Mancha EE

Diseño de un Plan de Continuidad Operativa para el proceso
del Área de archivo de la oficina de Sistemas para una

institución estatal, con base a la norma ISO/IEC 27031/2011
Item Type info:eu-repo/semantics/bachelorThesis
Authors Mancha Espinoza, Estefhany
Publisher Universidad Peruana de Ciencias Aplicadas (UPC)
Rights info:eu-repo/semantics/openAccess; Attribution-

NonCommercial-ShareAlike 4.0 International
Download date 31/07/2023 16:00:39
Item License http://creativecommons.org/licenses/by-nc-sa/4.0/
Link to Item http://hdl.handle.net/10757/659955

UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS
FACULTAD DE INGENIERIA
PROGRAMA ACADÉMICO DE INGENIERÍA DE REDES Y
COMUNICACIONES
Diseño de un Plan de Continuidad Operativa para el proceso del Área de archivo
de la oficina de Sistemas para una institución estatal, con base a la norma
ISO/IEC 27031/2011.
TESIS
Para optar el título profesional de Ingeniero de Redes y Comunicaciones
AUTOR(ES)
Mancha Espinoza, Estefhany (código 0000-0001-7563-4372)
ASESOR
Seminario García, Hernán (código 0000-0001-6971-355x)
Lima, 26 de febrero del 2022

II
DEDICATORIA
La presente tesis se lo dedico a mi familia con mucho cariño y amor, en especial a mi querida
madre por su perseverancia, por ser un gran ejemplo en mi vida a mejorar cada día para
conseguir cada uno de los objetivos y metas trazadas.
A mi compañero de vida por estar siempre presente y brindarme su apoyo moral.
A Dios que guía mi camino, para el todo mi esfuerzo y dedicación.

III
AGRADECIMIENTOS
A mis padres, familiares y compañero de vida que me ofrecieron su apoyo moralmente, para
seguir estudiando y lograr los objetivos trazados. Los esfuerzos mayores son las actitudes de
una persona que emplea un gran compromiso y determinación obtener algo. Asimismo, siempre
están acompañados de apoyos irreemplazables para lograr concretarlos.
A la Universidad Peruana de Ciencias Aplicadas, especialmente a la facultad de Ingeniería de

Redes y Comunicación, por brindarme de conocimientos académicos.
Finalmente, agradecer al Ingeniero Hernán Seminario, por su apoyo durante el desarrollo de la

tesis.
IV
RESUMEN
El presente proyecto de tesis está relacionado al diseño de un plan de continuidad operativa

para el proceso del área de archivo de la oficina de sistemas para una Institución Estatal;
asimismo este plan será diseñado en base a los estándares, recomendaciones de las buenas
practicas que permita proponer actividades que aprueben su recuperación ante posibles
amenazas o desastres.
En primer lugar, se tuvo que realizar un análisis de nuestra problemática de los procesos que se
realizan en el área de archivo, para luego evaluar los servidores y servicios de TI. En segundo
lugar, se brindará de información acerca de conceptos sobre temas relacionados a la continuidad
de procesos en el área de archivo. En tercer lugar, se explicará la definición del problema de
los procesos críticos a través de la elaboración del análisis de impacto al negocio y su posterior
análisis de riesgos. En cuarto lugar, se desarrollará el diseño de la solución y se elaborará la
política de continuidad basados en estrategias de recuperación y alternativas de solución.
Finalmente, se efectuará un plan de pruebas, resultados y validaciones de pruebas para evitar
pérdidas con la información y que puedan afectar al área de archivo de la oficina de sistemas.
Palabras claves: Plan de continuidad Operativa, Análisis de Impacto al Negocio, Análisis de

