Universidad Católica de El Salvador

Facultad Ingeniería y Arquitectura

AUDITORÍA DE SISTEMAS:
CONTINUIDAD DEL NEGOCIO Y
RECUPERACIÓN DE DESASTRES

Ing. Carlos Orellana

Parte 2
1
 1.6 Análisis del Impacto al Negocio

Esta etapa implica identificar los diversos eventos que podrían tener
impacto sobre la continuidad de las operaciones y su impacto financiero,
humano, legal y de reputación sobre la organización.

Para ejecutar esta etapa con éxito, se debe:

• Lograr entendimiento de la organización, de los procesos claves del
negocio y de los recursos de SI.
• Debe existir participación de la alta gerencia, de personal de TI y de los
usuarios finales.
• Se debe establecer criticidad de los recursos de información
(aplicaciones, datos, redes, software de sistema, instalaciones)
• Incluir todos los tipos de recursos de información y mirar mas allá de
los tradicionales (Información vital en Laptops, PDA’s, estaciones de
trabajo con funciones críticas).

2
 1.6 Análisis del Impacto al Negocio

Métodos para efectuar el análisis de

impacto del negocio

• Cuestionario: Desarrollar cuestionario

detallado y circularlo a los usuarios clave
en las áreas de TI y usuarios finales.

• Entrevistas: Entrevistar a grupos de

usuarios clave

• Reuniones: Reunir a personal de TI y

usuarios clave para llegar a una
conclusión respecto al impacto potencial.

3
 1.6 Análisis del Impacto al Negocio

Tres preguntas que deben considerarse durante la etapa del BIA:

1. ¿Cuáles son los diferentes procesos de negocio? Cada proceso debe

ser evaluado para determinar su importancia relativa. (El proceso
satisface requisitos legales, la interrupción del proceso causaría un
pérdida de ingresos o costos excepcionales inaceptables, el número
de segmentos del negocio o número de usuarios afectados.

2. ¿Cuáles son los recursos de información crítica relacionados con los

procesos críticos de negocio? (Recepción de pagos, producción, pago
a los empleados, publicidad, despacho de productos terminados,
cumplimiento de leyes y regulaciones).

3. ¿Cuál es el período crítico de tiempo de recuperación para los

recursos de información en el cual se debe restablecer el
procesamiento del negocio antes de que se experimenten pérdidas
significativas o inaceptables? Bancos, Aseguradoras, Fábricas.
Considerar la época del año o día de la semana.
4
 1.6 Análisis del Impacto al Negocio

Identificar Identificar Identificar

Operaciones recursos Criticidad de
críticas de TI recursos de TI

Identificar
Eventos

Identificar
Impactos

5
 1.6 Análisis del Impacto al Negocio

Costo de tiempo improductivo Costo de las estrategias de

del desastre = Costo de corrección alternas = Costo de
interrupción recuperación

• Costo de recursos inactivos • Costo de preparación

• Demoras • Costo de pruebas periódicas
• Costos indirectos • Costo de requerimientos de
respaldo
• Costo de seguros
• Costo de sitio alterno

Costo de Costo de
Interrupción Recuperación Costo Total

6
 1.6 Análisis del Impacto al Negocio

Costos

Operaciones
discontinuadas

Tiempo fuera
Total de servicio

Mínimo

Estrategias de
Recuperación Alternativas

Tiempo
Costo de interrupción-> Aumenta con el tiempo
Costo de recuperación-> Disminuye con el tiempo según la
estrategia de recuperación 7
 1.6 Análisis del Impacto al Negocio

Clasificación de las operaciones y análisis de criticidad

• La clasificación de los sistemas implica una determinación del riesgo

basándose:
1. Impacto que se deriva del período de tiempo de recuperación
2. Probabilidad de que ocurra una interrupción adversa

• ¿Cuán preparados debemos estar?. Algunas organizaciones consideran

el riesgo de ocurrencia para determinar un costo razonable de
preparación

Por ejemplo:
Riesgo ocurrencia = 0.1% (interrupción grave dentro de 5 años)
Impacto = $10 millones
Costo de preparación = 0.001 * $10 millones = $10,000

8
1.6 Análisis del Impacto al Negocio

9
 Pregunta

La ventana de tiempo para la recuperación de las

capacidades de procesamiento de información se
basa en:

A. La criticidad de los procesos afectados

B. La calidad de los datos a ser procesados

C. La naturaleza del desastre

D. Las aplicaciones que se basan en mainframe

10
 1.7 Objetivo de Punto de Recuperación (RPO) y Objetivo de
Tiempo de Recuperación (RTO)

