaciones
tener un punto de vista diferente sobre los resultados tanto de los planes. Tabla1 muestra las diferencias entre
BCP y DRP.
tabla 1
Las actividades están pre-planeados para reaccionar a los desastres. La planificación en la mitigación de riesgo de los activos, los procesos de
plan de recuperación comienza con él, no porque otros aspectos no son plan de BC no es un proceso de TI; que incluye el negocio completo como una
importantes, sino porque es más fácil de recuperar, y el impacto es también mucho unidad.
más.
Un plan de DR se puede construir un plan de continuidad de negocio El proceso de continuidad de negocio tiene una serie de problemas relacionados con medicamentos.
fuerte.
La recuperación de desastres es centrada en los datos. La continuidad del negocio es centrada en el negocio.
La idea principal: Recuperación de desastres. La idea principal: Continuar las operaciones críticas de negocio.
decide la última oportunidad para que una empresa sobreviva. Estudio Comparativo Global revela que el 73% de
las organizaciones carecen de estrategias de recuperación de desastres y más de 5 millones se incurre en pérdidas
debido a un fallo crítico de aplicación, las pérdidas de datos, los cortes de los centros de datos etc. (Kahan, 2014). Figura 2
ilustra las enormes pérdidas sufridas por las organizaciones / empresas / países debido a los desastres naturales
Figura 2. Las pérdidas sufridas debido a los desastres naturales (The Economist, 2011)
Se puede ver en la figura anterior que, las pérdidas económicas y no asegurados debido a
tsunami y el terremoto en 2011, en Japón fue de casi $ 230 mil millones, lo que resulta en la pérdida de 4,1% del PIB
Las organizaciones que se cree por delante y tenía un plan que se prepara para los impactos de
un desastre sobrevivir en este mundo competitivo. Hay muy pocos de tales organizaciones, estadísticamente
La Figura 3 muestra el análisis de una encuesta realizada por Janco Associates (PRLeap, 2016) a
entender por qué los planes de recuperación de desastres de muchas organizaciones fallan. Se llevó a cabo la encuesta
en 253 empresas que deben utilizar su plan para recuperarse de un desastre, pero no han podido
A partir de las estadísticas anteriores dadas por Janco Associates (PRLeap, 2016) sobre el plan de DR y BC
centrándose ransomware, es evidente que no muchas organizaciones tienen sus planes hasta la fecha,
Por otra parte algunos de ellos son erróneos y muchos otros problemas pueden señalar.
Una de las preocupaciones especificados por algunas de las organizaciones era que, era difícil
actualización de los planes, ya que eran puramente en formato escrito (PRLeap, 2016).
23
Otra razón para las empresas de ser reacios a probar sus planes es que, escenario lleno
Las principales organizaciones razón extendió por no tener un DRP o BCP es la inadecuación
de los recursos. Pero la pregunta aquí es, ¿y si ocurre un incidente imprevisto? No importa cómo
una organización grande es, si cualquier suceso podría traer sus operaciones diarias a un alto y lo hace
No tener un plan alternativo (que llamamos DRP y BCP planes de aquí), que tendrá irrecuperable
pérdidas. La necesidad de DRP o BCP no puede ser exagerada, pero después del 11 de septiembre de 2001
incidente, era muy claro que, aunque la probabilidad de ocurrencia de un evento es baja, la
impacto será muy alta y sólo puede ser abordado con un plan de contingencia bien estructurado.
Casi la mitad de las empresas de tamaño mediano no se negociará otra vez después de que se ven afectados por 9/11
A partir de la Figura 4, hay varias maneras diferentes en las que puede ocurrir un desastre. Esto significa
hay varios hosts diferentes que están dispuestos a cerrar su negocio, si no apagado,
estos desastres pueden tener éxito en la interrupción de las operaciones comerciales durante un período que puede
resultar en la pérdida de ganancias, clientes, reputación de la empresa y muchos otros. Las empresas deben
considerar la posibilidad de la continuidad del negocio y un plan de recuperación de desastres muy en serio, ya que nunca sabemos
el cual incidente puede convertirse en un desastre o catástrofe, que pueden ocurrir en el momento siguiente y una
buen plan siempre puede aumentar las posibilidades de salvar la compañía de un desastre.
plan de recuperación, entre las organizaciones que tienen DRP, el 26,1% de ellos no han puesto a prueba su
De acuerdo con Snedaker (2007), los planes de BC y DR no pueden ser ignorados como las estadísticas de
las pérdidas debidas a desastres son alarmantes y esto debe servir como una llamada de atención para los profesionales de TI
y ejecutivos de empresas.
Después del 11 de septiembre de 2001 horrendos ataques terroristas contra el World Trade Center,
empresas que buscan ayuda se presentaron en relación con el desastre (Hanning, 2001) .
Un plan de recuperación de desastres es mucho más que tener copias de seguridad de datos, y la mayor parte del
organizaciones que tienen este concepto erróneo han cambiado de opinión el 11 de septiembre
(Lancaster, 2002).
25
“La continuidad del negocio y recuperación de desastres son las estrategias implementadas para aumentar
la probabilidad de recuperar con eficacia las funciones de negocio a partir de un gran desastre”(Bárbara,
2006, p. iii).
Figura 5. Reglamento para sitios de recuperación de desastres de diferentes países ( Yang, Yuan, y Huang,
2015)
26
Figura 5 muestra los reglamentos de recuperación de desastres dadas por los gobiernos de diferente
países. El documento propuesta por Yang et al. (2015) se centra en la elección de la recuperación de desastres
sitios que es muy importante seguir las operaciones de negocio, incluso después de la catástrofe.
Las organizaciones a crear sus planes de DRP y BC de diferentes maneras, aplicando diferentes
estándares, mejores prácticas, métodos que provienen de experiencia en el desastre de otras organizaciones,
o alguna percepción de lo que podría suceder. La siguiente tabla muestra la concentración de varios
De la Figura 6, cada estándar tiene un enfoque diferente hacia plan de BC como cada uno de ellos
tiene una perspectiva diferente de lo que es importante. De la Figura 3, se puede observar que la NFPA
1600 estándar está más centrado en la respuesta de emergencia y gestión de crisis, pero tiene cero
centrarse en el mantenimiento, la auditoría y la política general. Cuando una organización considera únicamente la NFPA
1600 estándar, mientras que la preparación de su plan antes de Cristo, el plan va a hacer bien en la realización de emergencia
las operaciones de respuesta y gestión de crisis, pero no tendrá ningún proceso para mantener o
auditar el plan antes de Cristo. Por lo tanto, cuando se desarrolla un plan, es importante entender que la siguiente
Cualquier metodología que utiliza por la organización debe planificarse, desarrollado, probado,
y puesto en práctica. Los siguientes son evaluados para ser los elementos clave para implementar un desastre
plan de recuperación:
• Procedimientos de prueba.
deben ser implementadas (Janco Associates, nd). La recuperación de desastres y continuidad del negocio
Figura 8. Continuidad del negocio y recuperación de desastres Plantilla (Janco Associates, sf)
A partir de la figura 5, es muy claro que no todas las normas se centran en todos los aspectos críticos
de un AC o un plan de DR y después de sólo una de las mejores prácticas estándar para construir ya sea DR o BC
el plan significaría que algunos de los aspectos críticos del plan se pierden. La mayoría de las veces, si
organización no puede demostrar su cliente que se haya puesto a todos sus esfuerzos para una recuperación de desastres y
la continuidad del negocio, entonces tendrá que enfrentarse a las consecuencias legales.
30
La siguiente es la metodología utilizada para desarrollar un plan de continuidad de negocio basado en Reino Unido
grupo multinacional bancario, que es el Standard Chartered Bank. Debido a los ataques terroristas del IRA
en Londres y sus consecuencias en el banco Standard Chartered dos veces en 1992 y 1993, el Banco de
Inglaterra ha dirigido SCB para desarrollar el plan de continuidad de negocio. Creación del nivel de la organización
y los planes individuales (nivel de departamento) y la integración de ellos fue la metodología seguida por
SCB.
Ámbito de aplicación del plan, los objetivos y las hipótesis se proporcionan antes del desarrollo de
se inicia el plan.