Riesgo, Estrategia de Recuperación y Alternativas de Solución.
V
Design of an operational continuity plan for the file area process of the systems office for a
state institution based on the ISO / IEC 27031/2011 standard.
ABSTRACT
This thesis project is related to the design of an operational continuity plan for the process of
the file area of the systems office for a State Institution; Likewise, this plan will be designed
based on the standards, recommendations of good practices that allow proposing activities that
approve its recovery in the face of possible threats or disasters.
In the first place, an analysis of our problems of the processes that are carried out in the file
area had to be carried out, in order to later evaluate the servers and IT services. Second,
information will be provided about concepts on issues related to the continuity of processes in
the file area. Thirdly, the definition of the problem of the critical processes will be explained
through the elaboration of the business impact analysis and its subsequent risk analysis. Fourth,
the design of the solution will be developed and the continuity policy based on recovery
strategies and solution alternatives will be elaborated. Finally, a plan of tests, results and test
validations will be carried out to avoid losses with the information and that may affect the file
area of the systems office.
Keywords: Operational Continuity Plan, Business Impact Analysis, Risk Analysis, Recovery
Strategy and Solution Alternatives.
VI
TABLA DE CONTENIDOS
1 CAPITULO 1: ASPECTOS INTRODUCTORIOS ........................................................... 1
1.1- INTRODUCCIÓN ....................................................................................................................................... 1

1.2 ORGANIZACIÓN OBJETIVO .................................................................................................................... 2
1.2.1- Campo de acción ....................................................................................................... 3
1.3 IDENTIFICADOR DEL PROBLEMA .......................................................................................................... 6
1.3.1 Situación Problemática............................................................................................... 7
1.3.2 Problema a Resolver .................................................................................................. 9
1.4 OBJETIVOS GENERAL Y OBJETIVOS ESPECÍFICOS ........................................................................... 9
1.4.1.- Objetivo General ...................................................................................................... 9
1.4.2.- Objetivos Específicos .............................................................................................. 9
1.4.3- Indicadores de Logro de los Objetivos ................................................................... 10
1.5.- JUSTIFICACIÓN DEL PROYECTO ....................................................................................................... 12
1.6.- ESTADO DEL ARTE: ............................................................................................................................ 12
1.6.1 Antecedentes de la continuidad del negocio ............................................................ 12
1.6.2.- Antecedente del Sistema de Continuidad de Negocio: .......................................... 13
2 CAPITULO 2: MARCO TEORICO ................................................................................. 39
2.2.- ISO 27031: GESTIÓN DE CONTINUIDAD DE NEGOCIO............................................................... 40

2.4.- NORMA ISO/IEC 22317................................................................................................................. 44
2.5 ANÁLISIS DE IMPACTO DE NEGOCIO (BIA): ................................................................................... 46
2.5.1 Objetivo de un Análisis de Impacto de Negocio (BIA): .......................................... 46
2.5.2 Metodología ............................................................................................................. 46
2.6.- METODOLOGÍA SCRUM ..................................................................................................................... 51
3 CAPITULO 3: ANALISIS DEL PROBLEMA ............................................................... 55
3.1.- ALCANCE .............................................................................................................................................. 55

3.2.- SITUACIÓN ACTUAL:.......................................................................................................................... 56
3.3.- IMPACTO DEL PROBLEMA EN LA INSTITUCIÓN ESTATAL .......................................................... 57
3.3.1.- Impacto Tecnológico ............................................................................................. 58
3.4.- CAUSAS ORIGEN DEL PROBLEMA ................................................................................................... 61
VII
3.5.- CONSECUENCIA DEL PROBLEMA ..................................................................................................... 63

3.6.- SOLUCIÓN AL PROBLEMA: ................................................................................................................ 64
3.7.- PROPUESTAS DE SOLUCIÓN: ............................................................................................................ 64
3.8.- REGISTROS DE INTERESADOS........................................................................................................... 66
3.9.- Cronograma - EDT .................................................................................................. 69
3.10.- EDT - MATRIZ DE REQUERIMIENTO PARA EL DISEÑO DE UN PLAN DE CONTINUIDAD
OPERATIVA .................................................................................................................................................... 72
3.11.- ANÁLISIS DE PROYECTO BIA......................................................................................................... 72
3.12.- ANÁLISIS DE IMPACTO DE NEGOCIO (BIA): .............................................................................. 73
3.13.- METODOLOGÍA .................................................................................................................................. 73
3.13.1.- Procedimiento de la Realización de las Acciones BIA: ..................................... 74
3.13.2.- Determinación de Procesos Críticos .................................................................. 101
3.13.3.- Determinación de los Servicios de TI en los Procesos de Ascensos y sus Recursos
Críticos en el Área de Archivo ............................................................................ 106
3.13.4.- Niveles de Servicio de los Procesos Críticos en el Área de Archivos ............... 108
3.13.5.- Informe del análisis BIA .................................................................................... 111
3.13.6.-Indicador de Logro OE1 ..................................................................................... 111
3.14.- ANÁLISIS DE RIESGO ..................................................................................................................... 114
3.14.1.- Metodología de Análisis y Tratamiento de Riesgos adaptado de ISO 27005: 2018
3.15 DESARROLLO DEL ANÁLISIS DE RIESGO ..................................................................................... 135
3.15.1.- Procesos y Servicios Críticos ............................................................................. 135
3.15.2.-Identificación de Amenazas ................................................................................ 136
3.15.3.- Análisis y Evaluación de Riesgos ...................................................................... 143
3.15.4.-Informe de análisis de riesgo .............................................................................. 160
3.15.5.- Indicador de Logro OE2 .................................................................................... 161
3.16.- MATRIZ DE REQUERIMIENTOS ..................................................................................................... 225
CAPITULO 4: ...................................................................................................................... 230
4.-DISEÑO DE LA SOLUCIÓN ......................................................................................... 230
4.1 INTRODUCCIÓN..................................................................................................................................... 230

