Análisis de continuidad del negocio municipal

UNIVERSIDAD NACIONAL DE CAJAMARCA
Facultad de Ingeniería
Escuela Académico Profesional Ingeniería de
Sistemas
DOCENTE:
CUEVA ARAUJO, PAUL OMAR
ALUMNOS:
 Acuña Alarcón, Elmer Armando
 Chávez Ludeña, Neiser
 Lezama Saldarriaga, Diego Orlando
CURSO:
GESTIÓN DE RIESGOS Y SEGURIDAD DE LA INFORMACIÓN
INFORME:
ANÁLISIS DE LA CONTINUIDAD DEL NEGOCIO PARA LA
MUNICIPALIDAD DISTRITAL DE CHALAMARCA
CICLO ACADEMICO:
2021 – II
Escuela Académico Profesional de Ingeniería de Sistemas
Cajamarca, mayo del 2022
Gestión de Riesgos y Seguridad de la información

2
ÍNDICE
INTRODUCCIÓN..............................................................................................................................................................................................................1
CAPÍTULO I.......................................................................................................................................................................................................................2
1. FORMULACIÓN Y DELIMITACIÓN DEL PROBLEMA...............................................................................................................2
1.1. Descripció n de la realidad problemá tica...............................................................................................................................2
1.2. Planteamiento del problema.......................................................................................................................................................3
1.3. Delimitació n de la investigació n................................................................................................................................................4
2. JUSTIFICACIÓN.............................................................................................................................................................................................4
3. OBJETIVOS......................................................................................................................................................................................................4
3.1. Objetivo general................................................................................................................................................................................4
3.2. Objetivos específicos.......................................................................................................................................................................4
CAPÍTULO II......................................................................................................................................................................................................................5
1. GLOSARIO DE TÉ RMINOS.........................................................................................................................................................................5
2. BASE LEGAL.....................................................................................................................................................................................................8
3. ESTADO SITUACIONAL..............................................................................................................................................................................9
4. PROBLEMAS Y FACTORES CAUSALES.............................................................................................................................................10
CAPITULO III.................................................................................................................................................................................................................10
DISEÑO DE INVESTIGACIÓN..........................................................................................................................................................................10
1. FASES DEL PLAN DE CONTINUIDAD DEL NEGOCIO............................................................................................................10
1.1. Fase de aná lisis de impacto del negocio.............................................................................................................................11
1.1.1. Métodos para la obtenció n de informació n.......................................................................................................................12
1.1.2. Requerimientos de tiempo de recuperació n....................................................................................................................13
1.1.3. Metodología del aná lisis de impacto del negocio...........................................................................................................14
1.1.3.1. Identificación de funciones y procesos...................................................................................................................................14
1.1.3.2. Evaluación de impactos operacionales.................................................................................................................................14
1.1.3.3. Identificación de procesos críticos...........................................................................................................................................15
1.1.3.4. Establecimiento de tiempos de recuperación.....................................................................................................................16
1.1.3.5. Identificación de recursos...........................................................................................................................................................16
1.1.3.6. Disposición de los RTO/RPO (Recovery Time Objetive/ Recovery Point Objetive).............................................18
1.1.3.7. Identificación de procesos alternos.........................................................................................................................................19
2. FASE DE GESTIÓN DE RIESGO..........................................................................................................................................................19
2.1. Riesgos Tecnoló gicos...................................................................................................................................................................19
2.2. Riesgos Humanos...........................................................................................................................................................................20
2.3. Desastres Naturales......................................................................................................................................................................20
CONCLUSIONES............................................................................................................................................................................................................20
BIBLIOGRAFÍA.............................................................................................................................................................................................................21
INTRODUCCIÓN
La Gestió n del plan aná lisis de la continuidad del negocio y como parte dentro de la
continuidad tenemos el impacto del negocio en las entidades del estado debe
responder a una variedad de políticas de restablecimiento de actividades y servicios
que apoyen el normal funcionamiento de las infraestructuras de TI y minimicen al
má ximo las interrupciones o fallas presentadas dentro de la organizació n.
Las entidades deben permanentemente monitorear y reconocer las amenazas má s

importantes de incidentes que afecten la normal operatividad de los servicios y los
sistemas, de tal manera que se debe garantizar la continuidad del negocio a través de
mecanismos de recuperació n previamente probados y ajustados y que respondan en
el menor tiempo posible a las soluciones de los problemas de interrupció n generados.
El fin de la implementació n del plan de continuidad de TI, es la protecció n y

recuperació n de los servicios críticos que se vean afectados por desastres naturales o
interrupciones del servicio ocasionadas ya sea por los sistemas de informació n y
comunicació n o ya sean por el hombre en virtud de acciones involuntarias o para
beneficio propio.
Así mismo, el aná lisis de impacto de negocios debe convertirse en una herramienta
para minimizar los riesgos de indisponibilidad de los servicios e infraestructuras de
TI, que afectan las operaciones regulares de las organizaciones, por consiguiente, debe
formar parte de un sistema de gestió n de riesgos, que sea utilizado como mecanismo
de control para ejecutar tareas de monitoreo de crisis, planes de contingencia,
capacidad de marcha atrá s y prevenció n y atenció n de emergencias.
Las entidades deben contar con un plan de continuidad de Tecnología de Informació n,

que le permita a la organizació n continuar con sus operaciones, en caso de
presentarse fallas o inconvenientes en sus sistemas que le impidan el normal
funcionamiento de los servicios de TI, de esta manera, la correcta implementació n del
plan deberá permitir restaurar en el menor tiempo posible las operaciones de la
entidad.
El aná lisis de impacto del negocio – BIA por sus siglas en inglés (Bussiness Impact
Analysis), está determinado por la construcció n de un plan de continuidad del negocio
para cada organizació n, que le permita a cada entidad continuar funcionando a pesar
de un desastre ocurrido; el documento generado en este aná lisis deberá cumplir con
lo expuesto en los requerimientos de la ISO/IEC 27001, de este modo el documento
BIA debe ser validado e implementado bajo las directrices de cada organizació n, se

