 Docente: MSc.

Arturo Díaz Pulido

 [e-mail: jdiazp@untels.edu.pe]
Continuidad del negocio
Una organización debe implementar procesos y procedimientos para garantizar que las funciones
esenciales puedan continuar durante y después de un desastre. La organización debe preparar al
Grupo para minimizar el impacto producido por eventos de carácter catastrófico, preservando la
prestación de los actividades críticas a clientes y el cumplimiento de las obligaciones con respecto a
accionistas, reguladores, sector y sociedad en general.
Facultad de Ingeniería y Arquitectura – Escuela Profesional de Ingeniería de Sistemas
Etapas del plan de continuidad del negocio
Entendiendo la organización
Continuidad del negocio y plan de contingencia

UPS
Sistema de
alimentación
ininterrumpida

Enlaces de contingencia
El programa de Gestión de CN

El programa está orientado a brindar protección y seguridad a la sociedad ante

escenarios e interrupciones ocasionados por incidentes, emergencias y desastres
con origen intencional, natural o tecnológico.
Programa de Gestión de Continuidad del Negocio

AMENAZAS PGCN ESCENARIOS

accidentales
PLAN DE MITIGACION DE RIESGOS
(mecanismos de protección de vidas y activos)

PLAN DE EMERGENCIAS
(primeras respuestas a emergencias y evaluación de daños)
Instalaciones
naturales PLAN DE GESTION DE CRISIS
(manejo de crisis y activación de planes)

PLAN DE CONTINUIDAD DEL NEGOCIO

(actividades críticas)
PREPARACION
OPERACIÓN EN Información
PARA
CONTINUIDAD
intencionales RECUPERAR

Personas

PLAN DE RECUPERACION TECNOLOGICA

(BRS)

acciones de recuperación
Proveedores
acciones reactivas
acciones proactivas (prevención)
 Escenario

Es una situación a la que se llegaría por diferentes amenazas, y a la cual se hace

frente mediante los planes de continuidad. En un escenario se puede afectar:
- Instalaciones
- Información
- Personas
- Proveedores
Componentes del PGCN
• Gobierno: Se considera las políticas, normas, regulaciones,
estructura de Continuidad de Negocio, comité de planes
específicos, unidades de control y apoyo, puestos críticos.
• Entendimiento: Se identifica las actividades críticas del
negocio a través del impacto que podría generar su
interrupción en el negocio y se registran en el BIA(Análisis
de Impacto al Negocio).
• Estrategias: Agrupa las actividades, procedimientos,
procesos, recursos humanos o tecnológicos, proveedores
identificadas por el negocio los cuales serán utilizados
durante un escenario de indisponibilidad, y permiten
mantener la atención de las actividades críticas, hasta
retornar al estado de normalidad.
Pruebas y Ejercicios
Son ejercicios periódicos que evalúan a los Planes de Continuidad en el cual se
identificarán las debilidades y aspectos a mejorar en ellos.
Cultura

Son las acciones para la creación de conciencia, sensibilización y profundización de

los conocimientos en Continuidad del Negocio.
Se desarrolla a través de:
- Cursos Formación Presencial
- Cursos E-Learning
- Otros tipos de campaña de concientización
Planes

Los Planes son documentos formales que contienen información importante para
que la organización pueda mantener sus procesos y actividades críticas ante una
situación o escenario que afecte sus operaciones.
Plan de Mitigación de Riesgos

Son los mecanismos de prevención (proactivos) para la protección de vidas y

activos, son los primeros en contener las amenazas que puedan interrumpir
nuestras operaciones.

Ejemplo: Sensores de humo, detector de aniegos, extintores, entre otros.

Tipo: Acción proactiva.
Plan de Emergencias

Son las primeras respuestas a emergencias iniciadas como consecuencia de las

amenazas no contenidas; así también, se evalúan los daños producidos en los
diferentes escenarios.

Ejemplo: Planes de Evacuación.

Tipo: Acción reactiva.
Plan de Recuperación ante Desastres DRP
Plan de Gestión de Crisis

Son las decisiones a seguir para el manejo de la crisis, ya sea en un posible desastre
o evento de desastre. Entre las decisiones está evaluar la activación (o no) de los
planes de respuesta específicos.

Ejemplo: Recuperación de Oficinas,

Restablecimiento de Comunicaciones.
Tipo: Acción de recuperación.
Plan de Continuidad del Negocio (PCN)

Es el documento formal que detalla cómo mantener las actividades y procesos

críticos del negocio hasta que la recuperación sea una realidad. Involucra acciones
que tienen como objetivo ser guía para la recuperación de los actividades.