4.2 POLÍTICA DE CONTINUIDAD DE NEGOCIO ..................................................................................... 231
4.3 EQUIPO DE TI PARA LA CONTINUIDAD EN LOS SERVICIOS CRÍTICOS DE TI .......................... 232
4.3.1 Estructura del Equipo de TI ................................................................................... 232
VIII
4.3.2 Actividades del Equipo de TI (Antes, Durante y Después) ................................... 234

4.4 ESTRATEGIAS DE RECUPERACIÓN: .................................................................................................. 238
4.4.1 Estrategias de Recuperación para Escenarios de Amenaza ................................... 238
4.4.2 Indicador de Logro OE3......................................................................................... 244
4.5 ALTERNATIVAS DE SOLUCIÓN .......................................................................................................... 245
4.5.1.- Matriz de Alternativas de Solución ..................................................................... 248
4.5.2.- Acciones a Considerar de las Alternativas de Solución ...................................... 253
4.5.3.- Indicador de logro OE4........................................................................................ 259
4.6.- PROPUESTA DE DISEÑO DE PLAN DE CONTINUIDAD ................................................................ 262
4.6.1.- Diseño de la propuesta de un Plan de Continuidad ............................................. 262
4.6.2.- Objetivo del plan de continuidad ......................................................................... 262
4.6.3.- Alcance ................................................................................................................ 263
4.6.4.- Estructura organizacional para afrontar plan de continuidad operativa............... 263
4.6.5.- Roles y responsabilidades .................................................................................... 265
4.6.6.- Plan de invocación de la emergencia ................................................................... 271
4.6.7.- Actividades a realizar antes, durante y después de una emergencia o interrupción de
un proceso y servicio de TI ................................................................................. 271
4.6.9.- Capacitación y entrenamiento de personal .......................................................... 274
CAPITULO 5: ...................................................................................................................... 287
5.1.- FLUJO DE TRABAJO PARA LA EVALUACIÓN Y VALIDACIÓN .................................................. 288

5.1.1 Descripción de los métodos de validación a aplicar: ............................................. 289
5.1.2 Descripción y ejecución de pruebas a realizar: ...................................................... 295
5.2 FASE DEL DESARROLLO DE PRUEBAS: ........................................................................................... 297
5.2.1.- Plan de Prueba Objetivos Específicos 1: ............................................................. 297
5.2.2. Fase de Plan de Pruebas ........................................................................................ 298
5.2.3. Fase de preparación de las pruebas ....................................................................... 301
5.2.4. Fase de ejecución de pruebas ................................................................................ 301
5.2.5. Fase de Evaluación ................................................................................................ 309
5.2.6. Plan de mejora ....................................................................................................... 309
5.3.- PLAN DE PRUEBAS OBJETIVO ESPECIFICO 2 ............................................................................... 310
5.3.1 Fase de planeación de las pruebas .......................................................................... 311
5.3.2 Fase de Preparación de las pruebas ........................................................................ 315
5.3.3 Fase de ejecución de pruebas ................................................................................. 315
IX
5.3.4 Fase de Evaluación ................................................................................................. 317