Las 2 medidas que ayudan en la determinación de las

estrategias de recuperación son:
Objetivo de punto de recuperación (RPO - Recovery Point
Objective)
1. Se determina en base a la pérdida aceptable de datos en
una interrupción
2. El punto más anticipado en el tiempo al cual es aceptable
recuperar datos
Objetivo de tiempo de recuperación (RTO - Recovery Time
Objective)
1. Se determina en base al tiempo improductivo aceptable en
una interrupción
2. El punto más anticipado en el tiempo en el que las
operaciones deben retomarse después del desastre

11
1.7 Objetivo de Punto de Recuperación (RPO) y Objetivo de
Tiempo de Recuperación (RTO)

Relación entre RPO y RTO

RPO RTO

tiempo

Cinta Backup 1 hr 2 hr 24 hr
Disco Espejo
Backup Backup

12
 1.7 Objetivo de Punto de Recuperación (RPO) y Objetivo de
Tiempo de Recuperación (RTO)

Relación entre RPO y RTO

Tolerancia a la Interrupción.

• Baja: No se puede suspender la

operación porque tiene un gran
impacto al negocio (financiero,
imagen u otro)
• Alta: Se puede suspender por
un tiempo sin impacto al
negocio
13
 1.7 Objetivo de Punto de Recuperación (RPO) y Objetivo de
Tiempo de Recuperación (RTO)

Ejemplo de Tolerancia a la interrupción.

• Tolerancia baja
DoS a página WEB de Amazon
Impacto= perdidas financieras y de imagen.

• Tolerancia media
DoS a página WEB de la UFG
Impacto = imagen.

• Tolerancia alta
DoS a página WEB de información al público
del gobierno
Impacto = validar # de visitas.

14
 1.7 Objetivo de Punto de Recuperación (RPO) y Objetivo de
Tiempo de Recuperación (RTO)

Parámetros adicionales que son importantes para definir las

estrategias de recuperación

• Ventana de interrupción: Tiempo que se puede esperar desde

el punto de falla hasta la restauración de servicios críticos.

• Objetivo de entrega de servicio (SDO): El nivel de servicios a

proveer durante el modo de proceso alterno hasta que se
restaure la situación normal.

• Cortes máximos tolerables: El tiempo máximo que se puede

soportar procesando en modo alterno

15
 Pregunta

Se debe implementar mirroring de datos como una

estrategia de recuperación cuando:

A. El objetivo de punto de recuperación es bajo

B. El objetivo de punto de recuperación es alto

C. El objetivo de tiempo de recuperación es alto

D. La tolerancia a desastre es alta

16
 Pregunta

Cuando se prepara un plan de continuidad de

negocio, ¿cuál de lo siguiente debe conocerse para
establecer un objetivo de punto de recuperación?

A. La pérdida aceptable de datos en caso de interrupción de las

operaciones

B. El tiempo improductivo aceptable en caso de interrupción de

las operaciones

C. Los tipos de facilidades de respaldo fuera del sitio disponibles

D. Los tipos de plataformas de TI que soportan las funciones

críticas del negocio

17
 1.8 Estrategias de Recuperación

La estrategia de recuperación es una combinación de medidas preventivas, de

detección y correctivas. La acción más efectiva sería:
1. Eliminar la amenaza completamente
2. Minimizar la probabilidad de que ocurra Seguridad física y ambiental
3. Minimizar el efecto de una ocurrencia Resiliencia integrada *

Una estrategia de recuperación identifica la mejor forma de recuperar un sistema en

caso de interrupción, incluyendo desastre, y provee orientación basada en que
procedimientos detallados de recuperación se pueden desarrollar. Se deben
desarrollar diferentes estrategias y se deben presentar todas las alternativas a la alta
gerencia, ésta última debe seleccionar la estrategia más apropiada y aceptar el
riesgo residual o inherente.

La selección de una estrategia de recuperación dependería de:

1. La criticidad del proceso de negocio y de las aplicaciones
2. Costo
3. El tiempo requerido para recuperarse
4. Seguridad

* Resiliencia: Capacidad de volver al estado normal de operación luego de ocurrir un

18
efecto adverso (Direccionamiento alternativo y redundancia).
1.9 Alternativas de Recuperación

HOT SITES

19
1.9 Alternativas de Recuperación

WARM SITES

20
1.9 Alternativas de Recuperación

COLD SITES

21
 1.9 Alternativas de Recuperación

Instalaciones de Procesamiento de Información Duplicadas (IPFs)

• El lugar no debe estar sujeto a

los mismos desastres naturales
del sitio primario.
• Coordinación de estrategias de
hardware / software.
• Asegurar la disponibilida de
recursos
• Acuerdo de prioridad para
agregar aplicaciones (carga de
trabajo).
• Efectuar pruebas periódicas

22
1.9 Alternativas de Recuperación

Sitios Móviles

23
 1.9 Alternativas de Recuperación

Acuerdos recíprocos con otras organizaciones

Es un método usado con menos frecuencia entre dos o mas organizaciones

con equipos o aplicaciones similares.

