Plandecontinuidaddenegocio 130914191831 Phpapp02

Plan de Continuidad de Negocio
Ramiro Cid | @ramirocid
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Índice
1. Posibles tipos de desastres Pág. 4

2. Plan de continuidad Pág. 7
3. Diferentes enfoques de Business Continuity Plan Pág. 14
4. BS 25999 Pág. 17
5. Business Impact Analysis (BIA) Pág. 23
6. Estrategias para la creación de BCP Pág. 25
7. Estrategias posibles para los centros de respaldo Pág. 26
8. Estructura de los BCP Pág. 32
9. Relación de procesos de los BCP Pág. 42
2
¿100% Seguridad?
“El único sistema que es realmente seguro es uno apagado y desconectado

de la red, encerrado en una caja fuerte forrada de titanio, enterrado en un
bunker, rodeado de gas nervioso y custodiado por guardas armados y muy
bien pagados. Incluso entonces, no daría mi vida por ello …”
Gene Spafford
Director de Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue

Posibles tipos de desastres
Errores Software
Fallos en el Servicio
5%
1%
Otras
Errores Hardware
2%
8%
Caídas de Energía
Errores Humanos
27%
2%
Inundaciones
10% Fugas de agua
1%
Caídas de Red
2%
Atentados
7%
Sabotaje
Tormentas y Rayos
3%
12% Terremotos
Fuego Huracanes
5%
6% 6% Chispas y Subidas de Tensión
3%


Despacho de un Responsable de Área TIC después de un incendio y la utilización

de extinción automática por agua.

Plan de continuidad
Las organizaciones tratan de evitar las situaciones de riesgos a través de la

instalación de medidas de seguridad preventivas.
A pesar de la inversión que se pueda realizar, hay que asumir que nunca se
podrá obtener una seguridad del 100%.
Para tratar de reducir estos riesgos se deben pensar planes de reacción

antes las situaciones de riesgo que se consideren más críticas.
Los planes de continuidad de negocio se definen para CUANDO falle el

sistema, no POR SI FALLA.

Plan de continuidad
Un Plan de Continuidad de Negocio es la respuesta prevista por una

organización ante aquellas situaciones de riesgo que afectan de forma
crítica a los servicios que ofrecen y que son los que le permiten la
realización de sus actividades diarias y que deben ser las que se quieren
protegen.
En esencia, un Plan de Continuidad de Negocio se centra en obtener el

mínimo tiempo de recuperación ante una determinada situación de riesgo
así como la minimización de las consecuencias que estas acciones
podrían llegar a provocar.

Plan de continuidad
Los Planes de Continuidad de Negocio buscan:
1. Mantener el nivel de servicio en los límites definidos por la organización.

2. Establecer un período de recuperación mínimo para garantizar la
continuidad del negocio.
3. Recuperar la situación inicial de los servicios y procesos hasta la situación
anterior al incidente de seguridad que lo provocó.
4. Analizar el resultado de la aplicación del Plan de Continuidad de Negocio y
los motivos del fallo para optimizar las acciones que la comprenden.
Deben estar en consonancia con el Análisis de Riesgos de la organización ya

que permite identificar las medidas de seguridad que se deben implantar
en una organización así como ante que situaciones se deberá pensar en
el Plan de Continuidad de Negocio.

Análisis de Riesgos y Planes de Continuidad
De un proceso de Análisis de Riesgos se obtienen:
1. Situación a controlar
2. Situación objetivo
3. Controles implementados
4. Controles del plan de continuidad
5. Activos implicados
6. Amenazas
7. Áreas de la empresa implicadas

Estructura de los Planes de Continuidad
Activos críticos
Definición situaciones críticas Procesos de trabajo
Análisis de riesgos
Asignación de responsabilidades Comité de emergencia
Responsables de planes
Disparo situación de alarma Indicadores de disparo
y acciones de respuesta Secuencia de acciones
Registros
Planes de mantenimientos Datos de pruebas y disparo
Propuestas de mejora o cambios

Planes de Continuidad
Tienen que responder a las diferentes situaciones de riesgos que están

definidas.
Recogen todas las acciones a llevar a cabo desde el momento que se

detecta la emergencia hasta que la empresa vuelve a sus condiciones de
funcionamiento.