1. Durante la planificación de proyectos, los recursos necesarios para el proyecto, y la duración del proyecto
2. análisis del impacto empresarial: Este paso implica la realización de análisis de impacto en el negocio,
recuperar los procesos de negocio vitales, realizar copias de seguridad de datos y seleccionar alternativas para la
proceso de recuperación.
plantillas para el plan que son personalizados a continuación. El plan de emergencia incluye
Resumen
En estos días, las empresas no pongan en peligro todo lo que viene en su forma de
cumplir de manera eficaz; entonces ¿por qué son AC y planes de RD dejado de hacer? Además, la mayoría de las empresas
asumir que AC y planes de DR son una y la misma. Este capítulo le ayuda a entender el básico
idea de tener un plan de continuidad de negocio diferente, el plan de recuperación de desastres y propuso la
diferencias entre ellos. Este capítulo también incluye la revisión de la literatura del problema
metodología utilizada por diferentes organizaciones como parte de su planificación para el desastre.
32
Introducción
fundamental para el resultado de los planes de BC y DR. Cabe señalar que un incompleto o un mal plan
es más peligroso que no tener ningún plan en absoluto. Un plan que no se analiza o probado suficientemente
puede confundir a los empleados en el momento de crisis. Por otra parte, el coste y esfuerzo utilizados en
preparación de un plan es en vano si es no ayuda en crisis. Por lo tanto, después de una apropiada
método y mejores prácticas que son los más adecuados a las necesidades de la organización es muy importante.
En este capítulo se discutirá la metodología utilizada para llevar a cabo la investigación y los recursos utilizados
papel será analizada y respondida por el estudio y la exploración de una serie de investigaciones cuidadosamente
fuentes. páginas web de empresas, bases de datos, revistas y artículos de web de la biblioteca que son SCSU
creíble y revisada por pares serán las principales fuentes para esta investigación. El documento se divide en
tres partes:
1. La investigación de las preocupaciones de las organizaciones en tener una recuperación de desastres y plan
de negocios continuo.
2. Deducir las mejores prácticas de diferentes estándares que proporcionan las mejores prácticas para
la continuidad del negocio y un plan de recuperación de desastres, como se mencionó anteriormente en el capítulo
33
2, diversas normas que dieron mejores prácticas para la planificación de la continuidad del negocio tienen
diferente perspectiva sobre las que los aspectos de un BCP es importante y por lo tanto este documento
Un método de aplicación que será más adecuada para planificar estratégicamente para una
desastres se puso adelante en el presente documento, junto con la explicación de por qué este método es el más
prácticas dadas por varias normas y el análisis de la BC y planes de DR que se utilizan actualmente
por algunas organizaciones elegidas o las plantillas proporcionadas. Algunos de los factores de éxito para BC
• Sin lugar a dudas, tener un plan de copia de seguridad es el primer y el aspecto más básico de hacer frente a una
desastre.
• La escalabilidad de los planes para dar cabida a los desastres recién descubiertas.
La investigación dará a los administradores de TI una visión sobre qué decisión tomar durante una crisis
y también explorar las razones de las organizaciones no aplican planes de DR y BC. los
enfoque de este trabajo es más cualitativo, ya que investiga sobre el proceso o el procedimiento de
Recopilación de datos
La información recopilada durante esta investigación será de páginas web de empresas, SCSU
Recuperación Journal y otras publicaciones, encuestas informa sobre la continuidad del negocio y el desastre
recuperación, y diversas normas, como se especifica anteriormente en el papel. La mayor parte de la información
recogida será desde la web, ya que muchas organizaciones no están dispuestos a revelar sus planes para
extraños.
el estudio cuidadoso y explorar muchas fuentes de línea, es decir, los papeles de la encuesta, la empresa
sitios web, documentos, revistas y proveedores de servicios como Janco Associates previamente
sostenible y lanzarlo?
tienen muy limitadas las publicaciones que se centran totalmente de estos planes. Por lo tanto,
revistas y libros blancos se toman una fuente autorizada para la mayor parte de este
“DRP sostenible” y “BCP sostenible” son las palabras clave utilizadas por internet
buscar y ha dado lugar a casi 65.000 resultados con los artículos, revistas y blanco
documentos relacionados con la forma de mantener el BCP o DRP y cuáles son los factores que deben
ser considerado para hacer un plan sostenible. A partir de los resultados generados por éstos clave
2. Respondiendo a la pregunta de investigación 2: ¿Cuáles son las mejores prácticas para preparar, implementar y
Para responder a esta pregunta, la investigación se llevará a cabo de tal manera que los datos recogidos de
diferentes fuentes se revisa y enfocado para obtener los resultados de negocio continuidad y
recuperación de desastres. Los sitios web y revistas que son creíbles son elegidos como fuentes de
información.
Para responder a esta pregunta de manera efectiva, en primer lugar, una organización o el lector tiene que
anteriormente en este documento, la sección posterior para responder a esta pregunta contendrá diferentes
fases que se sido sometidos a implementar BCP y DRP eficazmente. Estas fases son
Términos concatena con la Palabra de recuperación de desastres Términos concatenan para la Continuidad de Negocios Palabra
2. Estrategias 2. Principio
5. Plan de * 5. Plan de *
6. La información de disponibilidad
3. Respondiendo Investigación Pregunta 3: ¿Cuáles son los diferentes enfoques adoptados por el
Los resultados de la investigación son alimentados por el aprendizaje de las ideas de varios artículos y blanco
de la búsqueda en la web, se recogen los recursos creíbles y relevantes y una investigación sobre
los riesgos asociados con la nube en curso se buscan y en base a los riesgos y la
beneficios que enturbian aportar a la organización, se proponen tres métodos para tener
o bien los datos de copia de seguridad o continuidad de negocio plan o el plan de recuperación de desastres para
residir en la nube.
37
Resumen
Este capítulo comienza con una breve introducción de la importancia de la metodología utilizada en
la creación de la continuidad del negocio y un plan de recuperación de desastres y continuará proporcionando el diseño
del estudio y la metodología utilizada para llevar a cabo la investigación para dar las mejores prácticas y mejor
método de aplicación de un plan de AC y un plan de DR que una empresa puede confiar. Las fuentes
de la que la investigación se realiza hasta ahora y qué otras fuentes se utilizarán en el futuro
Introducción
Cualquier organización en el mundo tendrá algunos procesos centrales, que cuando cesado o, son
inaccesible para un cierto período inaceptable, pondrá en peligro su negocio. Los daños causados a
la reputación, la economía es alarmante. Con todos los informes diarios sobre los desastres naturales,
organizaciones, se da a entender que es necesario un marco integrado y holístico para mitigar los riesgos
e identificar las respuestas, evaluarlos a la habitación las circunstancias de riesgo (Berman, 2015). Por lo tanto, a
siendo seguro y tener continuidad de operación del negocio sin fisuras, las organizaciones deben construir una
fuerte continuidad de negocio y un plan de recuperación de desastres y estrictamente implementarlo. En este capítulo se
papel será respondida como parte de los resultados y los datos de presentación.
Presentación de datos
Plan de contingencias ocupa el lugar más importante en el contexto del plan de contingencia, mientras
plan de recuperación de desastres y gestión de riesgos de la empresa son las partes del BCP. Recuperación de desastres
el plan se concentra en restaurar el marco de TI, la gestión del riesgo empresarial se concentra en
anticipar y mitigar los riesgos que la organización podría enfrentar por lo que las estrategias pueden ser
desarrollado para minimizar el impacto del riesgo. La continuidad del negocio, cuando se mira en la gran
imagen, tiene plan de recuperación de desastres y gestión de riesgos involucrados en ella y por lo tanto la planificación de una
La Figura 10. La recuperación de desastres y gestión de la empresa de negocio como parte de un plan de continuidad de negocio
Tabla 2
Identificar los peligros y Estabilizar las condiciones después de un evento de Restablecer los servicios suficientes para permitir las
oportunidades. riesgo y minimizar los efectos negativos operaciones esenciales de la misión continua
Pregunta de Investigación 1. ¿Cómo puede una organización que su plan sostenible y lanzamiento
¿eso? Los tiempos de parada son costosos y son riesgo para el nombre de la marca, la reputación, el presupuesto, se centran,
vulnerabilidades y muchos otros aspectos relacionados con la empresa. Durante tiempos difíciles, la
plan de continuidad es. Un plan sostenible es confiable y mejorará la resistencia de una empresa.
