Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DEL NEGOCIO
10.1 PLANIFICACIÓN DE LA CONTINUIDAD DEL NEGOCIO Y DE LA
RECUPERACIÓN DE DESASTRES
10.1.1 Planificación de la continuidad de Sistemas de Información/Plan de
recuperación de desastres
10.1.2 Desastres y otros tipos de interrupciones
10.1.3 Análisis del impacto en el negocio
10.1.4 Desarrollo de estrategias de recuperación del negocio
10.1.4.1 Alternativas de recuperación
10.1.4.2 Formas de conseguir hardware alternativo
10.1.5 Desarrollo de un plan detallado
10.1.5.1 Organización y asignación de responsabilidades
10.1.5.2 Componentes de un Plan de Continuidad del Negocio eficaz
10.1.6 Puesta a prueba del plan de continuidad del negocio
10.1.6.1 Especificaciones
10.1.6.2 Ejecución de las pruebas
10.1.6.3 Documentación de resultados
10.1.6.4 Análisis de resultados
10.1.6.5 Mantenimiento del plan de continuidad del negocio
10.1.7 Bibliotecas en Sede Remota
10.1.7.1 Controles en bibliotecas en sedes remotas
10.1.7.2 Seguridad y control de la instalación de proceso alternativo
10.1.7.3 Respaldo de medios magnéticos y documentación
10.1.7.4 Procedimientos periódicos de respaldo
10.1.7.5 Frecuencia de rotación
10.1.7.6 Tipos de medios magnéticos y documentación a rotar
10.1.7.7 Contabilización del almacenamiento en la sede alternativa
10.1.8 Resumen
El contenido de este tema trata del conocimiento que un auditor de SSII necesita
para evaluar la habilidad que una organización tiene para restaurar los servicios a un
nivel de calidad acordado ante cualquier interrupción del servicio, y el proceso para
desarrollar, comunicar y mantener documentados y probados los planes para la
continuidad de las operaciones y el proceso de SSII.
Hay tres áreas a evaluar al respecto:
Evaluar la adecuación de los planes de respaldo y recuperación para asegurar la
reanudación del proceso normal del procesamiento de la información en caso de
una breve interrupción y/o la necesidad de reejecutar o rearrancar un proceso
1
Evaluar la habilidad de la organización para continuar suministrando capacidades de
procesamiento de la información en el caso de que las instalaciones primarias de
procesamiento de la información no estén disponibles.
Evaluar la habilidad de la organización para asegurar la continuidad del negocio en
el caso de una interrupción del negocio.
2
son: una falta de energía, pérdida de capacidad de comunicaciones, pérdida del servicio
de transporte, etc.
Hay situaciones que, aunque no se clasifican como desastres, se consideran de
alto riesgo. Por ejemplo, la interrupción en el servicio, a veces es debida a
malfuncionamiento del sistema, borrado accidental de ficheros, intrusiones de
denegación de servicio de red y virus. Estas situaciones pueden requerir una acción para
restaurar el normal estado operacional. Tales acciones pueden necesitar restauración del
hardware, software o ficheros de datos. Por tanto, se necesita tener un sistema de
clasificación basado en riesgos bien definido para poder determinar el inicio de los
esfuerzos de planificación de la continuidad del negocio.
Un buen plan de continuidad del negocio deberá tener en cuenta todos los tipos
de situaciones que puedan impactar tanto en las instalaciones de procesamiento de
sistemas de información críticos, como en las funciones de operación del negocio de
usuario final normales. Para las peores situaciones (como un desastre natural), se
requieren estrategias de respaldo a corto y largo plazo. Para el corto plazo, se puede
necesitar una instalación de proceso alternativa para satisfacer las necesidades
operacionales inmediatas. En el largo plazo, se podría necesitar una nueva instalación
permanente de procesamiento que estuviese equipada para poder continuar los servicios
de procesamiento de información de forma regular.
3
menos que este recurso dé soporte a un proceso crítico de negocio. Ejemplos de
procesos críticos de negocio pueden ser:
recepción de pagos
producción
nóminas
entrega de productos terminados
Se tiene que evaluar cada proceso para determinar su criticidad. Indicaciones de
la criticidad son, por ejemplo:
el proceso involucra vidas y salud de las personas
la interrupción del proceso puede causar un pérdida beneficios a la
organización o incurrir en costes extras no aceptables
el proceso debe cumplir requerimientos legales o estatutarios.
