Modulo 8 CP1M8T1

Estrategias de continuidad

Raúl Ricardo Canales Mejía

EADIC
Introducción
Una entidad bancaria desea plantear escenarios de contingencias que puedan causar daños
graves a la oficina de la entidad bancaria y de esta forma establecer con base en su BIA y análisis
de riesgos las estrategias adecuadas para poder continuar ejecutando los procesos de negocio
sin interrupción o en caso de que exista una suspensión de las actividades y/o procesos, se pueda
dar una respuesta adecuada al mismo.

Objetivos
• Establecer escenarios que permitan la recuperación de una interrupción de procesos
y/o actividades.
• Establecer de forma óptima cada escenario para obtener una elección más objetiva y
fiel a la realidad del mismo.

Resumen de la Metodología
Premisas
• Se cuenta con un BIA.
• Se tiene el análisis de riesgos de los procesos críticos definidos dentro del BIA.
• Existe una estructura de revisión y aprobación de los resultados de cada análisis.
• La alta Gerencia ha definido un RTO y RPO de procesos institucionales.
• Existe un sistema de contingencia.
• Están definidos procedimientos de recuperación.
• Existe un sitio alterno para los sistemas de información.
• Se cuenta con espacio físico en las sucursales para que en caso de incidentes puedan
trasladarse empleados a estas.

El objetivo de la evaluación, análisis e implementación de las estrategias es llevar a la entidad a

un nivel que le permita administrar los riesgos más importantes, disminuyendo su posibilidad
de ocurrencia o magnitud de impacto, así como implementar estrategias para la recuperación
al momento de manifestarse algún evento de interrupción o desastre y que le permita lograr
una recuperación de los procesos dentro de los tiempos máximos establecidos por las gerencias
de negocio de la Compañía.

• Utilizando como herramienta la información obtenida en el entendimiento previo del

BIA.
• Se evaluaron las alternativas con la contraparte del proyecto y para las que fueron
consideradas como viables se hizo un análisis de ventajas, desventajas y costos.

Para definir las estrategias de continuidad viables para los procesos críticos de La Compañía, se
debe generar un entendimiento sobre los siguientes requerimientos:

• Resultados del Análisis de Impacto al Negocio (BIA):

• Tiempos Objetivo de Recuperación (RTO)
• Punto objetivo de Recuperación (RPO)

Resultados del análisis de riesgos y las alternativas de tratamiento de riesgo a implementar

sobre los activos asociados a los procesos.
Identificación de posibles estrategias
Se definirán las estrategias de recuperación a considerar el resultado de los análisis de los
requerimientos identificados para los diferentes procesos críticos del negocio basados en el BIA.

Análisis de las estrategias

El dueño de cada proceso crítico del negocio proporcionara las estrategias de continuidad y estas
deberán considerar los aspectos siguientes:

• Descripción de la estrategia a implementar.

• Ventajas y desventajas de su implementación.
• Costo de implementación.
• RTO o RPO de la estrategia propuesta.
• RPO de TI
• RPO y RTO actual de cada proceso crítico

Valoración de estrategias
Para cada una de las estrategias se deberán determinar los siguientes puntos, con el fin de
facilitar la elección de la estrategia.

ID Criterios de calificación de estrategias

1 ¿Cumple con el RTO propuesto por el Este criterio evalúa si el RTO estimado
usuario? para la estrategia satisface (es menor o
igual) el RTO definido por el usuario para
su proceso.

2 ¿Cubre los recursos mínimos Este criterio evalúa si la estrategia de

requeridos? continuidad cuenta con los recursos
mínimos definidos por el usuario, para
contar con una operación mínima
aceptable ante un escenario de
desastre.

3 ¿Podría soportar otros procesos? Este criterio evalúa si los recursos

definidos para la estrategia de
continuidad podrían ser utilizados total
o parcialmente, por más de un proceso
en operación alterna. Algunos ejemplos
pueden ser:

- Recursos que se pueden compartir

simultáneamente como:
Fotocopiadoras de alta capacidad,
impresoras, cajas de seguridad, áreas de
trabajo.

- Recursos como equipos de cómputo

con configuraciones análogas, que
puedan apoyar a varios procesos, pero
 en diferentes horarios o turnos (no
simultáneamente).

Nota: Se debe incluir en la columna de

observaciones, ejemplos de que
procesos y que recursos pueden ser
compartidos.