5.3.5 Plan de mejora ........................................................................................................ 318
5.4 PLAN DE PRUEBA OBJETIVO ESPECIFICO 3 ................................................................................... 318
5.4.5 Plan de mejora ........................................................................................................ 329
5.5.5 Mejora Continua..................................................................................................... 336
6.5.4 Fase de Evaluación de los resultados .................................................................. 377
6.5.5 Plan de mejora ........................................................................................................ 377
6 CONCLUSIONES Y RECOMENDACIONES .............................................................. 379
6.1 CONCLUSIONES: ................................................................................................................................... 379

6.2 RECOMENDACIONES ........................................................................................................................... 380
7 REFERENCIAS ................................................................................................................ 382
ANEXOS: .............................................................................................................................. 383

X
ÍNDICE DE TABLAS
Tabla 1: Indicadores o mecanismo del logro de los Objetivos ................................................ 10

Tabla 2: Antecedente de la norma ISO/IEC 22301 .................................................................. 14
Tabla 3: Clausulas de las normas ISO 22301 ........................................................................... 18
Tabla 4: Normas relacionadas en la Implementación de la continuidad del negocio .............. 20
Tabla 5: Normas Técnicas ........................................................................................................ 21
Tabla 6: Instituciones Certificadoras relacionada con la Continuidad de Negocio ................. 21
Tabla 7: Empresas Certificadoras ............................................................................................ 28
Tabla 8: Planeación Estratégica ............................................................................................... 30
Tabla 9: Acciones BIA ............................................................................................................. 47
Tabla 10: Roles y Responsabilidades BIA ............................................................................... 48
Tabla 11: Niveles de proceso .................................................................................................. 50
Tabla 12: Registros de Interesados........................................................................................... 66
Tabla 13: Requisitos de las partes interesadas ......................................................................... 67
Tabla 14: Cronograma EDT ..................................................................................................... 69
Tabla 15:Acciones BIA ............................................................................................................ 73
Tabla 16: Roles y Responsabilidades BIA ............................................................................... 77
Tabla 17: Roles BIA ................................................................................................................. 78
Tabla 18: Niveles de proceso .................................................................................................. 81
Tabla 19: Funciones de Procesos del Área de Archivos de la Oficina de Sistemas ................ 83
Tabla 20: Criterios de evaluación de procesos ......................................................................... 89
Tabla 21: Matriz de determinación de procesos críticos y niveles de impacto ........................ 92
Tabla 22: Procesos Críticos ...................................................................................................... 95
Tabla 23: Recursos y registros vitales ...................................................................................... 96
Tabla 24: Matriz de niveles de servicios de TI y los procesos ................................................. 98
Tabla 25: Procesos de la Organización .................................................................................... 99
Tabla 26: Matriz de determinación de procesos críticos y niveles de impacto ...................... 102
XI
Tabla 27: Procesos Críticos .................................................................................................... 106

Tabla 28: Recursos y registros vitales .................................................................................... 107
Tabla 29: Matriz de niveles de Procesos de Servicios ........................................................... 108
Tabla 30:Fases de la Gestión de Riesgos ............................................................................... 116
Tabla 31: Categorías de activos de Información .................................................................... 119
Tabla 32:. Clasificación de activos de información ............................................................... 120
Tabla 33: Frecuencia de uso de activos de información ........................................................ 120
Tabla 34: Escala de Valor de activos ..................................................................................... 121
Tabla 35: Esquema de Valorización Final de Activos de Información. ................................. 122
Tabla 36: Tipos de Vulnerabilidades ..................................................................................... 126
Tabla 37: Tipos de Amenazas ................................................................................................ 128
Tabla 38:Probabilidad de Ocurrencia del riesgo .................................................................... 130
Tabla 39: Impactos en el riesgo.............................................................................................. 131
Tabla 40: Criterios de Valoración de la magnitud de riesgo .................................................. 134
Tabla 41: Matriz de riesgos .................................................................................................... 135
Tabla 42: Escala de valoración de los Procesos y Servicios críticos ..................................... 136
Tabla 43: Identificación de amenazas .................................................................................... 137
Tabla 44: Vulnerabilidad y Controles actuales ...................................................................... 140
Tabla 45: Análisis y Evaluación de Riesgos .......................................................................... 143
Tabla 46: Clasificación de Riesgos Críticos .......................................................................... 157
Tabla 47: Indicador de Logro 02 ........................................................................................... 161
Tabla 48: Matriz de requerimientos de objetivos específicos ................................................ 225
Tabla 49: Organigrama del Equipo de TI............................................................................... 233
Tabla 50: Equipo de TI para los servicios críticos de TI ....................................................... 234
Tabla 51: Matriz de estrategias de recuperación .................................................................... 239
Tabla 52: Indicador de logro OE3 .......................................................................................... 245
Tabla 53: Tiempo para la implementación de las alternativas de solución ............................ 246
Tabla 54: Niveles de costos para las alternativas de solución ................................................ 246
Tabla 55: Alternativas de Solución ........................................................................................ 248
Tabla 56: Indicador de logro OE4 .......................................................................................... 259
Tabla 57: Niveles de tiempo de implementación requerido ................................................... 260
XII
Tabla 58: Nivel de inversión requerido .................................................................................. 261