Planes de Continuidad
Resulta fundamental para el éxito de un Plan de Continuidad de Negocio

que se tengan en consideración los siguientes aspectos de cara al éxito
de este tipo de proyectos:
Detectar todos los recursos necesarios que se requieren tanto para la

protección como para la recuperación de los procesos a salvaguardar.
Definir la disponibilidad, mantenimiento y operatividad de todos los recursos
implicados en el Plan de Continuidad de Negocio.
Establecer claramente el momento de disparo de los Planes de Continuidad.
Asignar un responsable al Plan de Contingencias específico.
Asignar responsabilidades claramente para cada acción definida.
Establecer un proceso de revisión una vez recuperada la situación.

Diferentes enfoques de Business Continuity Plan
Disaster Recovery Planning (DRP)

Recuperación de los servicios TIC y los recursos, dado un evento que
ocasiona un interrupción mayor en su funcionamiento.
Bussiness Resumption Planning (BRP)

Reanudación de los procesos de negocio afectados por un fallo en las
aplicaciones de IT.
Continuity od Operations Planning (COOP)

Busca la recuperación de las funciones estratégicas de una organización que
son desempeñadas en sus instalaciones corporativas.

Diferentes enfoques de Business Continuity Plan
Contingencia Planning (CP)

Se enfoca en la recuperación de los servicios y recursos de TI después de un
desastre de dimensiones mayores a una interrupción menor.
Emergency Response Planning

Es de salvaguardar, a los empleados, público, ambiente y a los activos de la
empresa.

Normativas para la creación de los Planes de Continuidad de Negocio
Durante este año 2007 se presentó la primera normativa de carácter

internacional en la que se indica que aspectos deben tenerse en
consideración a la hora de la creación e implantación de un Plan de
Continuidad de Negocio en una organización. Esta normativa se
denomina BS 25999.
Es la primera norma con carácter internacional (durante el próximo año
pasará a ser ISO) que aporta unas buenas prácticas para la gestión de la
continuidad del negocio.
Incluso está en elaboración la segunda parte de esta norma con el objetivo de
poder certificar dichos PCN.
Determina como deben gestionarse de la forma correcta los planes de
continuidad de negocio con el objetivo de que se integren en las
organizaciones.

BS 25999
Este estándar describe las diferentes fases que tienen que establecerse
para la creación y gestión continua de un plan de continuidad de negocio.
Comprensión de la
Organización
Prueba,
mantenimiento y Programa de Determinación de
Gestión del la estrategia del
revisión del PCN PCN PCN
Desarrollo e
implementación del
PCN

BS 25999: Primera Fase
Comprensión de la organización
Esta primera fase a la hora de la creación de un Plan de Continuidad de Negocio
resulta la más crítica y fundamental de cara al éxito de este tipo de proyectos. El
objetivo fundamental consiste en la comprensión total de las actividades que se
realizan por parte de la organización así como todos los elementos que se requieren
para la realización de estos procesos.
Para la elaboración de esta primera fase se divide en dos sub-fases:
Gestión del riesgo
Tratar de minimizar los riesgos detectado en el Análisis de Riesgo con el fin de

reducir los riesgos existentes, preferentemente aquellos que podrían provocar
grandes daños para la organización.

BS 25999: Primera Fase
Business Impact Analysis (BIA)
Consiste en identificar los procesos relacionados con la misión de la organización y

analizar con mucho detalle los impactos en la gestión comercial del negocio si
esos procesos se vieran interrumpidos como resultado de un desastre.
Se identifican las áreas críticas para el alcance de la organización, así como la

magnitud potencial del impacto operativo y financiero.
El BIA resulta el proceso más complejo dentro de un Plan de Continuidad de

Negocio ya que es a partir del mismo que se consigue identificar los valores
fundamentales de todo PCN:
Tiempo máximo de inactividad por proceso / actividad de negocio.
Tiempo de recuperación de la información que se requiere para ofrecer un proceso
/actividad de negocio.
Minimo nivel de servicio que se requiere para ofrecer los procesos /actividades de
negocio

BS 25999: Segunda Fase
Determinación de la estrategia del PCN
Consiste en la realización del estudio de las posibles soluciones que existen

para poder recuperar los procesos más críticos en el menor tiempo posible
con una menor inversión.
El objetivo es garantizar que no se superará el tiempo máximo de inactividad

de negocio permitido desde el momento en el que sucede la contingencia
hasta que el servicio se vuelve a ofrecer.