4 Tiempo de implementación Se considera el tiempo de

implementación como parte de la
evaluación de las estrategias:

Alto – más de un año.

Medio – entre 6 meses y 1 año.

Bajo – menos de 6 meses.

Criterios Cuantitativos

5 Costo Este criterio permite identificar el costo

de los recursos necesarios para
implementar, mantener y operar la
estrategia de continuidad del proceso.

6 Pérdida Valor estimado en el BIA

Selección de estrategias
La alta gerencia deberá evaluar el costo beneficio de implementar las estrategias de continuidad
propuestas o asumir el riesgo de no implementarlas y la toma de decisiones deberá ser basada
en la información proporcionada por los expertos de cada proceso critico que analizaron cada
recurso.

Resumen Resultados BIA

Según el análisis de impacto de negocio BIA, se encuentra que los procesos más críticos del
negocio. El RTO y el RPO del BIA es el apetito de riesgo definido por la alta gerencia y la junta
directiva.

Proceso Sub Proceso Descripción Impacto RTO RPO

Fondos de ahorro Recepción de datos del
cliente
Digitalización de los datos
del cliente
El área encargada de atención al Alto 4 hrs 4 hrs
cliente recibe los datos personales
del cliente y su documentación
registrando la firma para su
digitalización.
Se toman los documentos Medio 4 hrs 8 hrs
personales del cliente, se
escanean y se procede a crear un
expediente en el sistema de
gestión documental
 Registro de información del Se procede a registrar al cliente Alto 4 hrs 4 hrs
cliente en el sistema de información de la
Compañía
Emisión de libreta de Se imprime la información del Alto 1 hr 2 hrs
ahorro cliente en la libreta de ahorro,
posteriormente se valida en el
sistema por parte del jefe del
área. Posterior a la validación se
solicita firma de recibido al
cliente, se registra la firma en la
libreta y se hace entrega de la
misma.
Emisión de Tarjeta de Se procede a imprimir en una Bajo 3 3
Debito tarjeta de débito la información días días
del cliente, se valida y se activa
para su entrega.

Escenarios de contingencia
Escenarios de contingencia que afectaran a los procesos mencionados:

Área de trabajo Disponibles Área de trabajo no disponible

Sistemas de Sistemas de Sistemas de Sistemas de
información información no información información no
disponibles disponibles disponibles disponibles
Personal Escenario 1: Situación Escenario 2: Escenario 3: Escenario 5:
Disponible ideal. La Organización Indisponibilidad de Indisponibilidad de Indisponibilidad de las
funciona con los Sistemas de las Áreas de Trabajo. áreas de trabajo y en los
normalidad Información. Recuperar áreas de Sistemas de Información.
Recuperar los trabajo de la Recuperar áreas de
Sistemas de Organización. trabajo de la Organización.
Información de la
Organización.
Personal no Escenario 4: Escenario 6: Escenario 7: Escenario 8: Peor
disponible Indisponibilidad del Indisponibilidad del Indisponibilidad del Escenario. Recuperar el
Personal. Recuperar el Personal y de los Personal y de las personal, Áreas de Trabajo
personal de la Sistemas de Áreas de Trabajo. y Sistemas de Información
Organización. Información. Recuperar el de la Organización.
Recuperar el personal y las Áreas
personal y los de Trabajo de la
Sistemas de Organización.
Información de la
Organización.
Procesos y sub procesos afectados por los escenarios:

Proceso Sub Proceso Ejemplo de Escenario Tipo de escenario

Incidentes ambientales Escenario 3
(Huracanes, Terremotos)
Recepción de datos del Incendio Escenario 3
cliente Actos terroristas
Huelgas o manifestaciones Escenario 7
populares
Daño de equipo de escaneo Escenario 2
Digitalización de los datos
Ransomware Escenario 2
del cliente
Daño de red core Escenario 2
Daño de sistema core Escenario 2
Ransomware Escenario 2
Registro de información
Daño de red core Escenario 2
del cliente
Enfermedad de Escenario 6
Fondos
colaboradores
de
Caída del sistema de Escenario 2
ahorro
información
Daño de equipo de Escenario 2
Emisión de libreta de
impresión
ahorro
Cadena de suministro de Escenario 2
insumos
Perdida del centro de datos Escenario 2
Caída del sistema de Escenario 2
información
Daño de equipo de Escenario 2
Emisión de Tarjeta de
impresión
Debito
Cadena de suministro de Escenario 2
insumos
Perdida del centro de datos Escenario 2