Tabla 59: Directorio del Comité de Continuidad de Servicios de TI ..................................... 264
Tabla 60: : Especificación de cumplimiento de la matriz de requerimientos ........................ 278
Tabla 61: Validación de los Objetivos ................................................................................... 291
Tabla 62 Métricas de Indicadores de Logro: .......................................................................... 293
Tabla 63: Plan de Pruebas para Objetivos Específicos 1 ....................................................... 297
Tabla 64: Matriz de un Plan de Pruebas P-OE1-01 ............................................................... 298
Tabla 65: Universo de usuarios para prueba P-OE1-1 ........................................................... 303
Tabla 66: Procesos críticos según encuesta de prueba ........................................................... 308
Tabla 67: Servicios de TI de Soporte a los procesos críticos ................................................. 309
Tabla 68: Indicador de logro y métrica del Objetivo Especifico 2 ....................................... 310
Tabla 69: Matriz de Plan de Pruebas para el Objetivo Especifico 2 ...................................... 313
Tabla 70: Escenarios de amenaza con riesgo alto .................................................................. 316
Tabla 71: Lista de causas, amenazas y vulnerabilidades ....................................................... 317
Tabla 72: Indicador de logro y métrica del Objetivo Especifico 3 ........................................ 318
Tabla 73: Matriz de un Plan de Pruebas P-OEIII-01 ............................................................. 319
Tabla 74: Matriz de Plan de pruebas P-OE3-02 ..................................................................... 322
Tabla 75: Tiempos de recuperación del servicio de TI de prueba P-OE3-01 ........................ 328
Tabla 76: Tiempos de recuperación del servicio de TI de prueba P-OE3-02 ........................ 329
Tabla 77:Indicador de logro y métrica del Objetivo Especifico IV ....................................... 330
Tabla 79: Costos y tiempos de implementación de las alternativas de solución.................... 333
Tabla 80: Análisis costo beneficio de alternativa A04 ........................................................... 333
Tabla 81: Cronograma para el Diseño de continuidad de Negocio. ....................................... 335
Tabla 82:Indicador de logro y métrica del Objetivo Especifico V ........................................ 337
Tabla 84: Servicios básicos de Red ........................................................................................ 341
Tabla 85: Posibles Amenazas en el área de archivo de la Oficina de Sistemas ..................... 343
Tabla 86: Matriz de Vulnerabilidades y controles en general ................................................ 346
Tabla 87: Vulnerabilidad y Controles actuales ...................................................................... 352
Tabla 88: Escenarios de amenazas evaluados ........................................................................ 355
Tabla 89: Nivel de criticidad .................................................................................................. 358
XIII
Tabla 90: Procesos críticos y niveles de impacto: .................................................................. 359

Tabla 91: Procesos Críticos más importante del área de archivo de la oficina de sistemas ... 362
Tabla 92: Niveles de servicios de TI y los procesos (MTPD,RTO,RTO y WRT)................. 363
Tabla 93: Encuesta Solicitada en el Área de Archivo ............................................................ 365
Tabla 94: Matriz de Recursos y Registros Vitales : ............................................................... 366
Tabla 95: Matriz de Alternativa de Solución ......................................................................... 374
XIV
ÍNDICE DE FIGURAS
Figura 1: Organigrama de la Oficina de Sistemas de la Institución Estatal .............................. 5