1
requieren planear las acciones necesarias durante el periodo en que la infraestructura

de TI se encuentra inactiva en proceso de recuperació n y reanudació n de los servicios
para priorizar cuá les actividades deben entrar en operació n inmediatamente dentro
de la entidad.
Finalmente, es necesario tener en cuenta que los responsables del negocio deben
conocer la importancia de tener una inversió n de TI, planeada que permita innovar
tecnoló gicamente y que responda adecuadamente a los problemas generados por la
interrupció n de los servicios y permita que las empresas puedan aplicar exitosamente
los criterios de recuperació n y reanudació n de las operaciones del negocio.
CAPÍTULO I
1. FORMULACIÓN Y DELIMITACIÓN DEL PROBLEMA
1.1. Descripción de la realidad problemática
La continuidad del negocio se ha convertido muy esencial para una empresa entidad u
organización ya que la continuidad del negocio es la capacidad estratégica y táctica de
la organización, empresa o entidad de planificar y así tener la posibilidad exitosa, de
responder ante incidentes e interrupciones de negocio para continuar las operaciones del
mismo, ya que se puede presentar cualquier problema dentro de cada proceso que
realiza dicha organización es por ello que cada empresa debe realizar el análisis de
continuidad del negocio para que así pueda prevenir posibles riesgos en sus procesos y
estar en un nivel aceptable predefinido. Hoy en día, este tema es la mayoría de las veces
controversial, ya que no es sencillo encontrar información al respecto, pues es un
concepto relativamente joven que surge como necesidad a que algunas empresas
organizaciones o entidades llegan hasta el punto extremo de llegar a desaparecer por no
prevenir los riesgos que se podrían suscitar en una organización empresa o entidad de
cualquier índole. Con el propósito de dar a conocer y llevar el análisis de continuidad
del negocio de la Municipalidad de Chalamarca provincia de Chota; es que hemos
tenido conveniente de investigar y desarrollar de manera sucinta este trabajo.
1.2. Planteamiento del problema

1.2.1. Problema principal
¿Có mo es posible llevar a cabo el aná lisis de la continuidad del negocio y cuá l es
el nivel de preparació n de la Municipalidad Distrital de Chalamarca con
respecto a los riesgos que puedan ocurrir dentro de la realizació n de sus
procesos?
La manera de llevar a cabo el aná lisis de la continuidad del negocio dentro de

cualquier organizació n o empresa es sabiendo primero los pasos que se deben
seguir ya que si no se pone en prá ctica lo que se de nada sirve y ademá s cada

2
decisió n estratégica que se tome debe ser que beneficie de manera conjunta a
toda la organizació n o empresa. Podemos decir que una empresa u
organizació n para que cada día mejore debe tener gran precaució n en la
realizació n de sus procesos; pero esto es posible lograrlo gracias a ciertas
herramientas y a la vez metodologías y una de ellas es BIA, que basá ndonos en
cada fase y en cada proceso ayuda a que la empresa surja cada día y así logre
establecer una continuidad de mejora diaria a largo plazo.
1.2.2. Problema secundario

¿Cuá les son las actividades críticas de la Municipalidad Distrital de Chalamarca
qué deben restablecerse para que dicha Municipalidad siga en una mejora
continua?
En nuestros días sabemos que son pocas las empresas, organizaciones o

entidades que se preocupan por el desarrollo efectivo de cada proceso; lo que
mas se ve es que se centra en que obtengan mayores ganancias; sin embargo,
se puede afirmar que las empresas, organizaciones y entidades que se centrar
mas en la eficiencia y eficacia de sus procesos y sobre todo en el lema que dice
que el cliente es lo mas importante, son las que mas surgen y llegan al éxito a
gran escala a nivel mundial. La Municipalidad Distrital de Chalamarca su
principal propó sito es surgir cada día y llegar a un punto de auge en la cual sea
reconocida a nivel provincial, es por ello que conjuntamente todo el personal
administrativo se enfoca en realizar cada día mejor sus labores y procesos
específicos asignados.
¿Qué recursos tiene la Municipalidad Distrital de Chalamarca para restablecer

sus actividades y con agilice sus procesos de atenció n a las comunidades?
En toda empresa, organizació n o entidad para que la misma llegue a tener éxito
se debe tener por una parte el apoyo de la alta direcció n y por otro lado se debe
tener también los recursos necesarios para que puedan realizar cada proceso,
gestió n o proyecto que se quiera hacer; teniendo estos dos puntos bien
definidos se puede llegar a tener éxito en una empresa u organizació n. En la
Municipalidad Distrital de Chalamarca también lo que se quiere como objetivo
principal es logra la atenció n efectiva y eficiente a cada persona que acuda a
dicha municipalidad es por ello por lo que el propó sito de dicha municipalidad
es que cada persona que labora dentro de la misma esté bien capacitada y
sobre todo se identifique con lo que hace.
1.3. Delimitación de la investigación
En la investigació n que se realiza se tomará en cuenta la situació n actual de la