40
plan incluye:
• Desafíos que limitan los planes como la falta de recursos adecuados, la percepción de
lo podría suceder y lo que podría suceder en reales pueden variar, compromiso de tiempo y
presupuesto, etc.
los objetivos del plan. Los objetivos del plan son (a) para hacer que la continuidad y la recuperación
A continuación se presentan los papeles de alto nivel y las responsabilidades que se establecen como base para la
la separación de funciones de AC y el equipo DR. La división de las tareas y la asignación de los roles y
responsabilidades de un empleado o un grupo de ellos le dará más poder para dirigir el plan de
éxito. Con las funciones y responsabilidades asignadas correctamente, no habrá ambigüedades sobre quién
La Figura 12. Continuidad del Negocio del Ciclo de Vida (Lucht, 2014)
42
Análisis de Impacto del Negocio. “El Análisis de Impacto al Negocio (BIA) se centra en los efectos o
consecuencias de la interrupción a las funciones críticas del negocio y los intentos de cuantificar el
costos financieros y no financieros asociados con un desastre”(Rouse, 2015, ¶ 3). BIA define el
Recovery Time Objective (RTO) y el Punto de Recuperación Objetivo (RPO). BIA, si se hace antes de la
la evaluación de riesgos, “El análisis de riesgos que ayuda a identificar posibles riesgos y
vulnerabilidades que podrían perturbar el funcionamiento continuo de los procesos que se distinguen por la BIA
y sistemas “.
Análisis Gap, por el contrario, hace los cálculos sobre los niveles de rendimiento deseados y
niveles de rendimiento reales para que la organización se pueden encontrar los huecos en el sistema existente y
desarrollo del plan. Plan de desarrollo es esencial para el éxito tanto de negocio
de continuidad y recuperación en caso de catástrofes. Una planificación adecuada para casos de emergencia dará lugar a
43
recuperaciones más suave y menos dificultades. Los costes relacionados con los procedimientos de recuperación, la recuperación
veces, las pérdidas pueden reducirse significativamente si hay un plan adecuado en el lugar.
Pruebas. Mientras que la prueba es el trabajo más fácil y el trabajo más subestimado, hay muchos
casos de tener un fallo de software sólo porque el software no fue probado por su básica
funcionalidad. La falta de resultados de las pruebas en una ilusión de tener todo perfecto y listo para
despliegue, pero en verdad, nada es perfecto. La misma fórmula se aplica a la recuperación de desastres y
Planificación de la Continuidad del Negocio. Cada acción durante una recuperación debe ser simulado con un buen
cantidad de recursos, equipos, suministros como sería utilizado durante la emergencia, siguiendo
el procedimiento según lo planeado. DRP y BCP deben ser probados en la misma forma que cualquier aplicación o
programa de software se pondrá a prueba para encontrar las deficiencias y cada salida debe ser
Pregunta de investigación 2. ¿Cuáles son las mejores prácticas para preparar, instalar y mantener una
recuperación de desastres y plan de continuidad? Las mejores prácticas para preparar, implementar y
preguntas siguientes, es decir, las mejores prácticas tendrán criterios que pueden responder a la siguiente
preguntas.
• Cómo identificar los activos del mantiene el negocio en funcionamiento durante un desastre?
Seguir.
Fase 1-Plan. Durante esta fase, una organización está muy por delante de tener una posibilidad de
desastre porque, “El inicio de un desastre no es el tiempo para planificar. Por el contrario, las empresas inteligentes toman
una postura proactiva, desde el CEO hacia abajo, por lo que la continuidad del negocio en una prioridad para la totalidad
organización”(Pitney Bowes, nd, p. 3). La planificación debe ser el primer paso y comienza por
reconocer las vulnerabilidades, los riesgos y las necesidades de la organización. Impacto de negocios
análisis y evaluación de riesgos desempeña un papel fundamental en esta fase. “Análisis de impacto de negocio es una
proceso sistemático para determinar y evaluar los posibles efectos de una interrupción a críticos
operaciones como consecuencia del desastre, accidente o una emergencia de negocios”(Rouse, 2015, ¶ 4)
la organización con todos los posibles riesgos que puede venir en la forma de obstaculizar el negocio
respondiendo a arriesgarse a lo largo de la vida de un proyecto y en el mejor interés del proyecto reunión
objetivos”(Schwalbe, 2015, p. 4). Mientras que la evaluación del riesgo da a conocer los riesgos que pudieran ocurrir,
análisis de impacto en el negocio le dará los detalles de cómo las actividades de recuperación rápida deben trabajar para
Tabla 3
Inyección defectos de inyección se facultar al hacker para Requerir la validación de entrada adecuada, y
evitar los controles de acceso a las aplicaciones y verificar todos los datos que se recibieron. Esto
hacer, cambiar, borrar o leer la información de la evita que los datos maliciosos de ser introducidos
aplicación puede llegar a. en una aplicación de destino.
cross-site scripting (XSS) los scripts dañinos se aplican al servidor capacitar a los usuarios en la forma de detectar e
web, sin embargo, siguen en ejecución en el identificar enlaces sospechosos, que pueden restringir
navegador del cliente con XSS, se hacen el acceso a los sitios de alto riesgo.
mala configuración de seguridad Aplicaciones o hardware pueden tener unos Tratar de eliminar o controlar el acceso a las
(Harwood, 2015)
Evaluación de riesgos. De acuerdo con la norma ISO 27001 e ISO 22301, la evaluación de riesgos es
obligatorio para todas las organizaciones. El primer paso en la gestión de riesgos es evaluar el riesgo y hay
hay tres pasos para evaluar el riesgo dentro de una organización, definir, tasa, e informar (Scofield y
Martínez, 2011).
• Definir. En este paso, los riesgos son identificados a través de todos los departamentos de una organización.
Los riesgos asociados a las operaciones clave del negocio se identifican y clasifican en función
• Tarifa. Hacer un producto cartesiano de los riesgos y compara cada riesgo con todas las demás
riesgo y proporcionar un valor numérico para la posibilidad de que el riesgo y el posible impacto
como 1 como menos propensos a 5 como muy probablemente, será muy fácil de evaluar qué activo tiene
más el riesgo y la probabilidad de que el riesgo que podría ocurrir en un futuro próximo. Más
en lugar de perder el tiempo en el ahorro de los recursos que son menos útiles en los negocios
continuidad.
• Informe. Proporcionar una lista completa de los riesgos y los valores numéricos asociados
con ellos, que describe el impacto y la posibilidad de ocurrencia de riesgos en una norma
dar formato a las autoridades, de una manera que es fácil de entender. Esto ayudará a la
tomadores de decisiones para priorizar los riesgos y asignar más eficientemente los recursos para gestionar
Análisis de Impacto del Negocio. Mientras que la evaluación del riesgo se analiza la probabilidad y el impacto de
el riesgo y clasifica los diferentes riesgos en toda la organización, con el propósito de impacto en el negocio
El análisis es dar una idea de RTO y RPO analizando el impacto del riesgo. BIA incluye el riesgo
Tabla 4
Salida: La lista de riesgos y su probabilidad. Salida: Proporciona información sobre el RTO y RPO
Se utiliza tanto para la seguridad de la información y de negocios Se utiliza sólo para la continuidad del negocio
continuidad
análisis de impacto en el negocio identifica cómo los riesgos identificados pueden afectar el negocio
la continuidad y la rapidez con que los procesos deben ser recuperados. La evaluación de riesgos es la
48
bases para tanto DRP y BCP. La continuidad del negocio es todo acerca de impacto en el tiempo sensible
funciones y recuperar los que llevan tiempo en mente. Un banco puede dejar de comercializar cuando una
ocurre un desastre, pero no pueden dejar de trabajar en las transacciones (Okolita, 2009). Cuando la gente encuentra
en situaciones estresantes, estos planes los guiará, y los mejores planes de SIEMPRE
La siguiente parte BIA después sería la de capacitar a los empleados para hacer frente a la situación y si el
necesitará algo más que tener soluciones en el lugar, la empresa debe establecer sistemas duplicados
en un sitio secundario. “El Plan de Continuidad de Negocio debe establecer directrices de comunicaciones
y los niveles de servicio que van a permitir al personal para gestionar eficazmente las expectativas del cliente
durante todo el desastre y sus consecuencias”(Pitney Bowes, NDP 3). Organización tiene que conformarse
en una elección basada en su requisito de disponer de sistemas y sitios para la continuidad del negocio.