4
Vitales Funciones que pueden ser realizadas manualmente pero solamente por
un período breve. Existe una tolerancia mayor a la interrupción que con
los sistemas críticos, por tanto, con costos de interrupción ligeramente
menores, siempre y cuando se restauren las funciones dentro de un
marco temporal determinado (generalmente 5 días o menos).
Sensibles Funciones que pueden realizarse en forma manual, con costos tolerables,
por un largo período. Si bien pueden realizarse de forma manual, es un
proceso difícil y exige mano de obra adicional para realizarse.
No críticas Funciones que pueden ser interrumpidas durante un lapso largo, con
poco o sin costo para la empresa, y exigen poco o ningún esfuerzo de
ponerse al día cuando se restauran.
5
compatibles con la instalación primaria de la que actúa como respaldo. Las únicas
necesidades adicionales son las de personal, programas y archivos de datos. Los
costos asociados con la utilización de hot-sites de terceros son generalmente altos
pero, normalmente, se justifican en aplicaciones críticas. Cuando se planifica
correctamente, la cobertura de seguros generalmente compensará los costos
incurridos por utilizar este tipo de instalación. Los costos incluyen un costo básico
de suscripción, una tarifa mensual, costos de activación cuando se usa la sede en una
emergencia real y cargos horarios o por día por la utilización. Las estructuras de
precio varían de un proveedor a otro. Algunos proveedores de hot-sites imponen
costos de activación altos a fin de desalentar una utilización frívola de la instalación.
Otros vendedores no imponen costos de activación y alientan a utilizar la instalación
con fines distintos a los de un desastre, como puede ser una sobrecarga de proceso.
La hot-site está diseñada para operaciones de emergencia por un período
limitado de tiempo y no para un uso extendido a largo plazo. La utilización a largo
plazo disminuiría la protección para los otros suscriptores de la misma hot-site. Por
tanto, la hot-site debe considerarse como un medio de lograr una continuación de
operaciones esenciales por un período de hasta algunas semanas posteriores a un
desastre o una grave emergencia. Se requerirán planes adicionales para las
operaciones posteriores. Muchos proveedores ofrecen instalaciones de warm-sites o
cold-sites para que un suscriptor migre después de que se terminen las operaciones
de recuperación. Con ello se libera el hot-site para su utilización por otros
suscriptores.
Warm-sites.
Estos son centros que están parcialmente configurados, generalmente con equipo
periférico seleccionado, tal como unidades de disco y cinta y controladores, pero sin
el ordenador principal. A menudo un warm-site está equipado con una CPU de
menor capacidad.
El supuesto que respalda al concepto de warm-site es que, en una situación de
emergencia, el ordenador se pueda obtener rápidamente (siempre que sea un modelo
de uso común) por lo que, dado que el ordenador es la unidad más cara, tal arreglo
es menos costoso que un hot-site.
Después de la instalación de los componentes necesarios, el centro puede ser
considerado listo para el servicio en cuestión de horas; sin embargo, la ubicación e
instalación de la CPU y de las otras unidades faltantes puede llevar días o semanas.
Cold-sites.
Estos son centros que solo tienen la infraestructura básica (cableado eléctrico, aire
acondicionado, piso, etc.) para operar un centro de proceso de datos.
El cold-site está listo para recibir el equipamiento pero no ofrece ningún
componente instalado antes de que sea necesario. La activación del centro puede
llevar semanas.
Las principales diferencias entre los tres tipos de centros son el tiempo de
activación y el costo.
En el caso de un desastre a largo plazo, es deseable una reducción en los costos
operativos. Ello puede lograrse utilizando primero una hot-site por un corto plazo y
después una warm-site o una cold-site.
6
recíprocos con otra empresa. Varios principios deben estar vigentes a fin de asegurar la
viabilidad de este enfoque:
Debe existir una coordinación de las estrategias para hardware/software. Debe
existir un grado razonable de compatibilidad para que funcione como base para un
respaldo.
Debe asegurarse la disponibilidad de recursos. No debe permitirse que la carga de
trabajo de las sedes crezca hasta el punto de que se reduzca la disponibilidad en un
respaldo de emergencia.
Es necesaria la prueba regular. Aunque las sedes duplicadas sean propiedad de la
misma empresa e inclusive cuando las sedes estén bajo la dirección de la misma
gerencia, es necesario realizar pruebas de los recursos duplicados.
Acuerdos recíprocos
Los acuerdos recíprocos son contratos entre una o más organizaciones con
equipos o aplicaciones similares. En un acuerdo típico, las partes se comprometen a dar
tiempo de proceso cuando surja una emergencia.