Municipalidad Distrital de Chalamarca en donde nos basaremos de informació n

3
bien clara y precisa brindada por dicha Municipalidad y con ello lograr el objetivo
que cualquier persona pueda entender y poner en prá ctica dicho escrito para
poder llegar al punto de evitar riesgos dentro de una organizació n, empresa o
entidad.
2. JUSTIFICACIÓN
En los ú ltimos añ os, hemos vistos que, en diferentes lugares tanto del Perú como a
nivel mundial, el problema de no realizar tanto el aná lisis de continuidad del negocio y
así determinar que posibles riesgos se puede tener ha futuro y con ello se ha elevado
el nú mero de empresas que van a la bancarrota e incluso llegan a tener grandes
pérdidas llegando al extremo de desaparecer. Por lo tanto, es necesario realizar una
concientizació n má s detallada acerca del aná lisis que debe tener una empresa con
respecto a la continuidad de su negocio y así llegar a prevenir y reconocer el problema
raíz que puede generar el riesgo en la empresa u organizació n. Por ello es necesario
que cada empresa, organizació n o entidad llegue a saber y al mismo tiempo poner en
prá ctica dichos aná lisis para que la empresa entre en una mejora continua y fortalezca
cada proceso.
3. OBJETIVOS
3.1. Objetivo general
Disponer de un documento guía por medio del cual las Entidades del estado
puedan consultar los lineamientos de seguridad ante situaciones de emergencia a
fin de mitigar el impacto producido por la interrupció n de los servicios de alta
criticidad que afectan sensiblemente las operaciones del negocio, y así lograr la
continuidad del negocio.
3.2. Objetivos específicos

 Identificar las actividades críticas que requieran ser ejecutadas de manera más
efectiva gracias al análisis respectivo.
 Determinar los recursos humanos, materiales, equipos, así como los sistemas de
información necesarios para ejecutar las actividades críticas.
 Establecer los mecanismos de activación de la continuidad operativa municipal ante
eventos adversos que afecten la disponibilidad de la Municipalidad Distrital de
Chalamarca.
 Mantener la continuidad operativa municipal a través de la ejecución de
procedimientos básicos de contingencia de las actividades críticas.
 Definir las acciones de recuperación de sistemas administrativos y tecnológicos ante
cualquier posible riesgo.
 Lograr un nivel de desarrollo y mejora de la cultura de continuidad y mejora
continua como parte de la visión a largo plazo.

4
CAPÍTULO II
1. GLOSARIO DE TÉRMINOS
a) Activo
En relació n con la seguridad de la informació n se refiere a cualquier
informació n o elemento relacionado con el tratamiento de esta (sistemas,
soportes, edificios, personas) que tenga valor para la organizació n. (ISO/IEC
27000).
b) Actividades Críticas
Está n constituidas por las actividades que la entidad haya identificado como
indispensables y que no pueden dejar de realizarse, conforme a sus
competencias y atribuciones señ aladas en las normas sobre la materia.
c) Gestión de la Continuidad Operativa del Estado

Está n constituidas por las actividades que la entidad haya identificado como
indispensables y que no pueden dejar de realizarse, conforme a sus
competencias y atribuciones señ aladas en las normas sobre la materia.
d) Gestión del Riesgo Operativo

Proceso efectuado por todos los niveles de las organizaciones de una entidad
mediante el cual se identifican, valoran y tratan potenciales eventos, de riesgo
operativo, tales como, fallas en los procesos, personas, sistemas y eventos
externos, con la finalidad de coadyuvar en el grupo de los objetivos de la
Entidad.
e) Plan de Continuidad Operativa

Instrumento que debe formar parte de las operaciones habituales de la
Entidad, incluye la identificació n de las actividades y servicios críticos que
requieren ser ejecutados y prestados de manera ininterrumpida, la
determinació n de las medidas y acciones que permitan que la entidad de
manera eficiente y eficaz siga cumpliendo con sus objetivos, así como la
relació n del personal que se encontrará a cargo de la ejecució n de las
mencionadas actividades. Incluye los protocolos, la realizació n de pruebas y
ensayos, entre otros elementos señ alados en los presentes lineamientos.
f) Amenazas
Causa potencial de un incidente no deseado, que puede provocar dañ os a un
sistema o a la organizació n. (ISO/IEC 27000).

5
g) Análisis del Impacto del Negocio

Proceso del aná lisis de actividades y el efecto que una interrupció n del negocio
podría tener sobre ellas. (ISO 22301).
h) Análisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de
riesgo. (ISO/IEC 27000).
i) Auditoría
Proceso sistemá tico, independiente y documentado para obtener evidencias de
auditoría y obviamente para determinar el grado en el que se cumplen los
criterios de auditoría. (ISO/IEC 27000).
j) Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que está n expuestos
sus ciudadanos, ante amenazas o incidentes de naturaleza cibernética.
(CONPES 3701).
k) Ciberespacio
Á mbito o espacio hipotético o imaginario de quienes se encuentran inmersos
en la civilizació n electró nica, la informá tica y la cibernética. (CONPES 3701,
Tomado de la Academia de la lengua españ ola).
l) Plan de Continuidad de Negocio

Procedimientos documentados que guían a las organizaciones para
responder, recuperar, reanudar y restaurar a un nivel pre-definido de
operació n debido a la interrupció n. (ISO 22301).
m) Seguridad de la Información
Preservació n de la confidencialidad, integridad, y disponibilidad de la
informació n. (ISO/IEC 27000).
n) Sistema de Gestión de Seguridad de la Información (SGSI)

Conjunto de elementos interrelacionados o interactuantes (estructura
organizativa, políticas, planificació n de actividades, responsabilidades,
procesos, procedimientos y recursos) que utiliza una organizació n para
establecer una política y unos objetivos de seguridad de la informació n y