La Figura 15. Las opciones para la adquisición de sistemas críticos de TI (Snedaker, 2007)
49
La Figura 16. Las opciones para el establecimiento de instalaciones de TI alternativo (Snedaker, 2007)
“La parte final del desarrollo del plan de formación anual es. Todas las personas involucradas, desde el
ejecutivos abajo a través del equipo de implementación en el lugar, deben revisar el plan de al menos
anualmente" (Pitney Bowes, nd, p. 3) . La mayoría aspecto importante de este plan es que el plan
debe ser verificada en condiciones realistas para que el plan funcione para un desastre mayor
Fase 2: Implementación. Una vez que el plan está todo listo, la ocurrencia de desastres no lo haría
tensa las situaciones como casi como lo haría sin un plan y la crisis se pueden manejar más
• Automatizar el plan antes de Cristo. A veces, tener sólo un plan antes de Cristo que puede funcionar en el manual
que sólo pueden ejecutar con los recursos humanos para recuperarse de la crisis y por lo tanto es
tiempo para automatizar al menos algunos aspectos del plan (Tech Target, nd). Negocio
software de continuidad está en el mercado desde hace décadas y ha sido objeto de muchos
50
las pruebas, la actualización del plan, y la comprobación de la exactitud del plan con el tiempo real
minimizando el error humano. software de la continuidad del negocio, reduce el tiempo, mejora
La Figura 17. La cobertura de catalizador Business Continuity Software (dedicadas a la evaluación de 2017)
personal en el lugar.
51
• Tener una estrategia para elegir el centro de datos secundario. El centro de datos secundaria es
estrategia de las organizaciones para tener un centro de datos secundario se llevará a cabo durante el
• Movimiento. Después de tener una estrategia para centro de datos secundario ya previsto, pasar a
• seguridad de los empleados. Los empleados son los recursos críticos de una organización. A pesar de que,
hay muchas funciones de negocio que son críticos y que obtiene beneficios a la
negocio, los empleados son los que los mantienen tanto para la seguridad y
productividad. Por lo tanto, garantizar la seguridad de los empleados no es sólo una cuestión ética y moral,
pero una parte muy sensible de la continuidad del negocio y un plan de recuperación de desastres.
• Asegurar los activos de información de los clientes. Como se ha comentado antes en este documento, la falta de plan
cuestiones legales y, además, puede arrastrar la empresa a los tribunales de justicia y algo
peor que un desastre o una crisis pueden suceder. Por lo tanto, garantizar la seguridad de la información
los activos de las empresas asociadas o clientes también serán el objetivo principal de la BC
• el plan sea accesible y consistente. En caso de desastre, la mayor parte de los servicios que podría
no funciona, el equipo físico podría resultar dañado y muchas otras cosas no deseadas podría
suceder. Por lo tanto, mantener el plan en un lugar más accesible para que los empleados No es
necesario buscar o debe tomar un camino largo y doloroso para alcanzar el plan ayudaría en los
la revisión y control de versiones del plan también ayudaría a mantener a los empleados
actualizada sobre AC y plan de DR, contando además con las últimas versiones del plan es siempre
beneficioso.
de trabajo del plan. En vez de ocultar la verdad de los clientes que serán conocidos
de cualquier otro modo, los clientes notificante infundir confianza en ellos y harán
• Ley de murphy. De acuerdo con la ley de Murphy, si algo debe ir mal, irá
incorrecto. Desastres en sí es, en muchos casos más inesperados pero incluso con una adecuada
recuperación de desastres o el plan de continuidad de negocio, es muy común que algunos de los
funciones críticas todavía se dejan llevar por el desastre. Por lo tanto, hacer esfuerzos para poner a prueba la
vincularse con una empresa que maestros en la recuperación de desastres y continuidad de negocio.
• Restaurar los servicios. Implementar el plan estructuralmente, también seguir su instinto cuando
necesario.
La Figura 18. Respuesta a los Desastres y la Recuperación del ciclo de vida de la Continuidad del Negocio (Whiting Risk Consulting, 2017)
proceso de recuperación, una vez que el plan comience a trabajar y las necesidades del cliente se cumplen (Pitney Bowes, sf). los
objetivo principal de la continuidad del negocio y el equipo de recuperación de desastres es salir de la crisis
éxito pero, no es suficiente para que una empresa sólo tiene que pasar a la catástrofe con un mínimo
dañar. Desastres, muchas veces, tienen una duración de un período más largo de lo esperado, por lo que es muy importante
para BC y el equipo DR estar alerta para cierto período hasta que el negocio es lo suficientemente fuerte como para hacer frente
un desastre mayor. Japón es uno de los mejores ejemplos de esto. Japón ha visto tres principales
-desastres nucleares de desastre, terremoto y el tsunami, uno tras otro en una secuencia. A
54
este punto del tiempo, las empresas están siendo frágil y no puede tomar las próximas amenazas. Una muy
buena y completamente funcional plan de continuidad de negocio también incluirá proyectos posterior a la ocasión.
decisión correcta en la recuperación del sitio. Negocio debe tener un plan adecuado para decidir cuándo
para reemplazar y cuando la reconstrucción. Si las operaciones de recuperación están en curso en la ubicación principal,
entonces las operaciones del personal y de negocios deben ser trasladados a un sitio secundario. personal de BC y DR
debe saber cuándo hay que sustituir y cuando para reconstruir la planta física (Pitney Bowes, sf).
La Figura 19. Sitio de respaldo para la continuidad del negocio (BCP-DRP-Soluciones Veeam, sf)
procesos también deberían comunicarse con los clientes y empleados para mantener
la confianza, la confianza y la relación con los grupos de interés. Los clientes tendrán todos los derechos legales
saber sobre el proceso de recuperación y las actualizaciones. Si todo se comunica con razón, el
reclamación de seguro. El seguro puede ayudar a que el negocio sea fuera de la quiebra. Por lo tanto,
Revisión del incidente. Llevar a cabo revisiones por el incidente para documentar los hallazgos, el lazo
agujeros en el plan existente, las lecciones aprendidas, los errores cometidos etc. Posteriormente crean una nueva versión de la
plan para añadir nuevos procedimientos para hacer frente a las situaciones que están fuera de alcance durante la actual
crisis. De esta manera, los creadores del plan tendrán una idea clara de lo que pueden ser los aspectos del plan de
replicado en tiempo real y lo que no son más que una suposición de éxito.
Por último, estar alerta y estar listo para el próximo desastre a tener más éxito en los negocios
Tabla 5
funciones Alinea la gestión y la Identifica la Emplea la recuperación Pone de reunir una serie Implementa el BCP
eliminación de la información de a eliminar las de acciones para mitigar asegura que el BCP en
resistencia más amenaza externa e condiciones que las amenazas contra de las normas
adelante en el proyecto interna que se podrían afectar la identificadas y el riesgo publicadas y mantenerla
encuentra en esta operación. de recuperabilidad de actualizada.
fase será la base servicio clave.
para la etapa de
recuperación y el
plan BCP
y el equipo de análisis de
desarrollo impacto en el
negocio
3. Plan de Proyecto
(Barnes, 2004)
Una nota sobre las mejores prácticas para la continuidad del negocio y un plan de recuperación de desastres. Siguiendo
son algunas de las mejores prácticas más importantes que deben seguirse durante la creación o la implementación de una
• BIA o RA, cualquiera de los procesos pueden ir primero, pero técnicamente RA establece el sótano para
BIA y por lo tanto como una buena práctica de la AR debe llevarse a cabo antes de la BIA.
normas y mejores prácticas dadas por diferentes organizaciones que son aceptadas internacionalmente.
donde se está trabajando en, basado en la misión, visión y objetivos de la organización como la banca,
corretaje, salud, informática, etc. Las siguientes normas sentará una base sólida en la construcción de una
C. y mejor estrategia de DR que tenga el mayor poder para resistir un desastre. Al decir esto, no hay
todo en un solo plan para cada uno y todos los desastres que puedan ocurrir en el futuro. Las organizaciones deben construir una
planificar todos los escenarios, ya que cada uno tiene un conjunto diferente de los recursos, el presupuesto, la capacidad, la fuerza,
estrategia. No hay una solución única para la selección de las normas ISO 24762, ya sea como
proporciona las directrices para seleccionar el proveedor de servicios DR (Kirvan, 2015), la importancia de seleccionar
un buen proveedor de servicios de DR se dará con más detalle, más en desastre basada en la nube
recuperación.