Ventajas
Costo reducido
Puede ser la única opción disponible en el caso de que no existan hot-sites
disponibles.
Desventajas
Generalmente no es exigible. Solo se utiliza la capacidad de procesamiento
sobrante de la otra parte del acuerdo
Las diferencias en la configuración del equipo de la otra parte, normalmente,
exige cambios a programas a fin de operar eficazmente
Los cambios que no se notifiquen en cuanto a carga de trabajo o configuraciones
del equipo hacen inútil el acuerdo.
Cuestiones críticas a ser incluidas en un Acuerdo Recíproco
¿Cuánto tiempo estará disponible la sede prestada?
¿Qué lugar y equipos se proveerán?
¿Se proveerá de asistencia del personal?
¿Cuán rápidamente puede tenerse acceso a la sede de recuperación?
¿Durante cuánto tiempo puede continuar la operación de emergencia?
¿Con qué frecuencia puede probarse el sistema para comprobar la
compatibilidad?
¿Cómo se conservará la confidencialidad de los datos?
¿Qué tipo de seguridad se tendrá para las operaciones de proceso y datos? ¿Con
qué antelación debe solicitarse la utilización del centro? ¿Existen épocas del año,
del mes, etc. en las que no se dispondrá del uso del sistema?
7
¿Está la definición de desastre lo suficientemente clara como para satisfacer las
necesidades que se prevén?
Rapidez de la disponibilidad.
¿Cuán pronto después del desastre estará disponible el centro?
Suscriptores por centro.
¿El acuerdo limita el número de suscriptores por centro?
Suscriptores por área.
¿El acuerdo limita el número de suscriptores en un edificio o área geográfica?
Preferencia.
¿Quién tiene preferencia si se producen desastres comunes? ¿Existe un respaldo del
centro de respaldo? ¿Tiene el proveedor más de un centro disponible?
Seguros.
¿Existe una cobertura de seguros adecuada de los empleados de la empresa en la
sede de respaldo? ¿La cobertura actual reembolsará esos honorarios?
Período de uso.
¿Durante cuánto tiempo se dispondrá del centro? ¿Es adecuado el período? ¿Qué
soporte técnico dará el operador de la sede? ¿Es adecuado?
Comunicaciones.
¿Son adecuadas las comunicaciones? ¿Son suficientes las conexiones de
comunicaciones en la sede de respaldo como para permitir las comunicaciones con
la sede alterna si fuera necesario?
Garantías.
¿Qué garantías da el vendedor respecto de la disponibilidad de la sede y la
adecuación de los equipos? ¿Existen limitaciones a la responsabilidad civil
(generalmente existen) y la empresa las acepta?
Prueba.
¿Qué derechos a hacer pruebas se incluye en el contrato?
Fiabilidad.
El proveedor debe estar en condiciones de asegurar la fiabilidad de las sedes que
ofrece. En una situación ideal, el proveedor debe poseer UPS, un número limitado
de suscriptores, una administración técnica razonable y garantías de compatibilidad
de hardware y software.
8
Mantener la compatibilidad del software para permitir la operación del nuevo
equipamiento
Como se requieren datos y software para estas estrategias, se tienen que considerar
acuerdos especiales de respaldo en soportes movibles y su almacenamiento seguro en
una sede remota.
También hay que considerar la recuperación de las telecomunicaciones. Las
estrategias que normalmente se utilizan al respecto son:
Prevención de desastre de redes, que incluye:
o Redundancia
o Rutas alternativas
o Rutas diversificadas
o Recuperación de voz
Desastres de servidores
9
Equipo de evaluación de daños. .
Equipo de administración de la emergencia.
Equipo de la sede alternativa de almacenamiento.
Equipo de software de sistemas. .
Equipo de software de aplicaciones.
Equipo de seguridad.
Equipo de operaciones de emergencia.
Equipo de recuperación de red.
Equipo de comunicaciones.
Equipo de transportes.
Equipo de hardware para usuarios.
Equipo de preparación de datos.
Equipo de soporte administrativo.
Equipo de consumibles.
Equipo de salvamento.
Equipo de reubicación.
Personal clave
El plan debe contener un directorio de notificación del personal clave que se
requiere para iniciar y llevar a cabo los esfuerzos de recuperación. Generalmente es una
agenda telefónica de las personas que deben ser notificadas en el caso de un desastre.
Esta agenda debe incluir la siguiente información:
Lista priorizada de contactos (es decir, a quién se llama primero)
Teléfonos y domicilios primarios y de emergencia para cada persona de contacto. Generalmente serán los
líderes de los equipos claves. Los líderes de equipos pueden ser responsables de contactar a los restantes
miembros de su equipo.