6
alcanzar dichos objetivos, basá ndose en un enfoque de gestió n y de mejora

continua. (ISO/IEC 27000).
o) Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la informació n o
un sistema de tratamiento de la informació n sean asociadas de modo
inequívoco a un individuo o entidad. (ISO/IEC 27000).
p) Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o má s
amenazas. (ISO/IEC 27000).
q) Plan de Contingencia Informático

Plan que forma parte del Plan de Continuidad Operativa, el cual comprende
medidas preventivas necesarias para minimizar la probabilidad de que dichos
riesgos se materialicen y, por otra parte, si esto ocurriera, posibilitar que la
institució n tenga una respuesta acorde, sin que ello suponga un grave impacto
para su continuidad operativa.
r) Evaluación de riesgos
Consiste en identificar y evaluar los riesgos que puede causar una interrupción de la
actividad de la Entidad.
s) Análisis de impacto
Consiste en determinar el impacto que tendría una interrupció n de los
procesos que soportan el cumplimiento de las misiones de la Entidad. De ser
posible, se buscará establecer el período má ximo tolerable de interrupció n por
cada uno de estos procesos, sin que ello constituya una condició n
indispensable para la implementació n de las acciones destinadas a asegurar la
continuidad operativa.
t) Determinación de las actividades críticas

Consiste en determinar las actividades que no pueden interrumpirse, en tanto
ello afectaría seriamente el cumplimiento de la misió n Municipal; lo cual
incluye la determinació n de las que requieren de la ejecució n de actividades en
el lugar alterno acondicionado y aquellas que podrían desarrollarse desde los
domicilios del personal. Incluye la identificació n de los servicios y proveedores
internos y externos críticos para su ejecució n.
u) Determinación de los recursos humanos

Consiste en determinar el nú mero de Personas, entre el personal existente, que
se necesita para la ejecució n de las actividades críticas identificadas. Incluye la
identificació n de las personas necesarias para ejecutar dichas actividades, así

7
como de aquéllas que se constituirá n en primero y segundo suplente como

mínimo.
v) Determinación de los recursos informáticos e información críticos

Consiste en determinar los aplicativos informá ticos necesarios para la
ejecució n de las actividades críticas, así como la informació n que se requiere,
sea en físico y digital, segú n sea el caso. Dichos recursos deben encontrarse a
disposició n de la Entidad en el menor plazo posible y respetando los principios
de la gestió n de la seguridad de informació n.
w) Determinación de los recursos físicos críticos

Consiste en determinar los bienes y equipos que son indispensables para
asegurar la ejecució n de las actividades críticas de la Entidad. Dichos recursos
deben encontrarse a disposició n de la Entidad en el menor plazo posible.
x) Protocolos de actuación para la continuidad operativa

Acuerdos establecidos entre las Direcciones y Oficinas de la Entidad para
asegurar la continuidad de las operaciones durante una situació n de crisis, las
cuales deben integrarse en procesos que ayuden a la toma de decisiones.
y) Equipo de avanzada
Es el personal clave designado a cargo de la ejecució n de actividades críticas de
las Direcciones y Oficinas para garantizar la continuidad operativa de los
servicios de la Entidad.
2. BASE LEGAL
La ejecució n del plan de continuidad se sustenta en el siguiente marco legal:
 Política de Estado N° 32 del Acuerdo Nacional - Gestió n del Riesgo de

Desastres.
 Ley N° 29158, Ley Orgá nica del Poder Ejecutivo.
 D. S. N° 111-2012-PCM, que aprueba la Política Nacional de Gestió n del Riesgo
de Desastres.
 Ley N° 29664, Ley que crea el Sistema Nacional de Gestió n del Riesgo de
Desastres (SINAGERD).
 Decreto Supremo 048-2011-PCM, Reglamento de la Ley que crea el Sistema
Nacional de Gestió n del Riesgo de Desastres (SINAGERD).
 Resolució n Ministerial N° 276-2012-PCM, Lineamientos para la Constitució n y
funcionamiento de los Grupos de Trabajo de la Gestió n del Riesgo de Desastres
en los tres niveles de Gobierno.

8
 Resolució n Ministerial N° 046-2013-PCM, Lineamientos que definen el marco

de responsabilidades en Gestió n del Riesgo de Desastres, en las entidades del
Estado en los tres niveles de Gobierno.
 Decreto Supremo 034-2014-PCM, Decreto Supremo que aprueba el Plan
Nacional de Gestió n del Riesgo de Desastres- PLANAGERD 2014-2021.
 Resolució n Ministerial N° 028-2015-PCM, Lineamientos para la gestió n de la
Continuidad Operativa de las entidades pú blicas en los tres niveles de
Gobierno.
3. ESTADO SITUACIONAL
El Plan de Continuidad Operativa o también llamado aná lisis de continuidad del
negocio lo que se centra y se basa en considerar seis tipos de eventos adversos que
constituyen los posibles escenarios de riesgos que pueden materializarse, afectando a
las direcciones y oficinas a cargo de funciones o actividades críticas (indispensables o
fundamentales) es por ello por lo que cada evento se debe tener en cuenta, para lo
cual se menciona a continuació n:
 Sismo de gran intensidad

 Lluvias intensas.
 Inundaciones
 Incendio
 Ataque informá tico
 Atentado terrorista
 Pandemia
 Alteració n del orden pú blico
Los que se mencionaron anteriormente son los má s importante y los que má s ocurren,
asimismo, se pueden registrar otros eventos, tales como: Caída del servicio eléctrico,
caída del servicio telefó nico, caída de servicios tecnoló gicos (internet, correo
electró nico, red de datos), falla de servidores, falla de los sistemas de informació n
entre otros.
La Municipalidad Distrital de Chalamarca, para poder desarrollar sus procesos de

manera efectiva; tiene 3 objetivos estratégicos municipales alineados a sus
prioridades y a su visió n como negocio:}
 Objetivo estratégico 1: Fortalecer la capacidad de gestió n prospectiva y

correctiva del riesgo de desastres en las entidades pú blicas de los tres niveles
de gobierno.
 Objetivo estratégico 2: Fortalecer la gestió n municipal de la Municipalidad
Distrital de Chalamarca.
 Objetivo estratégico 3: Implementar la gestió n interna del riesgo de
desastres.