58
Tabla 6
Normas que se ocupan de la continuidad del negocio, recuperación de desastres, y gestión de crisis (Buenas Prácticas Kirvan, 2015)
ISO 22320: 2011 La gestión de emergencias - Requisitos para la respuesta a incidentes www.iso.org
ISO 22322: 2015 La gestión de emergencias - Directrices para la Atención Pública www.iso.org
ISO 22324: 2015 gestión de emergencias - Directrices para la alerta de código de colores www.iso.org
interoperabilidad
Tabla 6 Continuación
BCI 2013 GPG Guía de Buenas Prácticas del Instituto de Continuidad de Negocio www.thebci.org
NFPA 1600: 2013 Norma Nacional Americana para la continuidad del negocio y www.nfpa.org
gestión de emergencias; aprobado como parte de PL110-53 sector privado de
Preparación (PS-Prep) Acta de 2009
ASIS SPC.1: 2009 Resiliencia Organizacional estándar; aprobado como parte de PL110- www.asisonline.org
53 Preparación del Sector Privado (PS-Prep) Acta de 2009
ISACA Documento G32 Pauta de TI Auditoría; Planes de Continuidad del Negocio www.isaca.org
FEMA FCD Directivas de continuidad para las agencias gubernamentales federales www.fema.gov
NIST SP 800-34 Guía de planificación de contingencia para el Desarrollo de Sistemas Informáticos www.nist.gov
NIST SP 800-53 Los controles de seguridad y privacidad para Sistemas de Información Federal www.nist.gov
NIST SP 800-84 Guía de prueba, capacitación y programas de ejercicio para los planes de TI www.nist.gov
(Kirvan, 2015)
Pregunta de investigación 3. ¿Cuáles son los diferentes enfoques adoptados por la organización de
plan de contingencia para evitar riesgos en el lugar y en la nube? En estos últimos años, muchas empresas tienen
60
movido de soluciones en las instalaciones a las soluciones alojadas es decir, la computación en nube es abrazado por
muchas empresas en los últimos años. Con la nueva tecnología, viene nuevos obstáculos y nuevos riesgos.
Aunque la nube da una ventaja para el almacenamiento de datos y un número de servicios alojados,
proporciona mayor alcance para la innovación y la transformación del negocio, muchas empresas están todavía en
dilema al completo a bordo de sus soluciones en la nube. Esto es debido a los riesgos y
vulnerabilidades asociadas con la nube. La computación en nube es vista como seria a la seguridad y
cumplimiento preocupación por algunas empresas. Pero realmente no hay percepción correcta de tener
o no tener soluciones basadas en la nube. De hecho, cada disposición requiere un compromiso entre
sistemas de detección de intrusiones están asegurando relativamente sencillo, pero los datos y la
aplicaciones en la nube que no tiene borde o perímetro es compleja. Con la computación en nube, cada
esquina tiene un escondite desconocido amenaza y listo para atacar y, por tanto, la continuidad del negocio y
planes de recuperación de desastres en la nube son igualmente y más importante para proteger a las organizaciones
Los riesgos asociados con la nube. Los riesgos asociados con la nube y cómo reducirlos:
Acceso a la cual los recursos sobre los que la nube. Es importante que la empresa tenga
estricto control sobre los privilegios de acceso que da a sus empleados, especialmente cuando se utilizan
2. Acceso a los datos en función del contexto es una forma de reducir el riesgo de los usuarios utilizando los datos en
forma no autorizada. Los usuarios deben tener acceso a los datos en función de su geográfica ubicación y
la forma en que están tratando de acceder a los datos. Sobre la base de ciertas condiciones, medidas adicionales
3. Cada organización tiene un conjunto de datos que es sensible y la pérdida de dicha información ser
devastador. se deben considerar mecanismos adicionales para proteger dichos datos como
4. Las aplicaciones móviles pueden tener varias vulnerabilidades, y cuando se utiliza corporativa
datos en dispositivos móviles, que deben ser aislados de los datos personales.
5. Por último, proporcionar una manera de capturar los registros de auditoría para proporcionar una visibilidad en tiempo real para
infraestructura de nube. Los registros de auditoría se utilizan básicamente para ver a través de los riesgos de seguridad
la continuidad se puede ver como los procesos de negocio y cada proceso de negocio tiene su propio
retos. A continuación se presentan los retos en la planificación de la continuidad del negocio o desastre
recuperación.
Costo. Nube siempre ha sido una mejor opción cuando se trata de la cuestión de costes. Tal es el caso
con estrategias de recuperación de desastres basados en la nube. Por lo general, ya que el objetivo es el tiempo de recuperación
disminuyeron, el costo de los aumentos de la recuperación, pero cuando los servicios basados en la nube se utilizan para el desastre
sitio secundario. Debe haber un mismo ambiente tanto en el sitio primario y el secundario
sitio para el éxito del proceso de recuperación. Pero más a menudo, este no es el caso, hay a menudo una
falta de coincidencia entre el sitio primario y secundario que puede ser reducida o completada
Escalabilidad. procedimientos de recuperación de desastres tradicionales que tienen un sitio secundario carecen de la
cambio, las técnicas tradicionales de recuperación de desastres carecen de dar cabida a tantos cambios y es
costoso. Sin embargo, la recuperación de desastres basada en la nube, la escalabilidad no es una preocupación. De hecho, muchos
empresas optan por una unidad de Amazon Web Services y poner una pequeña porción de recuperación de desastres y
a continuación, ampliar los recursos según sea necesario durante el tiempo de crisis.
Dificultades en el manejo. recuperación de desastres basada en la nube es una solución fácil de usar para una
proceso de recuperación de desastres. La mayor parte de las tareas están automatizadas, precisa y coherente, que
significa la recuperación rápida e indolora que cuesta menos y es más precisa. desastre tradicional
las estrategias de recuperación dependen de la intervención humana que conduce a errores humanos y proceso lento
La Figura 20. Porcentaje de empresas que utilizan la nube de servicios de TI (Pariseau, 2012)
La Figura 21. Porcentaje de empresas que Uso basado en la nube Servicios de Recuperación de Desastres (Pariseau,
2012)
64
¿Cómo elegir un proveedor de servicios en la nube para la continuidad del negocio o la recuperación de desastres.
• Falta del tiempo. La primera consideración o factor para elegir un desastre basada en la nube
falta del tiempo. De acuerdo con Spiteri, la mayoría de los clientes esperan que el máximo permitido el
tiempo de inactividad que sea de 49 minutos sobre una hora media máxima y 1 (Spiteri, 2017).