Números telefónicos y domicilios de las personas de contacto de los vendedores de equipos y software.
Números telefónicos de las personas de contacto dentro de las empresas de consumibles, equipos y servicios.
Números telefónicos de las personas de contacto en las instalaciones de recuperación
Números telefónicos de los agentes de la empresa de seguros
Números telefónicos de las personas de contacto de empresas de contratación de personal.
10
Métodos de recuperación de desastres de redes de telecomunicaciones
Una organización, también, debe prever el respaldo de sus funciones de
telecomunicaciones.
Las redes de telecomunicaciones pueden sufrir los mismos desastres naturales
que los centros de cálculo y también son susceptibles a acontecimientos desastrosos
propios de las telecomunicaciones. Entre ellos se incluyen desastres en las centrales de
conmutación, corte de líneas, problemas y errores del software de telecomunicaciones,
violaciones a la seguridad relacionadas con la piratería y una multitud de factores de
origen humano.
Seguros
La póliza de seguros de proceso de datos es por lo general una póliza multiriesgo
diseñada para dar diversos tipos de cobertura. Debe ser de constitución modular de
manera tal que pueda adaptarse al entorno particular del SI.
11
Cubre los daños a los medios del SI que son propiedad del asegurado y por los
cuales el asegurado pueda tener responsabilidad civil. Lo que se tiene en cuenta para
determinar el valor de la cobertura son los costos de programación para reproducir
los medios dañados, reemplazo físico de los dispositivos (cintas, cartuchos, discos,
etc.) y gastos de respaldo.
Transporte de medios magnéticos.
Da cobertura de protección de pérdida potencial o daños a los medios magnéticos en
tránsito hacia un centro de proceso de datos en una sede remota.
10.1.6.1 Especificaciones
La puesta a prueba debe tratar de realizar las siguientes tareas:
Verificación de que la información del plan de contingencia es completa y exacta
Evaluación del rendimiento del personal involucrado en el ejercicio
Evaluación del entrenamiento y percepción por parte de los miembros que no
pertenezcan a la contingencia
Evaluación de la coordinación entre el equipo de contingencia y los proveedores y
vendedores externos
Medición de la habilidad y capacidad de la sede de respaldo para realizar el proceso
prescrito
Evaluación de la capacidad de recuperación de registros
Evaluación del estado y cantidad de los equipos e consumibles que se han reubicado
en la sede de recuperación
Medición del rendimiento general de las actividades de operaciones y proceso de
datos relacionados con mantener la capacidad del negocio.
12
Consiste en la limpieza de las actividades realizada en la fase de prueba.
Comprende actividades como devolver todos los recursos a su lugar correcto,
desconexión del equipo y retorno del personal, borrar todos los datos de la empresa
de los sistemas de terceros, así como evaluar formalmente el plan e implementar las
mejoras indicadas.
13
ciclos de proceso reales comparando los resultados de salida con los del mismo
período procesados en condiciones normales.
14
10.1.7.1 Controles en bibliotecas en sedes remotas
Los controles en las instalaciones de estas bibliotecas son importantes para
asegurar la operación ininterrumpida del negocio en el caso de un desastre y para
optimizar la utilización de recursos de SSII. El acceso no autorizado a esta información
puede impactar en la habilidad de SSII para suministrar servicios continuos de
procesamiento de la información.
Entre estos controles se incluyen:
Seguridad de acceso físico al contenido de las bibliotecas
Asegurar que el edificio puede afrontar un incendio (mínimo de 2 horas)
Ubicación de la biblioteca fuera de la sala del ordenador
Asegurar que solo el personal autorizado tiene acceso a la biblioteca y a los
medios fuera de línea
Asegurar que se mantiene un inventario permanente de todos los medios de
almacenamiento y de todos los ficheros almacenados.
Asegurar que se mantienen un registro de todos los medios de almacenamiento y
ficheros que entran y salen de la biblioteca
Asegurar que se mantiene un registro de la información sobre el contenido,
versión y ubicación de los ficheros de datos.
15
planificación de trabajos automatizado.
La automatización del procedimiento de respaldo evitará ciclos erróneos u
omitidos debido a errores del operador.
Los puntos a tener en cuenta para establecer el cronograma de respaldo de archivos son:
Debe determinarse la frecuencia del ciclo de respaldo y período de retención para cada archivo de datos.