9
4. PROBLEMAS Y FACTORES CAUSALES
Fuente: Elaboración propia
CAPITULO III
DISEÑO DE INVESTIGACIÓN
1. FASES DEL PLAN DE CONTINUIDAD DEL NEGOCIO
El aná lisis de impacto del negocio como parte del plan de continuidad del negocio,
debe entenderse como un marco conceptual sobre el cual las entidades deben
planear integralmente los alcances y objetivos, que permiten proteger la
informació n, en todas sus á reas críticas.

10
Las entidades deben establecer un aná lisis de impacto del negocio, que esté
alineado con el Plan General de Continuidad del Negocio de la Entidad; este debe
tener una estrategia de continuidad de TI, que contenga los objetivos globales de la
entidad, con respecto a las dimensiones de disponibilidad de datos, infraestructura
tecnoló gica y recurso humano.
Para desarrollar el plan de continuidad del negocio de TI se debe tener en cuenta:
 Diseñ ar una estrategia de continuidad de los servicios de TI, que tenga

como base la reducció n del impacto de una interrupció n en los
servicios críticos de TI del negocio, este debe estar difundido, aprobado
y respaldado por los directivos de la entidad.
 Realizar un aná lisis e identificació n de recursos críticos de TI vitales, de

esta manera se establece una estrategia que genere prioridades en caso
de presentarse una o varias situaciones que causen interrupciones.
 Establecer procedimientos de control de cambio, que permita asegurar

que el plan de continuidad de TI se encuentre actualizado y permita
afrontar las amenazas que traen consigo las nuevas tendencias
tecnoló gicas sin perder el alcance de los requerimientos de la Entidad.
 Elaborar un plan de pruebas de continuidad de TI, que permita verificar

y asegurar que los sistemas de TI puedan ser recuperados de forma
segura y efectiva, atendiendo y corrigiendo errores, que atenten contra
la disponibilidad de las operaciones.
 Realizar capacitaciones del plan de continuidad de TI y aná lisis de

impacto del negocio, a los entes o partes involucradas de la
organizació n (Equipo de seguridad de sistemas de informació n de la
entidad), para que conozcan cuá les son sus roles y responsabilidades
en caso de incidentes o desastres. Es necesario verificar e incrementar
el entrenamiento de acuerdo con los resultados de las pruebas de
contingencia generadas dentro de la entidad.
 Tanto el plan de continuidad de TI como el aná lisis de impacto del

negocio deben estar disponibles apropiadamente dentro de la
organizació n y en manos de los responsables de las á reas de TI quienes
de forma segura deben garantizar su aplicabilidad en los momentos
críticos, a su vez la entidad debe propender por un plan de
sensibilizació n al interior de la misma con el propó sito de indicar a
todos sus miembros sobre la importancia de contar con un plan de
continuidad y de aná lisis del negocio que van a garantizar el normal

11
funcionamiento de las operaciones regulares en caso de presentarse

problemas críticos en los sistemas de informació n y comunicaciones de
la entidad.
1.1. Fase de análisis de impacto del negocio

La fase de Aná lisis de Impacto del Negocio BIA (Bussiness Impact Analysis) Por
sus siglas en inglés), permite identificar con claridad los procesos misionales
de cada entidad y analizar el nivel de impacto con relació n a la gestió n del
negocio. Como se ha venido mencionando, cada entidad debe disponer de un
documento que permita identificar todas las á reas críticas del negocio y sea un
instrumento para garantizar la medició n de la magnitud del impacto
operacional y financiero de la entidad, al momento de presentarse una
interrupció n.
En esta etapa, el aná lisis de impacto del negocio, debe poder clarificar los
siguientes requerimientos:
 Identificar las funciones y procesos importantes para la supervivencia

de la entidad al momento de la interrupció n, esto es tener en cuenta
cuales de los procesos son claves para que entren en operació n
rá pidamente asigná ndoles la mayor prioridad posible, frente a los de
menor prioridad; debe quedar claro que para los procesos identificados
como no tan prioritarios se deben preparar también planes de
recuperació n.
 Revisar las consecuencias tanto operacionales como financieras, que

una interrupció n tendrá en los procesos considerados de alta prioridad.
 Estimar los tiempos de recuperació n, en razó n a las posibles

alteraciones de los procesos considerados de alta prioridad para el
funcionamiento de las infraestructuras de TI.
Al final el entregable de esta fase es un informe con el detalle de las funciones y

procesos críticos del negocio. Este documento debe contener la informació n
bá sica de los recursos requeridos y los tiempos de recuperació n para que las
entidades puedan poner en funcionamiento los servicios y por ende la
continuidad del negocio.