éxito o fracaso. Además, el tiempo de inactividad se diferencia con el enfoque adoptado por el
organización que utilice los servicios de recuperación de desastres desde el proveedor de la nube como DRaaS
La Figura 22. El tiempo de inactividad máxima admisible como se indica por 280 encuestados (Spiteri, 2017)
La Figura 22 es el gráfico de barras deducida a partir de una encuesta realizada en 280 a los encuestados que
• Servicios prestados. Muchos proveedores de servicios de recuperación de desastres basados en la nube son meramente
proveedores de servicios de copia de seguridad y no los proveedores actuales de servicios de recuperación de desastres.
sesenta y cinco
Aunque, copia de seguridad es también una parte de la recuperación de desastres, pero la recuperación de desastres es mucho
algo más que un servicio de copia de seguridad de datos. Como se mencionó en las secciones anteriores,
hay diferentes tipos de servicios prestados por diferentes proveedores de servicios como almacenamiento,
servicio (SaaS), copia de seguridad como servicio (BaaS), la replicación como servicio (RAAS) y, finalmente,
recuperación de desastres como servicio (DRaaS). Estos servicios son sólo la idea de alto nivel de la
proveedor de servicio. Por lo tanto, la empresa tiene que cavar profundamente en la lista de los servicios prestados como
parte de cualquiera de SaaS o DRaaS o RaaS o BaaS como la supervisión, los servicios de mantenimiento.
proveedores, en la nube, BC y DR es muy importante. La mayor parte del tiempo, las organizaciones hacen no
los proveedores. Por lo tanto, es muy importante que los proveedores de servicios de terceros tienen buena
personal. Es su experiencia que importa ya que la organización debe creer plenamente que la
• Los proveedores de servicios que se encuentran en el mercado desde hace mucho tiempo. Es tendencia humana general creer
que las personas que se encuentran en el mercado por mucho tiempo. Es obvio que tienen buena
conocimiento y control sobre los servicios que se prestan desde hace mucho tiempo y
la reputación que se ganó por los servicios que prestaban. Aunque esto es cierto en
muchos casos, pero este factor se presenta en la parte inferior la hora de elegir un servicio en la nube
66
proveedor debido a que hay muchos proveedores de servicios que han estado en el negocio de
muchos años, pero sólo están trabajando en los servicios de copia de seguridad y hay algunos nuevos servicios
proveedores en el mercado que tienen muy buenos servicios de recuperación de desastres en sus manos.
A veces, la longevidad de los proveedores de servicios que cuenta, y esto tiene que ser la última
A continuación se presentan los enfoques adoptados por BC de la organización y el plan de DR para su Negocio
1. Construir resiliencia en la propia aplicación. Por ejemplo, Decide.com que utiliza Amazon servicios
web para el servicio en la nube alojada, utiliza la acumulación de código de software para fallar
graciosamente. “Cuando Amazon.com tenía un corte de luz en junio, sitio de comercio electrónico
estamos listos para manejar los problemas si no es a través de todas Amazonas”(Pariseau, 2012, ¶6).
2. Cruz-Cloud Resiliencia. Tener la nube aplicación atado a una sola nube no ayudará.
Cruz resiliencia nube está utilizando múltiples nubes para proporcionar la resistencia a la web
aplicaciones. Esto es posible, pero de nuevo es una solución de compromiso entre la seguridad y
gastos.
3. Construido en la nube resiliencia. Algunos observadores de la industria creen que la nube integrado resiliencia
se convertirá en una herramienta en la continuidad del negocio y recuperación de desastres (BC / DR) caja
(Pariseau, 2012). “La deduplicación de datos, el controlador multi-alquiler, y rápido de sitio a sitio
67
sistemas de almacenamiento en la nube de replicación hacer una poderosa parte del proceso de DR”
servicios de recuperación de desastres basada en la nube son los mejores, ya que son más barato que tener
infraestructura secundaria y un sitio para tener toda la infraestructura de TI que son la mayoría de las veces
ocioso. Con la nube, infraestructura muy limitada puede ser elegido y pagado y cuando el tiempo
viene para la recuperación de desastres de los recursos informáticos se pueden escalar como por la exigencia de recuperar
Del desastre. A medida que los servicios en la nube se basan uso, la empresa sólo pagará por los
recursos limitados hasta que haya ninguna necesidad de una infraestructura de TI adicional. recuperación de desastres basada en la nube
sitios conduce a la reducción de costes ya que no hay necesidad de tener un centro de datos secundario con toda la
infraestructura en ella.
La Figura 23. Reducción del tiempo de recuperación con recuperación basada en la nube (en línea Tech, 2016)
68
El enfoque para crear un plan de recuperación de desastres basada en la nube es la misma que con el
plan de recuperación de desastres tradicional. El primer paso sería dar prioridad a los recursos en función de
Objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) deben determinarse. "Los
más centrado un plan de DR es, más probable usted será capaz de poner a prueba periódicamente y ejecutarlo
La Figura 24. Enfoques para la recuperación de desastres basada en la nube (Gsoedl, 2011)
69
La Figura 25 muestra el diagrama de flujo que describe cómo elegir un servicio de copia de seguridad de la nube
basado en las necesidades del negocio. De acuerdo con la figura, hay cuatro tipos diferentes de servicios
esa nube ofrece, recuperación de desastres como servicio (DRaaS), Almacenamiento como servicio (SaaS), como copia de seguridad
• Enfoque 1. Este es el caso de los servicios de TI basados en la nube puros donde tanto la primaria
organización puede obtener el 100% ventaja de utilizar un servicio basado en la nube, pero es muy
importante tener un acuerdo de nivel de servicio definido (SLA) para asegurarse de que la entrega
de los servicios es ininterrumpida por ejemplo, tanto primaria como ejemplo de desastres. A
este punto, la elección del proveedor de servicios hace una gran diferencia. Si el servicio
proveedor elegido por el negocio es incorrecta, que dará lugar a muchas complicaciones en el
sirviendo el proceso de negocio. Pero con un buen proveedor de servicios como Amazon y una
70
acuerdo de nivel de servicio definido (SLA) el negocio puede funcionar sin problemas con el
la nube para todos sus servicios de TI. Nube se utiliza para aplicaciones al tiempo de backup y recuperación
permanecer en el inmueble. Durante el desastre que tiene una copia de seguridad es muy importante, induce
la confianza en las partes interesadas de la organización que su información está segura incluso
después del desastre. copias de seguridad en la nube son relativamente fácil en comparación con la recuperación. Ahí
muchos vendedores que se ocupan de los datos de copia de seguridad y sincronización en la nube,
pero el reto es recuperar los datos de nuevo en la reunión de hardware en las instalaciones
recomienda tener una copia de seguridad local, y una nube de copia de seguridad en la nube es una copia de seguridad
La Figura 27. Nube basada en seguridad y restauración (CenturyLink nube Blog, 2014)
• Enfoque 3. En este enfoque, los datos se replican de en las instalaciones a la nube virtual
máquinas. La replicación se hace para proteger la misión de datos críticos, tales como la producción
instancias. La replicación se puede hacer desde las máquinas virtuales en la nube a nube virtual máquinas o
en las instalaciones de las máquinas en la nube virtual. Este enfoque se ha optado por
procesos de negocio donde RTO y RPO son muy críticos y deben tener la
valor mínimo posible. “Los productos de replicación se basan en los datos continuos
basado en objetos almacenamiento en la nube tales como EMC Atmos o la Plataforma contenido Hitachi
Mientras que un enfoque basado en la nube es más atractiva para cualquier empresa, ya que hay muchos
beneficios asociados a ella, al igual que el servicio se pueden implementar sin la necesidad de comprar
infraestructura, mantener y disponer de personal para apoyarlo, pagando sólo por lo que se utiliza, añadiendo
capacidad adicional tanto como sea requerido por la organización. De hecho, tener una nube pública como el
solución de BC / DR es la solución más económica y eficaz. Hay muchas cuestiones importantes a tener
en cuenta antes de hacer una elección de la clase de servicio en la nube una organización desea utilizar y
a partir del cual el proveedor de servicios. La mayoría de los DRaaS simplemente proporcionar copias de seguridad basadas en la nube y no
opciones de recuperación. Por lo tanto, las organizaciones deben considerar las siguientes características proporcionadas por su
proveedor de servicio:
1. copias de seguridad de datos, replicación, la conmutación por error, failbacks son más complejos, el tiempo y teniendo
costoso. La automatización puede hacer que el proceso sea mucho más fácil y más precisa
proveedores de servicios de recuperación deben tener la automatización como una de las características clave de la
2. Más participación humana significa directamente el error más humano y gran cantidad de complejidades,
error. Las organizaciones tienen que buscar una infraestructura unificada para la gestión de
3. Con el enfoque legado, la prueba se realiza en muy raras ocasiones y, aunque la recuperación de desastres
y los planes de continuidad de negocio son la prueba de casos de éxito y fracaso, no hay
garantizan que estas pruebas podrían ser un éxito en el sector. Si una organización está optando por
enfoque basado en la nube, la automatización de las pruebas de un conjunto de cargas de trabajo y la recuperación completa
debe ser uno de los servicios que el proveedor de servicios de recuperación de desastres debe
proporcionar. desastres basado en la nube es, sin duda barato, pero sólo si un buen servicio
es elegido proveedor.