Ventajas:
• Bajo costo
• Es posible que sea la única opción disponible, en casos de equipo de
vendedor único.

Desventajas:
• Por lo general no son obligatorias
• Las diferencias en la configuración de equipos a menudo necesitan cambio
en los programas para operar con efectividad.
• Los cambios en las cargas de trabajo o configuraciones que no son
notificados a los participantes vuelven el acuerdo limitado o inútil.

24
 1.9 Alternativas de Recuperación

Preguntas para cubrir un acuerdo recíproco

• ¿Cuánto tiempo estará disponible el sitio de la computadora anfitriona?

• ¿Qué instalaciones, equipos y software estarán disponibles?
• ¿Se proveerá asistencia de personal?
• ¿Con qué rapidez se puede tener acceso a la instalación anfitriona de
recuperación?
• ¿Pueden establecerse en el lugar anfitrión las comunicaciones de voz y
datos?
• ¿Por cuánto tiempo puede continuar la operación de emergencia?
• ¿Con qué frecuencia puede el sistema ser probado para verificar su
compatibilidad?
• ¿Cómo se mantendrá la confidencialidad de los datos?
• ¿Qué tipo de seguridad se brindará para las operaciones y los datos de los
sistemas de información?
• ¿Con qué anticipación se requiere dar aviso para usar la instalación?
• ¿Hay ciertas épocas del año, mes, etc., en que las instalaciones del socio
no están disponibles?
25
 1.9 Alternativas de Recuperación

Tecnologías de Recuperación

• Configuraciones (hw/sw)
• Desastre
• Velocidad de disponibilidad
• Suscriptores por sitio
• Suscriptores por área
• Preferencia
• Seguros
• Periódo de uso
• Comunicaciones
• Garantías
• Derecho de auditoría
• Derecho de prueba
• Confiabilidad -> UPS, suscriptores limitados, buena administración
técnica y garantías de compatibilidad de hw/sw.

26
 1.9 Alternativas de Recuperación

Obtención de Hardware Alternativo

Hay varias alternativas disponibles para asegurar el hardware y las

instalaciones físicas de respaldo, incluyendo:

• Proveedor o tercero: Proveedores de hardware son la mejor fuente

para el reemplazo de equipo. Sin embargo, en las operaciones
críticas, implica un período de espera inaceptable.

• Fuera de inventario: Equipo que está rápidamente a disposición

proveniente del inventario de proveedores, previo aviso, con una
necesidad mínima de acuerdos especiales.

• Contrato de crédito o tarjetas de crédito de emergencia: Asegurar

los planes de recuperación incluye instrucciones de cómo se va a
pagar dicho equipo.

27
 1.9 Alternativas de Recuperación

¿Que estrategias serán implementadas en su institución hasta que las

instalaciones sean restauradas?

• No hacer nada hasta que las instalaciones de recuperación estén

listas.
• Usar los procedimientos manuales
• Cumplir solamente con los requisitos regulatorios y legales
• Concentrarse en los clientes, proveedores, productos, sistemas
mas importantes.
• Usar sistemas basados en PC para capturar datos para
procesamiento posterior o realizar procesamiento local simple.

28
 Pregunta

Un auditor de SI descubre que el plan de continuidad de negocio de

una organización provee un sitio alterno de procesamiento que
acomodará el 50% de la capacidad primaria de procesamiento.
Basado en esto. ¿Cuál de las siguientes acciones debe emprender el
auditor de SI?

A. No hacer nada, porque generalmente, menos del 25% de todo el procesamiento

es crítico para la supervivencia de una organización y la capacidad de respaldo,
por lo tanto es adecuada.

B. Identificar las aplicaciones que podrían ser procesadas en el sitio alterno, y

desarrollar procedimientos manuales para respaldar otro procesamiento.

C. Asegurar que las aplicaciones críticas hayan sido identificadas y que el sitio
alterno podría procesar todas esas aplicaciones.