BS 25999: Tercera Fase
Desarrollo e implantación del Plan de Continuidad de Negocio
Consiste en la creación de:
Los equipos de continuidad de negocio.

Preparación de las infraestructuras requeridas para la ejecución de estos planes
de continuidad.
Determinación de los momentos de ejecución de los diferentes planes.
Elaboración de las diferentes acciones que se deberán ejecutar en el momento de
uso del Plan de Continuidad de Negocio.
Determinación de las personas que deben ejecutar todas y cada una de las
acciones que se deberán desarrollar.

BS 25999: Tercera Fase
Prueba, mantenimiento y revisión del Plan de Continuidad de Negocio
Prueba de los PCN
Se deben efectuar de forma periódica pruebas para verificar que el plan de continuidad
de negocio consigue los objetivos marcados a la hora de la determinación y creación
de estos planes
Estas pruebas sirven para la realización de mejoras en el Plan de Continuidad de

Negocio.
Mantenimiento del PCN
Se trata de mantener el Plan de Continuidad de Negocio en un estado de preparación

constante para dado un desastre poder ejecutarlo minimizando las posibilidades de
error.

Business Impact Analysis
Resulta una de las fases más importantes a la hora de

la creación de los planes de continuidad de negocio.
Se realiza a nivel de proceso y no a nivel de activo.

Incluye aspectos como:
Conviene una clara y precisa comprensión del negocio • pérdida de ingresos,
•sanciones y multas,
La información se extrae de entrevistas con diferentes
• pérdida de imagen
personas de alta dirección del negocio así
• incremento de
costes.
Permite decidir que procesos deberán recuperarse con
anterioridad en caso de desastre

Business Impact Analysis

Estrategias para la creación del PCN
Existen varios aspectos fundamentales a la hora de la decisión de una

solución:

Estrategias posibles para los Centro de Respaldo
Cold Site
Solo tienen:
Cableado eléctrico
Aire Acondicionado
Warm Site
Configuraciones parciales, solo
Conexiones de red
Equipos periféricos
Carecen generalmente de la CPU
La disponibilidad depende del acopio e instalación de la CPU
Deben ser compatibles, (equipo, red y software)
Necesitan CPU, personal, programas, datos y documentación
Destinado para operaciones de emergencia para periodos cortos

Hot Site
Configuraciones totales
Listas para ser usadas dentro de pocas horas
Deben ser compatibles: equipos, red y software
Necesitan personal, programas, datos y documentación
Destinados a
operaciones de emergencia para periodos cortos
operaciones de emergencia para procesos de negocio muy críticos
Caros compartidos

Lugares dedicados
Son lugares dedicados (generalmente propios)
Para asegurar su viabilidad es necesario:
No debe estar sujeto a los mismos desastres que el lugar primario

Debe haber coordinación de estrategias de actualización (hard/soft) entre ambos
centros
Debe asegurar la disponibilidad de los recursos
Debe haber acuerdos para agregar aplicaciones (carga de trabajo) para la
recuperación
Es necesario una prueba periódica

Sitios móviles
Remolque diseñado para ser trasladado rápidamente
Suelen contener
Servidores
Estaciones de trabajo
Equipos de comunicaciones
Enlaces vía satélite
Útiles para
desastres que afectan a una amplia zona geográfica

organizaciones de oficinas múltiples

Acuerdos recíprocos
Los participantes acuerdan proveerse mutuamente instalaciones en caso de

emergencia
Ventajas
Bajo Costo
Es posible que sea la única alternativa
Inconvenientes
Estos acuerdos NO suelen OBLIGAR a las partes
Pueden existir INCOMPATIBILIDADES de equipos y configuración
Los cambios sobre carga de trabajo afectan a los participantes