4. Hasta que el negocio puede funcionar en las instalaciones, todos los procesos críticos deben ser capaces de
los procesos se ejecutan en la nube, por lo que incluso si la recuperación en las instalaciones es lento, negocio
seguirá funcionando en la nube sin tener el temor de llevar a cabo una nube rápido para ON-
premisa.
Para las empresas puedan contar con una recuperación de desastres que es concedida por el servicio en la nube
proveedores es extremadamente difícil, ya que requiere la empresa para tener plena fe en el proveedor de servicios
74
y debe haber una solución buena opción. Al final de continuidad, recuperación de desastres y de negocios
puede estar en el primer lugar en la lista de desastres en la continuidad del negocio. Tepco se informó a
tiene 15 mil millones de pérdidas en su cuenta y se prevé que estará fuera del negocio en tan sólo unos pocos años.
plan de continuidad del negocio de Tepco fue diseñado sólo para tsunami y no central nuclear
fracaso y por lo tanto la empresa no pudo seguir el negocio más después de la nuclear
La Figura 29. Las lecciones aprendidas de Fukushima Fracaso de Energía Nuclear (Ohtsuru, Tanigawa, y Kumagai, 2015)
75
Una empresa de TI, Cantey La tecnología tiene una historia de éxito con su plan de continuidad de negocio.
Cantey es una empresa que aloja los servidores de alrededor de 200 clientes. Había fuego en Cantey debido a
aligeramiento que resultó en la destrucción de todos los equipos presentes en todos los rincones del
empresa. No había margen para reparar la infraestructura que cada parte fue destruida. Incluso
después de todo, la destrucción, los clientes no se sienten incluso una pizca de dolor, todo gracias a la empresa
plan de continuidad de la empresa. Se toman continuamente copias de seguridad, los servidores fueron trasladados a
El norte de Lincolnshire, todo el mundo en el Reino Unido podría conocer este nombre. el norte de Lincolnshire
y NHS fundación confianza son una cadena de hospitales. En noviembre de 2016, esta cadena de hospitales
estaba infectado con un virus y en cuestión de cinco días y tres hospitales estaban infectados, y el
sistemas no funcionaban. Los pacientes no fueron atendidas, y se convirtieron incluso los casos más importantes
abajo. La razón para el tiempo de inactividad, literalmente, no se esperaba de esta red de hospitales-
y no de un hospital en el primer lugar. No había ningún plan de continuidad de negocio en su lugar por cualquier
El huracán huracán Irma y Harvey son los últimos ejemplos de cómo una empresa
de continuidad y recuperación de desastres planes de las organizaciones pueden fallar y lo débil planes pueden ser
identificado. Es siempre mejor para la organización de la prueba, los controles periódicos y vuelva a probar los planes para toda la
escenarios.
Los anteriores son algunos ejemplos de cómo puede una buena recuperación de desastres y continuidad del negocio
plan de salvar a la organización y lo mal o ningún plan de continuidad de negocio o recuperación de desastres puede
Resumen
En este capítulo se presentan los resultados de la investigación cualitativa sobre el tema “de negocios
Plan de Continuidad y recuperación de desastres para la Seguridad de la Información. En este capítulo se proporcionará la
resultados de tres cuestiones que deben abordarse como parte de la investigación es decir, ¿cómo puede una organización
hacen su plan sostenible, las mejores prácticas para planificar, construir e implementar una recuperación de desastres y
un plan de continuidad de negocio en la nube. En este capítulo también proporcionará una lista de organizaciones que
siempre que las normas para los diferentes aspectos de la gestión de crisis, la gestión de riesgos, desastres
Introducción
El aprendizaje es un proceso sin fin. A medida que las nuevas tecnologías vienen en, llega posibilidades de
nuevas invenciones en ciertos temas como el estándar, el enfoque tradicional en el desarrollo de un negocio
continuidad y recuperación de desastres plan tienen palanca de cambios a tener una recuperación de desastres basado en la nube y
enfoque de la continuidad del negocio. En este capítulo se proporcionará la conclusión y el resumen de esta
trabajo de investigación. El trabajo futuro que se puede hacer después de esta investigación también se discutirá en este
capítulo.
conclusiones
continuidad de negocio y recuperación de desastres planes juegan un papel muy importante en una organización de
sostenibilidad en este mundo de los negocios competitivos. planes de BC y DR son como registros de auditoría, aunque
no tienen importancia o la participación en la generación de ganancias y, de hecho, una sobrecarga adicional para
actividades diarias de trabajo, que de hecho ayudan en el mantenimiento a través de situaciones difíciles. En este papel,
recuperación de desastres y gestión de riesgos se consideran parte de la continuidad del negocio, como una
parte de las operaciones de continuidad de negocio se han completado, si la gestión de riesgos y recuperación de desastres
se han completado con éxito. Hay muchas organizaciones diferentes que proporcionan a las normas
organización tiene que mantener una vigilancia estricta en su requisito y estándares que sus planes tengan
conocer. En general, un plan para cada desastre nunca funcionará. Las empresas deben desarrollar un plan
para cada desastre o cada conjunto de desastres comúnmente concurrentes. El uso de desastres basada en la nube
servicios de recuperación le ayudará a obtener los servicios más fuera de la nube basados mientras que tener que gastar mucho
78
menos en los planes de optar por un enfoque tradicional, pero las empresas deben tener en cuenta la
acuerdos con proveedores de servicios, los servicios basados en la nube de lo contrario SLA serán no menos de
por encima de empresa. En pocas palabras, los planes de recuperación de desastres y continuidad de negocio no están
más un accesorio, las empresas son, sin saberlo, en una extrema necesidad de esa mano de ayuda en el momento
de desastres que llamamos antes de Cristo y el plan de DR y de las organizaciones para sostener, deben planificar,
Trabajo futuro
la continuidad y el plan de recuperación de desastres. Aunque el tema fue tratado como una parte de hacer
la AC y DR planean más sostenible, se le puede dar más margen para la investigación. mientras cloud-
servicio de recuperación de desastres basada es comprensible, la continuidad del negocio con la nube puede ser un tema
que pueden ser investigados en profundidad. Por lo tanto, el futuro de trabajo para este trabajo de investigación puede contener
basado en la nube de automatización de la continuidad del negocio y un plan de recuperación de desastres y tener
La automatización de la continuidad del negocio y un plan de recuperación de desastres dará muchos beneficios
para la empresa en términos de presupuesto, la consistencia, el cumplimiento de las normas, la actualización del software,
las pruebas, la actualización del plan de acuerdo con los últimos cambios de la tecnología, el mantenimiento y el uso de
organización. Muchos módulos que contribuyen a diferentes aspectos de un plan de continuidad de negocio
como el análisis de impacto en el negocio, gestión de incidentes, notificaciones de emergencia se pueden crear
e integrada si se utiliza el software de la continuidad del negocio. De vez en cuando, se producen muchos cambios
79
acomodado mediante la automatización del plan de BD o DR. Estos son algunos de los ejemplos de la
beneficios de la automatización de la Columbia Británica y el plan de DR, que se pueden investigar en detalle y se deduce
diferentes factores en el AC o el software de DR que deben ser considerados por la organización antes
en el mercado para llevar a cabo la automatización de AC o plan de DR se puede hacer como parte de la extensión
a este documento. En la siguiente figura puede dar una breve idea sobre la que el software de la continuidad del negocio a
tener en cuenta para la investigación. La cifra es el resultado de la investigación de Gartner-Gartner es una marca registrada
marca comercial y proporciona servicios de investigación de alta calidad en diferentes vendedores en el mercado relacionados con
concepto de investigación (BCP Estratégica, 2017). Como se muestra en la Figura 30, la continuidad 10 negocio superior
• dedicadas a la evaluación
• Planificador de recuperación
• LockPath
• Vista clara
• La lógica de continuidad
• Dell Tecnologías
• corriente métrica
80
Figura 30: Los líderes de negocios de software de Gestión de Continuidad (Cuadrante Mágico de Gartner para soluciones Programa de
Gestión de Continuidad de Negocios, 2017)
En segundo lugar, servicios de continuidad de negocio en la nube puede ser tomado como un tema de investigación. BC como una
servicio en la nube es un tema relativamente nuevo, aunque hay muchos proveedores de servicios en la nube que
proporcionar una recuperación de desastres y servicios de apoyo, servicios de continuidad de negocio basado en la nube se
aspecto importante. Por lo tanto, cuando se produce un desastre en una ubicación física, recuperar y continuar
negocio utilizando servicios en la nube es una de las mejores opciones que una organización puede elegir como
referencias
http://www.avalution.com/business-continuity-software
Barbara, M. (2006). La determinación de los factores críticos de una continuidad de negocio eficaz o
de http://spectrum.library.concordia.ca/9033/1/MR20809.pdf
Soluciones BCP-DRP-Veeam. (Dakota del Norte). reloj de la torre de soluciones LTD. Obtenido de
http://www.towerwatchtech.com/pcbdrp/
Bejtlich, R. (2004). El Tao de la red de vigilancia de la seguridad: Más allá de la detección de intrusiones. Bostón,
Berman, A. (2015). gestión de riesgos y la continuidad del negocio: La mejora de la solidez empresarial.