12
1.1.1. Métodos para la obtención de información

Es recomendable que las entidades posean un método
estructurado que facilite la obtenció n de la informació n requerida,
segú n (Hiles, 2004)1, se debe disponer de encuestas, entrevistas y
talleres.
 Encuesta: Conjunto de preguntas que se envían a las distintas

entidades de la organizació n.
 Entrevistas: La informació n del Aná lisis de Impacto del

Negocio (BIA), se obtiene personalmente, entrevistando a una
o má s personas. La informació n detallada puede obtenerse
creando preguntas para cada entrevista, de acuerdo con las
necesidades de la organizació n que hace las preguntas.
 Talleres: Permite a un grupo de personas trabajar de forma

colectiva para que de esta manera se provea de informació n
para el aná lisis de impacto del negocio.
1.1.2. Requerimientos de tiempo de recuperación

Como parte del plan de continuidad del negocio de una
organizació n, es importante poder definir y entender los
requerimientos de tiempo necesarios para recuperar a las
entidades de servicios que han sido interrumpidos por diferentes
motivos dentro de la organizació n; estos requerimientos obedecen
a varios componentes que hacen referencia concreta al tiempo
disponible en la cual una organizació n puede recuperarse
oportuna y ordenadamente a las interrupciones en los servicios e
infraestructuras de TI. Los componentes se describen a
continuació n:
 MTD (Maximum Tolerable Downtime) o Tiempo Má ximo de

Inactividad Tolerable: Espacio de tiempo durante el cual un
proceso puede estar inoperante hasta que la empresa empiece
a tener pérdidas y colapse.
 RTO (Recovery Time Objective) o Tiempo de Recuperació n

Objetivo. Es el tiempo transcurrido entre una interrupció n y la

13
recuperació n del servicio. Indica el tiempo disponible para

recuperar sistemas y recursos interrumpidos.
 RPO (Recovery Point Objective) o Punto de Recuperació n

Objetivo. Es el rango de tolerancia que la entidad puede tener
sobre la pérdida de datos y el evento de desastre.
 WRT (Work Recovery Time): Es el tiempo invertido en buscar

datos perdidos y la realizació n de reparaciones. Se calcula
como el tiempo entre la recuperació n del sistema y la
normalizació n de los procesos.
1.1.3. Metodología del análisis de impacto del negocio

La metodología del Aná lisis de Impacto del Negocio consiste en
definir una serie de pasos interactivos con el objeto de identificar
claramente los impactos de las interrupciones y tomar decisiones
respecto a aquellos procesos que se consideran críticos para la
organizació n y que afectan directamente el negocio ante la
ocurrencia de un desastre.
1.1.3.1. Identificación de funciones y procesos

En este paso se identifican las funciones del negocio ú tiles
para apoyar la misió n y los objetivos a alcanzar en el Sistema
de Gestió n de Seguridad de Informació n de la Entidad. Este
punto tiene como resultado generar un listado de roles y
procesos, que sirven de aná lisis para el cumplimiento de los
siguientes pasos del BIA.
 Entender previamente los procesos del negocio de
SISTESEG sobre los que se realizará el BIA.
 Entender los sistemas o componentes de TI.
 Definir qué aspectos del negocio se desean cubrir con la

informació n que se suministrará .
 Identificar el personal a ser entrevistado.

14
 Definir los cuestionarios a utilizar para recolectar la

informació n, capacitar a los entrevistadores, unificar
criterios y términos utilizados.
 Definir las fechas en que se realizará n las entrevistas.
1.1.3.2. Evaluación de impactos operacionales

Teniendo en cuenta los elementos operacionales de la
organizació n, se requiere evaluar el nivel de impacto de una
interrupció n dentro de la Entidad. El impacto operacional
permite evaluar el nivel negativo de una interrupció n en
varios aspectos de las operaciones del negocio; el impacto se
puede medir utilizando un esquema de valoració n, con los
siguientes niveles: A, B o C.
 Nivel A: La operació n es crítica para el negocio. Una

operació n es crítica cuando al no contar con ésta, la
funció n del negocio no puede realizarse.
 Nivel B: La operació n es una parte integral del negocio, sin
ésta el negocio no podría operar normalmente, pero la
funció n no es crítica.
 Nivel C: La operació n no es una parte integral del negocio.
Los niveles de criticidad en la entidad, que contempla un

sistema de tolerancia a fallas por horas, cuya propiedad
permite que un sistema pueda seguir operando normalmente
a pesar de que una falla haya ocurrido en alguno de los
componentes del sistema; por lo tanto, la tolerancia a fallas es
muy importante en los sistemas que deben funcionar todo el
tiempo.
1.1.3.3. Identificación de procesos críticos

Los Procesos Críticos son aquellas que una institució n,
empresa u organizació n no pueden dejar de llevar a cabo bajo
ningú n escenario de emergencia mayor. Para poder
identificar estos procesos nos debemos plantear los
indicadores que deben cumplir estos:
Valor Interpretación del proceso crítico

15
A Crítico para el Negocio, la funció n del negocio no

puede realizarse
B No es crítico para el negocio, pero la operació n

es una parte integral del mismo.
C La operació n no es parte integral del negocio.
 Logística (A)
 Proceso de Contrataciones (B)
 Presupuesto (A)
 Ejecució n de pagos (A)
 Tesorería (B)
 Ejecució n de proyectos (A)
 Infraestructura (C)
 Recursos Humanos (B)
1.1.3.4. Establecimiento de tiempos de recuperación

El tiempo de recuperació n simple compara directamente los
flujos de efectivo operativos netos generados por el negocio o
proyecto, con la inversió n neta para determinar el periodo
(nú mero de añ os, meses, semanas o días) que se requiere
para que el dinero que genera el negocio o proyecto sea igual
al dinero que se invirtió .
Hace referencia también, al tiempo que se toma la

municipalidad en descubrir, analizar y responder ante una
amenaza en la informació n.
1.1.3.5. Identificación de recursos

Las diferentes actividades contempladas en la funció n crítica
del negocio deben considerarse de vital importancia cuando
apoyan los procesos críticos del negocio; por lo tanto, es clave
en este punto, la identificació n de recursos críticos de
Sistemas.
NOMBRE DEL DESCRIPCIÓN DEL TIPO DE CATEGORÍA CLASIFICACIÓN PROCESO AL QUE