Ejemplo: Planes de Continuidad para

Distribución Red.
Tipo: Acción para recuperar operación
de continuidad.
Plan de Recuperación Tecnológica

Son las acciones que tienen como objetivo, guiar la recuperación de los servicios
informáticos.

Ejemplo: Plan de BRS (servicios de

continuidad del negocio) – Centro de
Computo
Tipo: Acción para recuperar operación
de continuidad.
Análisis de riesgos

CONTROL PARA
RIESGO MITIGAR EL RIESGO

Falla en el suministro eléctrico Grupos electrógenos (3) y UPS (2) con

mantenimiento mensual y trimestral

Falla en servicios de telefonia e internet Respaldo de las líneas de comunicación entre

más operadores

Falla en suministro de AGUA / DESAGUE Tanques y cisternas con mantenimiento mensual

Incendio Central de alarma monitorea las alertas del

sistema contra incendio

Presurización de escaleras
Rociadores
Estrategias de continuidad
Plantear las opciones de respuestas viables y apropiadas para responder a eventos
que generen interrupción de las actividades identificados como criticas
considerando el Tiempo Objetivo de Recuperación (RTO).

INDISPONIBILIDAD DE INFORMACION INDISPONIBILIDAD DE

Restauración de aplicaciones críticas (12 horas) PERSONAL
Respaldo de datos Alterno de la misma Unidad
Procedimientos manuales alternativos Alterno de otra Área / Unidad que
Herramientas alternativas haya pasado por el puesto
Alterno externo
INDISPONIBILIDAD DE PROVEEDORES
Exigir Plan y Pruebas en los contratos
Participar en los planes y pruebas con el proveedor
Procedimientos alternativo interno
Proveedor sustituto con acuerdo previo
Usar más de un proveedor a la vez
RPO y RTO
RPO y RTO
Modelo de Gestión
1. GOBIERNO:
Establece y mantiene actualizado los objetivos y políticas, el alcance, el planeamiento estratégico, la estructura organizacional, el plan
operativo y la metodología del programa

2. ENTENDIMIENTO 3. ESTRATEGIAS 4. PLANES 5. MONITOREO

2.1 Identifica las actividades
críticas y sus recursos Define y selecciona las Desarrolla e implementa los Planes
asociados (personal, equipo, estrategias de de respuesta específico, que
mobiliario, instalaciones, respuesta a los eventos definen las acciones a seguir
aplicaciones) que podría causar una durante y después de un
interrupción de las interrupción de las actividades
2.2 Identifica los riesgos que actividades críticas y críticas
podrían causar una que determinan el
interrupción de las enfoque y contenido del
actividades críticas a fin de Plan de respuesta
mitigarlos mediante la
implementación de controles

6. CULTURA

PLAN PLAN PLAN DE PLANES DE PLAN DE

MITIGACION DE EMERGENCIA / GESTION DE CONTINUIDAD RECUPERACION
RIESGOS SEGURIDAD CRISIS DEL NEGOCIO TECNOLOGICA
Modelo de Gestión
1. GOBIERNO PLAN
POLITICA ESTRUCTURA METODOLOGIA
ESTRATEGICO

ALCANCE

2. ENTENDIMIENTO 3. ESTRATEGIAS 4. PLANES 5. MONITOREO

PRUEBAS Y
ANALISIS DE GESTION DE CRISIS EJERCICIOS
IMPACTO
(BIA) ESTRATEGIAS RECUPERACION CONTINUIDAD INDICADORES
POR EMERGENCIA DE TI DEL NEGOCIO
ESCENARIO (BRS) (PCN) REVISION Y
ANALISIS DE SEGUIMIENTO
RIESGOS
(AR) COMUNICACIÓN EN CRISIS FACTORES DE
CAMBIO