Obtenido de http://www.riskmanagementmonitor.com/risk-management-and-
Britton, C. (2016). Riesgos y VOSTS de no tener un programa de gestión de la continuidad del negocio.
Obtenido de https://www.rockdovesolutions.com/blog/risk-costs-of-not-having-a-
Blog CenturyLink nube. (2014, 8 de diciembre). DataGardens une CenturyLink, añadiendo demostrado
https://www.ctl.io/blog/post/datagardens-joins-centurylink-adding-proven-disaster-
-Recovery-oferta-a c /
Recuperación de desastres. (Dakota del Norte). Evaluación y aplicación de las normas pertinentes de BCM. Obtenido de
https://www.drj.com/642-a-bcm-professional-s-playbook-on-evaluating-and-applying-
http://www.economist.com/blogs/dailychart/2011/03/natural_disasters
Edwards, B. (1994). El desarrollo de un plan de recuperación de desastres en red con éxito. Información
Gregg, M. (2009). La continuidad del negocio y la planificación de recuperación de desastres. La certificación de TI Pearson.
Obtenido de
http://www.pearsonitcertification.com/articles/article.aspx?p=1329710&seqNum=3%2
http://searchdisasterrecovery.techtarget.com/feature/Disaster-recovery-in-the-cloud-
explicado
84
Hanning, S. (2001). Para recuperarse de un desastre: La implementación de los planes de recuperación de desastres siguiente
terrorismo-558
Harwood, M. (2015). seguridad en Internet: Cómo defenderse de los atacantes en la web ( 2 Dakota del Norte ed.).
Heng, GM (1996). El desarrollo de una metodología adecuada planificación de la continuidad del negocio.
Associates Janco. (Dakota del Norte). La recuperación de desastres / continuidad del negocio y el paquete de plantilla de seguridad.
Obtenido de https://www.e-janco.com/drp_and_security.htm
Kahan, S. (2014). Estudio global de referencia revela 73% de las empresas no están preparados para el desastre
Kamath, J.-P. (2007). la planificación de desastres y continuidad del negocio después del 9/11.
ComputerWeekly.com. Obtenido de
http://www.computerweekly.com/news/2240082860/Disaster-planning-and-business-
continuidad-después-9-11
Kirvan, P. (2015). normas continuidad de recuperación del negocio / desastre más populares de la actualidad. Tech
Kleyman, B. (2014). La combinación de nube con la recuperación de desastres y continuidad del negocio. Datos
http://www.datacenterknowledge.com/archives/2014/10/20/combining-cloud-disaster-
https://www.sans.org/reading-room/whitepapers/recovery/systems-survivability-560
Lucht, MJ (2014). El lanzamiento de un programa de continuidad de negocio sostenible en una cultura ed más alto
https://www.educause.edu/sites/default/files/library/presentations/E14/SESS023/Educ
http://defaultreasoning.com/2013/12/10/rpo-rto-wrt-mtdwth/
Martin, C. (2002). Desastres recovey del plan: estrategias y procedimientos. Boston, MA: SANS Institute.
Obtenido de http://www.computerworld.com/article/2510996/disaster-recovery/9-
11 - top-lecciones aprendidas-para-desastre-recovery.html
Milligan, L. (2016). Es hora de automatizar la continuidad del negocio y recuperación de desastres. Desastre
resource.com/index.php?option=com_content&view=article&id=822
86
Ohtsuru, A., Tanigawa, K., y Kumagai, A. (2015). desastres nucleares y de salud: lecciones aprendidas,
retos y propuestas. The Lancet, 386 ( 9992), 489-497. doi: S0140-6736 (15) 60994-1
Okolita, K. (2009). Cómo realizar un análisis de impacto en el negocio de recuperación de desastres. Obtenido de
http://www.csoonline.com/article/2124593/emergency-preparedness/how-to-perform-
http://www.onlinetech.com/resources/references/benefits-of-disaster-recovery-in-
computación en la nube
Pariseau, B. (2012). La continuidad del negocio se traslada a la nube como aplicaciones se vuelven resistentes.
http://searchcloudcomputing.techtarget.com/feature/Business-continuity-moves-to-
la nube-as-aplicaciones-convertirse-resiliente
Pitney Bowes. (Dakota del Norte). Las mejores prácticas en la continuidad del negocio. Obtenido de
http://news.pb.com/white-papers/best-practices-in-business-continuity.download
PRLeap. (2016). Janco libera la recuperación de desastres plantilla de planificación de continuidad de negocio que
http://www.prleap.com/pr/248398/janco-releases-disaster-recovery-business
Seguridad Pública de Canadá. (2015). Guía para la planificación de la continuidad del negocio. Obtenido de
https://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/bsnss-cntnt-plnnng/index-en.aspx
87
Rignt Escala Docs. (Dakota del Norte). La recuperación de desastres o escenario de migración nube. Obtenido de
http://docs.rightscale.com/cm/management_guide/disaster_recovery_or_cloud_migrat
ion_scenario.html
http://searchstorage.techtarget.com/definition/business-impact-analysis
https://www.sans.org/reading-room/whitepapers/recovery/introduction-business-
la continuidad de planificación-559
https://www.isaca.org/journal/archives/2010/volume-1/pages/performing-a-security-
riesgo-assessment1.aspx
Aprendizaje.
https://www.aicpastore.com/Content/media/PRODUCER_CONTENT/Newsletters/Articl
Snedaker, S. (2007). La continuidad del negocio y recuperación de desastres para los profesionales de TI. Obtenido
de http://www.flood.rmutt.ac.th/wp-
Spiteri, A. (2017, 6 de marzo). ¿Cómo elegir un proveedor de servicios cloud de confianza. Veeam. Obtenido
de https://www.veeam.com/blog/how-to-choose-cloud-service-provider.html
BCP estratégica. (2017). Gartner Magic Quadrant para el programa de gestión de la continuidad del negocio
quadrant.php
Tech Target. (Dakota del Norte). Symantec, las mejores prácticas para la continuidad del negocio. Obtenido de
https://www.symantec.com/content/en/us/enterprise/white_papers/b-techtarget-top-
7-best-prácticas-for-Business-continuidad-WP.pdf
https://telovations.wordpress.com/tag/revenue-lost-due-to-natural-disaster/
Veeam. (Dakota del Norte). Basado en la nube de recuperación de desastres y copia de seguridad fuera del sitio. Obtenido de
https://www.veeam.com/cloud-connect.html)
V v Wheatman. (2001). Consecuencias: La recuperación de desastres. Stamford, CT: Gartner Research, AV-14-
5238.
http://www.whitingriskconsulting.com/services/
Widup, S. (2003). la planificación de la continuidad del negocio en tiempos económicos difíciles. SANS Institute.
Obtenido de https://www.sans.org/reading-room/whitepapers/recovery/business-
la continuidad de planificación-difícil-económico-veces-1114
89
Yang, C.-l., Yuan, BJ, y Huang, C.-Y. (2015). derivaciones determinante clave de información
tecnología del sitio de recuperación de desastres de selección por el multi-criterio de toma de decisiones modelo.
Eurasia Diario de Matemáticas, Ciencias, y Teachnology, Educación, 13 ( 8), desde 4553 hasta 4589.