Figura 2: Organigrama Especifico del Área de Sistemas de la Institución Estatal ................... 5
Figura 4: Ciclo Deming aplicado a la continuidad de Negocio: ............................................. 18
Figura 5: ISO 22301: 2019 Estructura de la cláusula (4-10)................................................... 19
Figura 6: Matriz de Relación entre la ISO 27001 y la ISO 22301 .......................................... 24
Figura 7: Evolución de iniciativas orientadas a fortalecer la gestión del riesgo operacional . 39
Figura 8: Diagrama de proceso BIA ....................................................................................... 48
Figura 9: Flujo de Scrum ......................................................................................................... 54
Figura 10: Tabla de poder – interés ......................................................................................... 69
Figura 11: Proceso de Análisis de Impacto en el Negocio ...................................................... 74
Figura 12: Diagrama de Proceso de Entrada y Salida BIA ..................................................... 75
Figura 13: Matriz FODA ......................................................................................................... 76
Figura 14: Clasificación de los procesos ................................................................................. 81
Figura 15: Mapa de Procesos .................................................................................................. 87
Figura 16: Metodología de riesgo: ISO 27005: 2018 ............................................................ 115
Figura 17: Grafico de Niveles de Riesgos ............................................................................. 162
Figura 18: Matriz de Probabilidad Vs. Impacto ................................................................... 162
Figura 19: Estructura organizacional de Comité de Continuidad ......................................... 263
Figura 20: Encuesta en forma física y por correo electrónico ............................................... 302
Figura 21: Pregunta 1 de encuesta de prueba ........................................................................ 304
Figura 24: Pregunta 10 de encuesta de prueba ...................................................................... 306
Figura 28: Flujo Escenario de amenaza en retrospectiva ...................................................... 311
Figura 29: Propuesta para el análisis de Riesgo .................................................................... 340
Figura 30: Escenarios de amenazas evaluados ...................................................................... 351
XV
Figura 31: Metodología del IBA .......................................................................................... 357

Figura 32: Niveles de Criticidad ........................................................................................... 364
1
1 CAPITULO 1: ASPECTOS INTRODUCTORIOS
1.1- Introducción
La continuidad de negocio es un elemento fundamental en las organizaciones. En la actualidad

la continuidad de negocio se está enfocando principalmente a responder incidentes. Por lo tanto,
la continuidad de negocio tiene como función identificar las posibles mejoras de las tecnologías
de la comunicación e información en las empresas. Asimismo, este plan es de gran importancia
para cumplir con todas las expectativas comerciales. tales como; proporciona las pautas
necesarias para poder reactivar rápidamente la actividad en caso ocurra un evento inesperado
en el ámbito de las TIC. Esta al estar preparada reduce el impacto que tendrá la organización,
tanto económico, como reputacional. El desarrollo del análisis del impacto para el negocio
(BIA) y el análisis de riesgos son la base para el desarrollo de un plan de continuidad del
negocio. Es decir, el BIA permite establecer qué procesos son esenciales para el plan de
continuidad de las operaciones y calcular su posible impacto, mientras que el análisis de riesgos
permite conocer los riesgos a los que está expuesto para su posterior tratamiento.
Para diseñar un plan de continuidad operativa para el área de archivo de la oficina de sistemas
se debe tener en cuenta el proceso continuo que cuente la institución, cabe mencionar que
existen muchas empresas públicas y privadas donde las tecnologías adquiridas suelen ser
obsoletas, el cual no se realizan un aprovechamiento de la tecnología. Por otro lado, el área de
archivo es el lugar donde se almacenan y se tiene mantienen en custodia información
clasificadas de todo su personal; tomando la realidad de caso la Institución Estatal se propone
poner en práctica procedimientos de los procesos para la continuidad operativa que resguarden
el cuidado de los datos personales, las actividades de los procesos, contra eventos de desastres
y de las posibles consecuencias que de ellos deriven, producto de la no disponibilidad de los
recursos de la organización para la prestación de sus servicios en los procesos. Este presente
proyecto, se dirige en resguardar la información de los procesos principales de esta institución
siguiendo la norma ISO/ IEC 27031/2011.
La institución Estatal presenta deficiencias en las áreas de archivos; cuenta con diversas áreas
de archivos, así como libros de legajos.
El problema principal radica con la pérdida de documentación, deterioro de documentos de los