D. Recomendar que el IPF haga arreglos para un sitio alterno de procesamiento con
la capacidad de manejar por lo menos el 75% del procesamiento normal 29
 1.10 Desarrollo de Planes de Continuidad del Negocio y
Recuperación de Desastres

Para desarrollar el BCP, se deben considerar diversos factores que nos

lleven a minimizar la interrupción de los procesos de negocio:

• Manejo de respuestas a incidentes

• Procedimientos de evacuación
• Procedimientos para declarar un desastre (no todas las
interrupciones son desastres)
• Identificación de las responsabilidades en el plan
• Identificación de las personas responsables de cada función en el
plan
• Identificación de la información de los contratos
• Identificación de los diversos recursos requeridos para la
recuperación y operación continua
• Explicación paso a paso de la etapa de recuperación
• El plan debe estar escrito en lenguaje sencillo y comprensible para
todos
• Mantener copias del plan fuera del sitio
30
 1.11 Organización y Asignación de Responsabilidades

Se deben crear equipos como respuesta ante eventualidades no

previstas y se debe crear una motriz sobre la correlación entre los
equipos que se necesitan para participar y el esfuerzo de recuperación
/ nivel de interrupción estimado.

1. Equipo de respuesta a incidentes

2. Equipo de acción de emergencia
3. Equipo de evaluación de daños
4. Equipo administrador de la emergencia
5. Equipo de almacenamiento offsite
6. Equipo del software
7. Equipo de las aplicaciones
8. Equipo de operaciones de emergencia
9. Equipo de recuperación de la red
10. Equipo de comunicaciones
11. Equipo de Transportes

31
 1.11 Organización y Asignación de Responsabilidades

12. Equipo de hardware de usuario

13. Equipo de preparación de datos y registros
14. Equipo de soporte administrativo
15. Equipo de suministros
16. Equipo de salvamento
17. Equipo de reubicación
18. Equipo de coordinación
19. Equipo de asuntos legales
20. Equipo de prueba de recuperación
21. Equipo de entrenamiento

32
1.12 Otros aspectos a tener en cuenta en el desarrollo del Plan

Servicios de
Soporte
Operaciones
del Negocio

Soporte de
Procesamiento
de Información

Divisiones que participan en la

formulación del Plan 33
 1.12 Otros aspectos a tener en cuenta en el desarrollo del Plan

Cuando se formule el plan, se deben incluir

los siguientes puntos:

• Una lista de personal, con información

de contacto, requerido para mantener las
funciones críticas del negocio en el corto,
mediano y largo plazo.

• La configuración de las instalaciones

físicas, escritorios, sillas, teléfonos, etc.,
que se requieran para mantener las
funciones críticas del negocio en el corto,
mediano y largo plazo.
34
 1.12 Otros aspectos a tener en cuenta en el desarrollo del Plan

En resumen, para las fases de planeación, implementación y evaluación del plan

de continuidad del negocio, se debe acordar lo siguiente:

• Las políticas que regirán todos los esfuerzos de continuidad y recuperación.

• Las metas/requerimientos/productos para cada fase
• Instalaciones alternativas para realizar tareas y operaciones
• Recursos de información crítica a instalar (Datos y sistemas)
• Personas responsables de su ejecución
• Recursos disponibles para ayudar en la ejecución del plan (incluyendo
recursos humanos)
• El cronograma de actividades con las prioridades establecidas
• Personal clave para la toma de decisiones
• Respaldos de suministros requeridos

35
 1.13 Componentes de un BCP

Costo
BIA < No Desarrollar
Beneficio BCP

Desarrollar
estrategias Desarrollar Entrenamiento
BCP y
Concientización

Corto Largo
Prueba
plazo plazo implementación

Desarrollar
DRP Monitoreo

36
1.13 Componentes de un BCP

37
 Pregunta

En un plan de continuidad del negocio, ¿cuál de los

siguientes directorios de notificación es el MÁS
importante?

A. Vendedores de equipo y de suministros

B. Agentes de compañías de seguros

C. Servicios del personal de contratos

D. Una lista priorizada de contactos

38
 Pregunta

¿Cuál de los siguientes componentes de un plan de

continuidad del negocio es PRIMARIAMENTE la
responsabilidad del departamento de SI de una
organización?

A. Desarrollar el plan de continuidad del negocio

B. Seleccionar y aprobar la estrategia para el plan de continuidad

del negocio

C. Declarar un desastre

D. Restaurar los sistemas de SI y los datos después de un desastre

39
 GRACIAS

Preguntas/consultas?
Llamar o escribir a:
▸ Tel.: (503) 2250-3411
▸ Whatsapp: 7603-0904.
▸ e-mail: orellana.carlos@claro.com.sv

40