Estrategias de continuidad
Premisas
• Los costos identificados para cada estrategia corresponden a cálculos estimados según
valor de mercado (mayo 2021), dicha información es recolectada de los proveedores,
departamento de servicios generales y el departamento de tecnología de información.
• Al implementar cualquier estrategia se deberá previamente hacer un análisis de costos
y de cualquier otra información que permita concretar la estrategia.
• La Compañía es responsable de proveer todos los recursos necesarios para implementar
la(s) estrategia(s) de continuidad seleccionada(s).
• La planeación para la identificación de una solución de recuperación de negocios será
efectuada con base de un escenario considerado desastre de escala mayor (El peor de
los casos).
 Identificación de las posibles estrategias

A continuación, se definen 2 estrategias de continuidad de negocio que proporcionaran las

mejores condiciones para mantener la Compañía en sus funciones críticas con el mínimo de
interrupciones en caso de una crisis.

Estrategia número 1, implementación de esquema Hot-Site.

Estrategia Hot-Site RTO 30 minutos RPO 1 hora

Descripción Escenarios Cubiertos Ventajas de la Estrategia Inconvenientes de la
Estrategia
Se mantendrá un • Escenario 2 • Tiempos de • Alto precio de la
centro de datos • Escenario 5 recuperación mínimos. solución.
alterno, el cual • Escenario 6 • Menor perdida de • Aumento de tiempos de
contendrá servidores • Escenario 8 información. configuración y cambios
réplica del sistema de • Facilidad de ejecución de esta.
base de datos y el de pruebas controladas. • Mayor tiempo de
sistema core de la • Operación completa mantenimiento.
Compañía. desde sitio alterno. • Mayor cualificación
Se realizará una copia • Tiempo de vuelta a la técnica del personal.
de la información en operación normal • Dependiente de la
espejo. reducido. rotación de empleados.
• Tiempo de
implementación.

Requisitos Costes (anuales)

Personal Calificado Administrador de sistemas $ 28,000.00
Personal Calificado Administrador de red $ 23,000.00
Personal Calificado Administrador de base de datos $ 32,000.00
Sitio alterno Instalaciones físicas donde se ubicará el centro de $ 96,000.00
datos
Equipo Servidor de virtualización $ 213,000.00 (un solo pago)
Equipo de red Firewall $ 45,000.00
Equipo de red Switch x3 $ 30,000.00
Equipo de red Cables, conectores de red, demás insumos. $ 2,000.00
Sistemas Operativos Sistema operativo de servidores x50 $ 78,000.00
Tiempo de El tiempo de implementación de la solución es de 2.5
implementación meses
 Estrategia número 2, implementación de esquema replicación (mirroring) de la base de
datos principal.

Estrategia Data base mirroring RTO 10 minutos RPO 15 minutos

Descripción Escenarios Cubiertos Ventajas de la Estrategia Inconvenientes de la
Estrategia
En el centro de datos • Escenario 2 • Tiempos de • Alto precio de la
principal se colocará • Escenario 5 recuperación mínimos. solución.
un servidor virtual, el • Escenario 6 • Menor perdida de • Aumento de tiempos de
cual realizará una • Escenario 8 información. configuración y cambios
replicación de los • Facilidad de ejecución de esta.
datos y registro de de pruebas controladas. • Mayor tiempo de
transacciones de la • Operación completa mantenimiento.
base de datos desde un servidor • Mayor cualificación
principal. alterno de base de técnica del personal.
datos. • Dependiente de la
• Tiempo de vuelta a la rotación de empleados.
operación normal
reducido.
Requisitos Costes (anuales)
Personal Calificado Administrador de sistemas $ 28,000.00
Personal Calificado Administrador de base de datos $ 32,000.00
Servidor virtual Costo de creación y mantenimiento del servidor $ 1,420.00
virtual
Equipo Servidor de virtualización $ 213,000.00 (un solo pago)
Sistemas Operativos Sistema operativo de servidores x1 $ 1,560.00
Gestor de base de Sistema administrador de base de datos $ 19,500.00
datos
Tiempo de Se tardará 2 semanas en implementará y configurar
implementación los equipos