ACTIVO ACTIVO ACTIVO DEL ACTIVO

16
PERTENECE
Servidores La institució n Informació n Informació n Restringido Administrar

de Base de presenta bases de Electró nica informació n
datos datos, localmente
posee la base de
datos SQLServer y en
la nube usa Mysql.
Servidores Aplicació n web Software Desarrollo Restringido Administrar

Web alojada en la nube, Propio informació n
encargada de la
gestió n de
informació n como
usuarios y pagos.
Módulo de Aplicació n web Software Desarrollo Confidencial Controlar

control alojada en la nube, Propio incidencias
para gestionar
operaciones de
administració n de
bienes
Seace Plataforma creada Software Terceros Restringido Realizar

por terceros, que da gestiones
soporte para realizar
Gestiones
Perú Plataforma creada Software Terceros Restringido Realizar

Compras por terceros, que da gestiones
soporte para realizar
operaciones de

17
compra
Servidor La municipalidad Informació n Informació n Confidencial Administrar

Local cuenta con un Electró nica informació n
servidor físico
corriendo el sistema
operativo Windows
Server.
Servidor en Servidor en la nube Informació n Informació n Confidencial Administrar

la nube otorgada al adquirir Electró nica informació n
un servicio de Host.
Equipos de sistema informá tico Hardware Terceros Restringido Administrar

computo de componentes informació n
electró nicos
Documentaci La municipalidad Informació n Desarrollo Restringido Informar

ón cuenta con archivos Física Propio
confidenciales que
documentan la
estructura interna de
la institució n,
funciones, horarios,
cuentas
institucionales,
informació n de
pagos, etc.
1.1.3.6. Disposición de los RTO/RPO (Recovery Time

Objetive/ Recovery Point Objetive)

18
 RTO: Tiempo de Recuperació n Objetivo: Asociado con la

restauració n de los recursos que han sido alterados de las
Tecnologías de la Informació n; comprende el tiempo
disponible para recuperar recursos alterados.
Adicionalmente, se aplica el WRT, es decir el tiempo que es

requerido para completar el trabajo que ha estado
interrumpido con el propó sito de volverlo a la normalidad.
 RPO: Punto de Recuperació n Objetivo: Este punto es

importante para determinar por cada uno de los procesos
críticos (servicios), el rango de tolerancia que una Entidad
puede tener sobre la pérdida de informació n y el evento
de desastre.
1.1.3.7. Identificación de procesos alternos

La identificació n de procesos alternos hace posible que los
procesos del negocio puedan continuar operando en caso de
presentarse una interrupció n; para ello es oportuno que las
Entidades tengan métodos alternativos de manera temporal
que ayuden a superar la crisis que ha generado una
interrupció n; por lo tanto, para cada proceso crítico que se
establezca (en los servicios), se debe poseer un
procedimiento manual de continuidad del servicio:
 Logística: La actividad se puede llevar de manera alterna

mediante el trabajo colaborativo del administrador y el
jefe de logística.
 Tesorería: Se puede ejecutar haciendo uso de la caja

chica como medida de soporte alternativa mientras se
restaura el sistema.
2. FASE DE GESTIÓN DE RIESGO

Ante la posible materializació n de algú n evento que ponga en riesgo la
operatividad de la Entidad y con el fin de establecer prioridades para la mitigació n
de los riesgos, se hace necesario disponer de metodologías para su evaluació n.
La metodología del plan de continuidad del negocio determina los diversos

escenarios de amenazas de una Entidad, el cual permite desarrollar las estrategias
de continuidad y los planes para reanudar los servicios que estaban en operació n.
La gestió n del riesgo debe contemplar el “cá lculo del riesgo, la apreciació n de su
impacto en el negocio y la posibilidad de ocurrencia”.

19
A pesar de la existencia de diversidad de métodos es recomendable iniciar con los

má s sencillos, que forman parte de lo que denominamos aná lisis previos. Una
primera aproximació n es la de establecer un conjunto de causas que pueden
generar dificultades, tales como:
2.1. Riesgos Tecnológicos

 Fallas en el Fluido Eléctrico.
 Sabotaje Informá tico.
 Fallas en el Centro de Datos.
 Problemas Técnicos.
 Fallas en equipos tanto de procesamiento, telecomunicaciones como
eléctricos.
 Servicios de Soporte a Sistemas de Producció n y/o Servicios.
2.2. Riesgos Humanos

 Robos.
 Acto Hostil.
 Marchas, mítines.
 Artefactos explosivos.
 Problemas organizacionales (huelgas, leyes aceptadas por el congreso,
regulaciones gubernamentales, leyes internacionales)
 Problemas de terceros involucrados en la producció n o soporte a un
servicio.
 Problemas con los proveedores de insumos o subproductos.
2.3. Desastres Naturales