libros de legajo correspondiente de cada personal. Es por ello la razón principal por lo que se
2
realiza este proyecto con la finalidad permitir a la Institución Estatal de seguir desempeñando
sus actividades críticas a un nivel aceptable predefinido como analizar los riesgos durante los
proceso de selección del personal, y brindar una solución de mejora de llevar a cabo los
diferentes procesos (ascensos del personal profesional y/o CAS, renovaciones de contratos,
cursos, calificaciones, estudios de capacitación a nivel institucional y/o extra institucional ),
conservación de las documentaciones y la confidencialidad de la información. En efecto, la
posibilidad de realizar la implementación y la certificación de un Plan de Continuidad
Operativa, la institución obtendrá una ventaja respecto a otras entidades, ya que, al asegurar la
continuidad operativa de sus procesos y actividades, incrementa su reputación, prestigio e
imagen frente a los ciudadanos.
Riesgos a analizar en el área de archivo:
COSTO:
- Reducción de costos
- Crecimiento institucional
NORMATIVA:
- Normas legales (orden interna)
- Cumplimiento normativo gubernamental
1.2 Organización Objetivo
La oficina de sistemas de la Institución Estatal, cual tiene como objetivo principal de resguardar
el área de archivo donde se encuentra todas las informaciones de forma física del personal y de
velar por la continuidad de negocio de la institución. Además, tiene como objetivo controlar,
verificar y emitir los diferentes certificados y reportes del personal de esta institución.
El área de archivos se encuentra ubicado dentro de la oficina de sistemas, tiene como objetivo
de controlar, verificar y archivar la documentación oficial en cada uno del personal de la
Institución Estatal. Asimismo, el orden cronológico debidamente foliado, firmado, velar por la
seguridad y custodia de dicha información, llevando un control del traslado de los documentos
3
para los diferentes procesos que se realizan anualmente. Los amenazas y vulnerabilidades que
se encuentra en el área de archivo son los siguientes: historial de datos personales y familiares,
tales como: actas de nacimientos, lugar de domicilio, antecedentes policiales, antecedentes
penales, registro de familiares, lugar de origen, sanciones, notas semestrales, felicitaciones,
cursos, calificaciones, informaciones médicas, capacitaciones, traslados, resoluciones, juntas
administra, reconocimiento de goces y derechos, ascensos, condecoraciones. De la misma
forma, el área de archivo se encarga de emitir los certificados de tiempo de servicio del personal
del estado en actividad y personal en retiro. Los certificados que se realizan para el personal
que se encuentra en laborando y a los que se encuentra en la situación de retiro son: constancia
de trabajo, servicios prestados al estado, cese de Funciones, antecedentes laborales.
El presente proyecto se diseñará un Plan de continuidad Operativa para el proceso en el área de

archivo de la oficina de sistemas para realizar el análisis de riesgo en los diferentes procesos
que permitirá la recuperación ante posibles amenazas o desastres naturales como la pandemia
actual sobre el coronavirus entre otros. Basados en la norma ISO/ IEC 27031/2017 se evaluará
el estado actual de los procesos vinculados con la continuidad operativa en los procesos,
realizándose un análisis de riesgo para identificar y llevar a cabo el desarrollo del proyecto a
generar. La norma ISO/ IEC 27031/2011 se realizará con el fin de identificar de impactos ante
las posibles amenazas o desastres que pueden poner en peligro la continuidad y, además,
obtener con una respuesta que asegure la operatividad de dichos procesos para afrontar
situaciones ante las urgencias específicas que se presenten.
1.2.1- Campo de acción
La Institución Estatal cuenta con una sede operativa que se encuentra localizado en la Lima. La
sede principal ubicada en lima, donde se encuentra los colaboradores con el personal
administrativo y operadores de la tecnología de la información; las cuales hacen participe para
que se lleve a cabo la continuidad operativa de los procesos. Los documentos en el área de
archivo de la oficina Sistemas de la Institución Estatal se encuentra basado con la norma ISO/
IEC 27031/2011. Así mismo se dispone de espacio de uso compartido y exclusivo donde se
lleva el control y administración de los documentos de los datos personales del personal de la
institución. Es en este espacio donde la institución se encarga de recaudar y almacenar las
informaciones de forma física de cada personal de la institución.
4
El área de archivos cuenta con cuatro compartimentos basados a sus respectivos grados del
personal del estado como grado profesional, grado técnico profesional, personal CAS, grado
profesional practicantes.
Las funciones del área de archivos en la oficina de sistemas son:
- Controlar, archivar y custodiar las documentaciones de los datos personales y