Estructura de los BCP
Esquema de los BCP:
1. Objetivo
2. Alcance
3. Descripción de la situación a controlar
1. Riesgos a controlar
2. Activos que intervienen
3. Nivel de servicio exigido
4. Tiempos para cada respuesta: tiempo total de reacción
5. Recursos necesarios en cada uno de los planes. Disponibilidad y
operatividad
4. Listado de Procedimientos concretos y responsables
5. Disparo de Alarma

6. Plan de respuesta
7. Plan de respaldo
8. Plan de recuperación
9. Plan de análisis y mejora
10. Planes de prueba

Objetivo: recoge brevemente el objetivo del plan de contingencia concreto
Alcance: recoge el ámbito de aplicación del PC. Se define el servicio,

localización en la empresa, personal responsable, etc.

3. Descripción de la situación a controlar: Recoge los datos de la situación

analizada y los parámetros que se quieren mantener.
Situaciones de riesgo: descripción de amenazas y forma de actuación

Activos involucrados: listado y consecuencias producidas
Niveles exigidos: situación requerida de la empresa para la situación
descrita en los PC en los momentos de interrupción del servicio
Tiempos de respuesta: tiempo máx. para alcanzar cada una de las fases
Recursos necesarios para los planes de respuesta, respaldo y recuperación

4. Planes desarrollados y responsables en cada uno de los planes: listado

de los planes o procedimientos concretos con los responsables de los
mismos. Se especifica versión, aprobación y distribución, así como la
persona responsable de su implantación y mantenimiento.
5. Disparo de alarma: Recoge claramente las situaciones o indicadores que

hacen que las acciones indicadas arranquen. Se define quién puede
detectar estas situaciones de inicio y qué primera acción debe efectuar.

6. Plan de respuesta: procedimiento que describe las acciones a realizar

tras el disparo de la alarma o emergencia:
Acciones para proteger a las personas

Acciones para cortar la situación de riesgo: control de las amenazas
Acciones para proteger los activos
Acciones de notificaciones públicas
Registro de las acciones que se van realizando

7. Plan de respaldo: procedimiento donde se describen las acciones a llevar

a cabo para mantener el servicio mientras se resuelve la situación de
emergencia. Trata de mantener el servicio en los niveles requeridos por la
organización.
Recursos necesarios para mantener la operación

Mantenimiento de los recursos
Activación de las diferentes acciones
Registro de las acciones llevadas a cabo: inicio, desarrollo y resultados
Personal implicado

8. Plan de recuperación: procedimiento donde se describen los pasos a

realizar para restaurar el servicio a los niveles que existían antes de las
emergencias.
Restitución de activos, suministros, entorno

Arranque de los sistemas, servicios, etc.
Pruebas para comprobar los sistemas restaurados
Puesta en operación
Retirada de los planes de respaldo
Registro de las acciones realizadas y resultados.

9. Plan de análisis y mejora: procedimiento donde se describe qué datos

analizar y cómo hacerlo una vez finalizada la emergencia y restaurados
los sistemas
Datos sobre situación de emergencia, causas, duración, daño producido

Datos sobre el desarrollo y adecuación de los planes de respuesta,
respaldo y restauración. Registros tomados durante el desarrollo de los
planes
Problemas detectados en el proceso del PC
Informe para comité de seguridad/emergencia
Propuesta de acciones correctoras y de mejora. Seguimiento.

10. Planes de prueba: descripción de las pruebas a realizar del plan de

contingencias para verificar que funcione correctamente, están los
recursos necesarios disponibles, están los procedimientos disponibles y
son conocidos.
Planificación de las pruebas

Responsables de realizar las pruebas
Pasos a realizar, simulacros
Análisis de los resultados
Presentación de mejoras al responsable del plan de contingencias y al
comité de seguridad/emergencia.