 Sismos
 Tormentas Eléctricas
 Incendios
 Inundaciones

20
CONCLUSIONES
 Con la informació n antes vista podemos confirmar que se contribuye a mejorar el
rendimiento sobre las afectaciones de la empresa, así como de la forma y el
tiempo de responder ante la mismas, ya que con el proceso sistemá tico de aná lisis
de la continuidad del negocio de la mano con la metodología BIA podremos
analizar, determinar y evaluar los efectos de cualquier imprevisto que pueda
afectar a la continuidad del negocio y con ello será posible reducir la probabilidad
de que los riesgos que afecten a una empresa se disminuyan y esto beneficiará a la
empresa a que tenga menos perdidas tanto econó micas como en otros aspectos.
 Gracias al aná lisis de la continuidad del negocio se puede identificar con claridad
los procesos misionales de cada entidad y analizar el nivel de impacto con
relació n a la gestió n del negocio, es por ello que muchas empresas realizan este
aná lisis ya que permite desarrollar arreglos previos y procedimientos que
capaciten a la organizació n para responder a un evento de tal manera que las
funciones críticas del negocio continú en con los niveles planeados de interrupció n
o cambios esenciales y así permitir a la empresa logar el éxito y mayor
posicionamiento en el mercado pero sobre todo prevenir algunos errores,
problemas o riesgos que pueden afectar a la empresa.
 La Municipalidad Distrital de Chalamarca, segú n lo visto; posee una limitada

preparació n para la respuesta que les permita restablecer sus actividades después
de la ocurrencia de un problema o riesgos de cualquier tipo lo cual impide que la
continuidad operativa de la organizació n se desarrolle de manera má s sofisticada
y ademá s las acciones de respuesta y rehabilitació n ante cualquier problema
puede llevar má s tiempo de lo que se puede establecer, ya que se podría decir que
no cuenta con recursos específicos asignados para el restablecimiento de sus
actividades ante la ocurrencia de cualquier problema, así mismo no dispone de un
documento de gestió n que le permita planificar la continuidad operativa de sus
actividades críticas y es por ello que se realiza este trabajo que sirve de gran
ayuda para dicha Municipalidad.
BIBLIOGRAFÍA
 Alexander, A., (2007). Diseño de un Sistema de Gestión de Seguridad de Información,

ó ptica ISO 27001:2005, Alfaomega.
 Hiles, A., (2004). Bussiness Continuity Best Practices, Connecticut: Rothstein

Associates, Inc.

21
 ISO/IEC 27001:2006, Norma Técnica NTC-ISO/IEC Colombiana, Tecnología de la

Informació n. Técnicas de Seguridad. Sistemas de Gestió n de la Seguridad de la
Informació n (SGSI). Requisitos.

22

Análisis de continuidad del negocio municipal

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Análisis de continuidad del negocio municipal

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DE CAJAMARCA

Cajamarca, mayo del 2022

Gestión de Riesgos y Seguridad de la información

Las entidades deben permanentemente monitorear y reconocer las amenazas má s

El fin de la implementació n del plan de continuidad de TI, es la protecció n y

Las entidades deben contar con un plan de continuidad de Tecnología de Informació n,

Gestión de Riesgos y Seguridad de la información

requieren planear las acciones necesarias durante el periodo en que la infraestructura

1.2. Planteamiento del problema

La manera de llevar a cabo el aná lisis de la continuidad del negocio dentro de

Gestión de Riesgos y Seguridad de la información

1.2.2. Problema secundario

En nuestros días sabemos que son pocas las empresas, organizaciones o

¿Qué recursos tiene la Municipalidad Distrital de Chalamarca para restablecer

1.3. Delimitación de la investigación

En la investigació n que se realiza se tomará en cuenta la situació n actual de la

Gestión de Riesgos y Seguridad de la información

3.2. Objetivos específicos

Gestión de Riesgos y Seguridad de la información

c) Gestión de la Continuidad Operativa del Estado

d) Gestión del Riesgo Operativo

e) Plan de Continuidad Operativa

Gestión de Riesgos y Seguridad de la información

g) Análisis del Impacto del Negocio

l) Plan de Continuidad de Negocio

n) Sistema de Gestión de Seguridad de la Información (SGSI)

Gestión de Riesgos y Seguridad de la información

alcanzar dichos objetivos, basá ndose en un enfoque de gestió n y de mejora

q) Plan de Contingencia Informático

t) Determinación de las actividades críticas

u) Determinación de los recursos humanos

Gestión de Riesgos y Seguridad de la información

como de aquéllas que se constituirá n en primero y segundo suplente como

v) Determinación de los recursos informáticos e información críticos

w) Determinación de los recursos físicos críticos

x) Protocolos de actuación para la continuidad operativa

 Política de Estado N° 32 del Acuerdo Nacional - Gestió n del Riesgo de

Gestión de Riesgos y Seguridad de la información

 Resolució n Ministerial N° 046-2013-PCM, Lineamientos que definen el marco

 Sismo de gran intensidad

La Municipalidad Distrital de Chalamarca, para poder desarrollar sus procesos de

 Objetivo estratégico 1: Fortalecer la capacidad de gestió n prospectiva y

Gestión de Riesgos y Seguridad de la información

4. PROBLEMAS Y FACTORES CAUSALES

Fuente: Elaboración propia

Gestión de Riesgos y Seguridad de la información

Para desarrollar el plan de continuidad del negocio de TI se debe tener en cuenta:

 Diseñ ar una estrategia de continuidad de los servicios de TI, que tenga

 Realizar un aná lisis e identificació n de recursos críticos de TI vitales, de

 Establecer procedimientos de control de cambio, que permita asegurar

 Elaborar un plan de pruebas de continuidad de TI, que permita verificar

 Realizar capacitaciones del plan de continuidad de TI y aná lisis de

 Tanto el plan de continuidad de TI como el aná lisis de impacto del

Gestión de Riesgos y Seguridad de la información

funcionamiento de las operaciones regulares en caso de presentarse

1.1. Fase de análisis de impacto del negocio

 Identificar las funciones y procesos importantes para la supervivencia

 Revisar las consecuencias tanto operacionales como financieras, que

 Estimar los tiempos de recuperació n, en razó n a las posibles

Al final el entregable de esta fase es un informe con el detalle de las funciones y

Gestión de Riesgos y Seguridad de la información

1.1.1. Métodos para la obtención de información

 Encuesta: Conjunto de preguntas que se envían a las distintas