INTERIORIZACION DEL PROGRAMA EN LA CULTURA DE LA ORGANIZACION

6. CULTURA

PLAN PLAN PLAN DE PLANES DE PLAN DE

MITIGACION DE EMERGENCIA / GESTION DE CONTINUIDAD RECUPERACION
RIESGOS SEGURIDAD CRISIS DEL NEGOCIO TECNOLOGICA
Modelo del PGCN
Índice
1. Objetivo
2. Alcance
3. Bases para el Marco de Trabajo
3.1 Base Estratégica
3.2 Base Regulatoria
3.3 Base Metodológica
4. Marco de Trabajo para PGCN
4.1 Gestión del Programa de CN
4.2 Entender la Organización
4.3 Establecer la Estrategia de CN
4.4 Desarrollar e Implementar la Respuesta de CN
4.5 Probar, Mantener y Revisar
4.6 Integrar el PGCN en la Cultura de la Organización
5. Anexos
5.1 Glosario de Términos
 Una planificación adecuada es el primer paso necesario para realizar
auditorias de sistemas eficaces. El auditor de sistemas debe comprender
el ambiente del negocio en el que se ha de realizar la auditoria si como
los riesgos del negocio y control asociado.
 Al planificar un auditoria, el auditor de sistemas debe tener una comprensión
suficiente del ambiente total que se revisa. Debe incluir un ambiente general
de las diversas practicas comerciales y funciones relacionadas con el tema de
la auditoria, así como los tipos de sistemas que se utilizan. El auditor de
sistemas también debe comprender el ambiente normativo en el que opera el
negocio.
Los pasos que puede llevar a cabo un auditor de sistemas para obtener una
comprensión del negocio son:

 Recorrer las instalaciones del ente.

 Lectura de material sobre antecedentes que incluyan publicaciones sobre esa
industria, memorias e informes financieros.
 Entrevistas a gerentes claves para comprender los temas comerciales
esenciales.
 Estudio de los informes sobre normas o reglamentos.
 Revisión de planes estratégicos a largo plazo.
 Revisión de informes de auditorias anteriores
Se puede definir los riesgos de auditoria como aquellos riesgos de que la informacion
pueda tener errores materiales o que el auditor de sistemas no pueda detectar un
error que ha ocurrido.

Los riesgos en auditoria pueden clasificarse de la siguiente manera:

 Riesgo inherente: cuando un error material no se puede evitar que suceda porque
no existen controles compensatorios relacionados que se puedan establecer.

 Riesgo de control: cuando un error material no puede ser evitado o detectado en

forma oportuna por el sistema de control interno.

 Riesgo de detección: es el riesgo de que el auditor realice pruebas exitosas a

partir de un procedimiento inadecuado.
En una auditoria de sistemas de información, la definición de riesgos materiales
depende del tamaño o importancia del ente auditado así como de otros factores.
 El auditor de sistemas debe tener una cabal comprensión de estos riesgos de
auditoria al planificar.
 Una auditoria tal vez no detecta cada uno de los potenciales errores en un
universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se
utiliza procedimientos estadísticos adecuados se llega a minimizar la
probabilidad del riesgo de detección.
 La materialidad en la auditoria de sistemas debe ser considerada en términos
del impacto potencial total para el ente en lugar de alguna medida basado en
lo monetario.
Al determinar que áreas funcionales o temas de auditoria que deben auditarse, el
auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a
la auditoria, el auditor de sistemas debe evaluar esos riesgos y determinar cuales de
esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se
utiliza la evaluación de riesgos, estos son:

 Permitir que la gerencia asigne recursos necesarios para la auditoria.

 Garantizar que se ha obtenido la información pertinente de todos los niveles
gerenciales, y garantiza que las actividades de la función de auditoria se dirigen
correctamente a las áreas de alto riesgo y constituyen un valor agregado para la
gerencia.
 Constituir la base para la organización de la auditoria a fin de administrar
eficazmente el departamento.
 Proveer un resumen que describa como el tema individual de auditoria se
relaciona con la organización global de la empresa así como los planes de negocio.
El objetivo de un control es anular un riesgo siguiendo
alguna metodología, el objetivo de auditoria es verificar la
existencia de estos controles y que estén funcionando de
manera eficaz, respetando las políticas de la empresa y los
objetivos de la empresa.
Algunos ejemplos de procedimientos de auditoria son:

 Revisión de la documentación de sistemas e identificación de los controles

existentes.
 Entrevistas con los especialistas técnicos a fin de conocer las técnicas y
controles aplicados.
 Utilización de software de manejo de base de datos para examinar el
contenido de los archivos de datos.
 Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.
Un programa de auditoria es un conjunto documentado de procedimientos diseñados
para alcanzar los objetivos de auditoria planificados. El esquema típico de un
programa de auditoria incluye lo siguiente:

 Tema de auditoria: Donde se identifica el área a ser auditada

 Objetivos de Auditoria: Donde se indica el propósito del trabajo de auditoria a
realizar.
 Alcances de Auditoria: Aquí se identifica los sistemas específicos o unidades de
organización que se han de incluir en la revisión en un periodo de tiempo
determinado.
 Planificación previa: Donde se identifica los recursos y destrezas que se necesitan
para realizar el trabajo así como las fuentes de información para pruebas o
revisión y lugares físicos o instalaciones donde se va auditar.
Procedimientos de Auditoria para:
 Recopilación de datos.
 Identificación de lista de personas a entrevistar.
 Identificación y selección del enfoque del trabajo.
 Identificación y obtención de políticas, normas y directivas.
 Desarrollo de herramientas y metodología para probar y verificar los controles
existentes.
 Procedimientos para evaluar los resultados de las pruebas y revisiones.
 Procedimientos de comunicación con la gerencia.
 Procedimientos de seguimiento.
La asignación de recursos para el trabajo de auditoria debe considerar las
técnicas de:
 Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para
cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el
personal disponible.
 Contrastar la actividad actual con la actividad planificada en el proyecto:
debe existir algún mecanismo que permita comparar el progreso real con lo
planificado.
 Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y
tomar las acciones correctivas: si al comparar el avance con lo proyectado se
determina avances o retrasos, se debe reasignar tareas. El control se puede
llevar en un diagrama de Gantt.
 La recopilación de material de evidencia es un paso clave
en el proceso de la auditoria, el auditor de sistemas debe
tener conocimiento de como puede recopilar la evidencia
examinada.
Algunas formas son las siguientes:

 Revisión de las estructuras organizacionales de sistemas de información.

 Revisión de documentos que inician el desarrollo del sistema, especificaciones
de diseño funcional, historia de cambios a programas, manuales de usuario,
especificaciones de bases de datos, listados de programas, etc.; estos no
necesariamente se encontraran en documentos, si no en medios magnéticos
para lo cual el auditor deberá conocer las formas de recopilarlos mediante el
uso del computador.
Algunas formas son las siguientes:
 Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de
descubrimiento no de acusatoria.
 Observación de operaciones y actuación de empleados, esta es una técnica
importante para varios tipos de revisiones, para esto se debe documentar con el
suficiente grado de detalle como para presentarlo como evidencia de auditoria.
 Auto documentación, es decir el auditor puede preparar narrativas en base a su
observación, flujogramas, cuestionarios de entrevistas realizados. Aplicación de
técnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de
cumplimiento o sustantivas) por muestras.
 Utilización de técnicas de auditoria asistida por computador CAAT, consiste en el
uso de software genérico, especializado o utilitario.
 Evaluación de fortalezas y debilidades.
Luego de desarrollar el programa de auditoria y recopilar evidencia de auditoria, el siguiente paso es
evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se
utiliza una matriz de control con la que se evaluara el nivel de los controles identificados, esta matriz
tiene sobre el eje vertical los tipos de errores que pueden presentarse en el área y un eje horizontal los
controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser 1 a 10
o 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez completada, la matriz
muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el
suficiente criterio para juzgar cuando no lo hay si es necesario el control.
Ejemplo:
Los informes de auditoria son el producto final del trabajo del auditor de
sistemas, este informe es utilizado para indicar las observaciones y
recomendaciones a la gerencia, aquí también se expone a opinión sobre lo
adecuado o lo inadecuado de los controles o procedimientos revisados durante la
auditoria, no existe un formato especifico para exponer informe de auditoria de
sistemas de información pero generalmente tiene la siguiente estructura o
contenido:
 Introducción al informe, donde se expresara los objetivos de la auditoria, el
periodo o alcance cubierto por la misma, y una expresión general sobre la
naturaleza o extensión de los procedimientos de auditoria realizados.
 Observaciones detalladas y recomendaciones de auditoria.
 Respuestas de la gerencia a las observaciones con respecto a las acciones
correctivas.
 Conclusión global del auditor expresando una opinión sobre los controles y
procedimientos revisados.
El trabajo de auditoria es un proceso continuo, se debe
entender que no serviría de nada el trabajo de auditoria si
no se comprueba que las acciones correctivas tomadas por la
gerencia, se están realizando, para esto se debe tener un
programa de seguimiento, la oportunidad de seguimiento
dependerá del carácter critico de las observaciones de
auditoria.
➢ Controlar ➢ Planificar
▪ El avance ▪ Recursos
▪ La asignación de recursos ▪ Tiempos
▪ Los desvíos ▪ Tareas
▪ El flujo de fondos

 Anticiparse a los hechos

 Evitar poner en peligro el éxito del proyecto.