Relación de procesos de los BCP
no Disparo Resultados
Pruebas
de alarma
Plan de pruebas
si
Plan de respuesta Registros
Plan de respaldo Plan de recuperación
Plan de Análisis y
Mejora Propuestas de
cambios y
mejora

Desarrollo de los PCN
Nº FUNCIÓN Responsable Resultado

1 Considerando el Análisis de Riesgos. Describir Comité Seguridad Estructura PC
el esquema de los PC Responsable Seguridad PC a desarrollar por los
responsables PC
2 Para cada PC describir los puntos y procesos Responsable de los PC PC

de cada uno de ellos Registros definitivos
3 Revisar los PC para coordinar acciones y Comité seguridad Aprobación formal de los planes
asegurar la coherencia Responsable Seguridad
4 Establecer y aprobar la programación de las Comité seguridad Aprobación formal de los planes
pruebas y revisiones de los PC Responsable seguridad de pruebas
5 Asegurar la disponibilidad de los recursos Responsables del PC Recursos disponibles

necesarios para aplicar los planes
6 Distribución de los planes y formación del Responsable de los PC Conocimiento y preparación del
personal personal implicado
7 Desarrollo de pruebas y revisiones Responsable de PC Mejora y mantenimiento de los

PC
¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL
ramiro@ramirocid.com http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
@ramirocid http://www.youtube.com/user/cidramiro

Plandecontinuidaddenegocio 130914191831 Phpapp02

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plandecontinuidaddenegocio 130914191831 Phpapp02

Cargado por

Copyright:

Formatos disponibles

Plan de Continuidad de Negocio

Plan de Continuidad de Negocio

Ramiro Cid | @ramirocid

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

1. Posibles tipos de desastres Pág. 4

“El único sistema que es realmente seguro es uno apagado y desconectado

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Posibles tipos de desastres

10% Fugas de agua

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Posibles tipos de desastres

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Posibles tipos de desastres

Despacho de un Responsable de Área TIC después de un incendio y la utilización

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Las organizaciones tratan de evitar las situaciones de riesgos a través de la

Para tratar de reducir estos riesgos se deben pensar planes de reacción

Los planes de continuidad de negocio se definen para CUANDO falle el

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Un Plan de Continuidad de Negocio es la respuesta prevista por una

En esencia, un Plan de Continuidad de Negocio se centra en obtener el

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Los Planes de Continuidad de Negocio buscan:

1. Mantener el nivel de servicio en los límites definidos por la organización.

Deben estar en consonancia con el Análisis de Riesgos de la organización ya

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Análisis de Riesgos y Planes de Continuidad

De un proceso de Análisis de Riesgos se obtienen:

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Estructura de los Planes de Continuidad

Definición situaciones críticas Procesos de trabajo

Asignación de responsabilidades Comité de emergencia

Disparo situación de alarma Indicadores de disparo

y acciones de respuesta Secuencia de acciones

Planes de mantenimientos Datos de pruebas y disparo

Propuestas de mejora o cambios

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Tienen que responder a las diferentes situaciones de riesgos que están

Recogen todas las acciones a llevar a cabo desde el momento que se

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Resulta fundamental para el éxito de un Plan de Continuidad de Negocio

Detectar todos los recursos necesarios que se requieren tanto para la

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Diferentes enfoques de Business Continuity Plan

Disaster Recovery Planning (DRP)

Bussiness Resumption Planning (BRP)

Continuity od Operations Planning (COOP)

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Diferentes enfoques de Business Continuity Plan

Contingencia Planning (CP)

Emergency Response Planning

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Normativas para la creación de los Planes de Continuidad de Negocio

Durante este año 2007 se presentó la primera normativa de carácter

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

BS 25999: Primera Fase

Para la elaboración de esta primera fase se divide en dos sub-fases:

Gestión del riesgo

Tratar de minimizar los riesgos detectado en el Análisis de Riesgo con el fin de

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

BS 25999: Primera Fase

Business Impact Analysis (BIA)

Objetivo: recoge brevemente el objetivo del plan de contingencia concreto

Alcance: recoge el ámbito de aplicación del PC. Se define el servicio,