La estrategia de respaldo debe prever los posibles errores en cualquier paso del ciclo de proceso
Los archivos maestros deben ser respaldados en momentos convenientes, p.e. al finalizar un proceso de
actualización.
Los archivos de transacciones deben conservarse conciliados con los archivos maestros, de manera que, a
partir de una versión previa de un archivo maestro, se regenere el archivo maestro actual.
Los archivos en tiempo real requieren técnicas de respaldo especiales, tal como el registro de las transacciones
en un histórico, la utilización de imágenes previas y/o posteriores a la actualización de los registros maestros,
identificación de las transacciones con la hora, etc.
Los sistemas de Administración de Base de datos (DBMS) requieren un respaldo especializado, generalmente
provisto como una función integrada en el DBMS.
Debe conservarse descripciones de los archivos de los cuales se hace respaldo. En los sistemas DBMS estas
descripciones pueden ser reemplazadas por una versión de los diccionarios de datos.
Puede ser necesario asegurarse de la licencia para utilizar ciertas utilidades en una sede alterna, y los arreglos
deben hacerse con antelación.
Respaldo del software debe incluir tanto las bibliotecas de código objeto y de código fuente, y debe incluir
mecanismos para guardar los parches a los programas de forma actualizada en todas las sedes
de respaldo.
16
procedimientos especiales.
Documentación de Diagramas de flujo, listados de código fuente de programas,
sistemas y programas descripciones de la lógica del programa, condiciones de
error y otras descripciones
Procedimientos Cualquier procedimiento o instrucciones que se salen de lo
especiales común tales como proceso de excepciones, variaciones de
proceso, procesos de emergencia.
Documentos fuente de Duplicados, fotocopias, microfichas, microfilms o resúmenes
entrada y documentos que se necesitan con objeto de auditoría, análisis histórico,
de salida realización de tareas vitales, cumplimiento de requisitos
legales, documentación necesaria sobre seguros para efectuar
y acelerar los reclamos la compañía aseguradora.
Copia del Plan de Una copia del plan vigente
Continuidad del
Negocio
10.1.8 Resumen
Para asegurar la continuidad del servicio, un plan de continuidad del negocio
debe estar escrito para minimizar los efectos de las interrupciones. Este plan debe
basarse en el plan a largo plazo de TI y debe estar conforme con la estrategia global de
continuidad de las operaciones. Por tanto, el proceso de desarrollo y mantenimiento de
un plan de continuidad del negocio debe:
Identificar y priorizar los sistemas y otros recursos requeridos para soportar a los
procesos de negocio críticos en el caso de una interrupción (análisis del impacto en
el negocio)
Elección de la estrategia apropiada para recuperar al menos la suficiente capacidad
de TI para soportar los procesos críticos de negocio hasta que se recupere totalmente
toda la capacidad de TI.
Desarrollar un plan detallado para la recuperación de las instalaciones de SSII (plan
de recuperación de desastres)
Desarrollar un plan detallado para las funciones críticas del negocio para continuar
operando a un nivel aceptable (plan de continuidad del negocio)
Probar los planes
Mantener los planes para contemplar los cambios del negocio y los desarrollos de
sistemas.
17
Evaluar los planes de continuidad del negocio para determinar su adecuación y
actualidad, mediante la revisión de los planes y su comparación con los estándares
apropiados y/o las regulaciones gubernamentales
Verificar que los planes de continuidad del negocio son eficaces, mediante la
revisión de los resultados de las pruebas previas realizadas por el personal de SSII y
de usuario final
Evaluar el almacenamiento en sede remota para asegurar su adecuación, mediante la
inspección de la instalación remota y la revisión de su contenido y los controles de
seguridad y ambientales
Evaluar la habilidad del de SSII y usuario para responder eficazmente en situaciones
de emergencia, mediante la revisión de los procedimientos de emergencia, la
formación recibida por los empleados y los resultados de las pruebas
18
¿Incluye el Plan procedimientos para fusionar datos de archivos maestros, datos del sistema automatizado de
administración de soportes magnéticos, etc. con los archivos previos al desastre?
¿Trata el Plan la carga de datos procesados manualmente al sistema automatizado?
19
Asegurarse de que pueden realizarse pruebas en el hot-site a intervalos regulares.
No dejar de prestar atención a los requerimientos de comunicaciones para la sede de respaldo.
Asegurarse de que un abogado especializado revise los contratos exigibles de depósito del código fuente
en manos de un tercero.
Determinar hasta qué punto puede exigirse el cumplimiento por otro en caso de incumplimiento contractual.
20