especialidades del personal integrante de la Institución Estatal en las diferentes áreas de
archivo, en orden cronológico y debidamente firmado.
- Atender los requerimientos de préstamos de los documentos con sus respectivos archivos
personales, debiendo inventariar cada documentación que contenga dicho legajo.
- Llevar el control del envío de la documentación en sus respectivos legajos del personal de
la institución, para su custodia correspondiente.
- Apertura de los documentos personales con su respectivo libro de legajo y especialidades

de los nuevos personales que labora en la Institución Estatal.
Los procesos que se realizan en el área de archivo de la Oficina de Sistemas son:
- Proceso de registros e identificación del personal de la institución
- Proceso de Evaluación Profesional de ascenso del personal de la Institución

5
Figura 1: Organigrama de la Oficina de Sistemas de la Institución Estatal

Fuente : Elaboracion Propia
Figura 2: Organigrama Especifico del Área de Sistemas de la Institución Estatal

Fuente : Elaboracion Propia
6
ARQUITECTURA DE RED SEGURA DE LA INSTITUCION ESTATAL
Figura 3: Arquitectura de Red Segura de la Institución Estatal

Fuente: Elaboración Propia
1.3 Identificador del Problema
La Institución Estatal actualmente cuenta con el área de archivo de oficina de Sistemas la cual
tiene como función organizar, distribuir, supervisar, y dirigir las actividades de información
recepcionada; verificar la información de la base de datos del sistema de personal, así como,
mantener y conservar el control físico de los documentos y tarjetas personales, notas
semestrales y conceptos, direcciones domiciliarias y declaraciones juradas de bienes de renta,
7
llevar a cabo el control y de ejecutar las acciones administrativas referentes a las plantas
orgánicas de las unidades.
La oficina de sistemas es el lugar donde se almacena y custodia los activos de información en

toda los servidores de la Institución Estatal y se encarga de remitir información para llevar a
cabo los diferentes procesos operativos (ascensos del personal de las diferentes sedes) para las
áreas correspondientes, es en esta área donde se custodia los documentos en el área de archivos
del personal, a su vez la oficina de sistemas brinda servicio, procesos, e información física sobre
los requerimientos de las diferentes entidades del estado.
Las funciones del área de archivos es salvaguardar la seguridad de la información y mantener

la privacidad de los datos de usuario, optimizar el rendimiento y sintonía del sistema operativos,
gestionar las cuentas de usuario y asignar de recursos a las mismas, respaldar la información
mediante copias de seguridad periódica, realizar mantenimiento correctivo, preventivo en los
equipos, instalar, configurar y dar mantenimiento a los servicios, tener control del sistemas de
inventario de todos los activos informáticos.
1.3.1 Situación Problemática
El área de archivo de la oficina de sistema de la institución Estatal, con el transcurso de los años
ha incrementado considerablemente. Por lo tanto, este incremento ha traído consigo que la
Institución estatal y sus sistemas de Tecnología de información estén expuesto a la
identificación de impacto ante posibles amenazas o desastres. Por consiguiente, en los últimos
diez años el área de archivo de la oficina de sistemas en una Institución Estatal, basado en la
norma ISO/ IEC 22301/2019 ha tenido que enfrontar los siguientes problemas:
- No cuenta con un Plan de Continuidad Operativa que gestione riesgos y eventos que
se incurren continuamente en los procesos sin cumplir los niveles.
- No cuenta con un registro o acta de incidencia donde le permita se comprometa a

establecer, planificar, diseñar la continuidad de negocio.
- No se evidencia procesos o documentación que evidencien identificación de riesgos,

no se identifican responsables de los riesgos, ni evaluaciones.
8
- Falta de niveles de atención de los servicios en los incidentes de los procesos

operativos; en muchas ocasiones no se cuenta con personal especializado.
- Falta de control y supervisión de los traslados solicitados por el personal y/o su retorno
al área de archivo, durante el proceso de solicitud de información de un personal, esta
solicitud es recepcionada y derivado al personal encargado de archivo para su
ubicación. Esto puede demorar días, semanas, meses e incluso años. Una vez ubicado
el documento del personal esto se deriva a la oficina de atención al usuario en la cual
no es supervisada, controlada su retornó al área de archivo.
- Ausencia de políticas e implementación de controles, medidas necesario para

resguardar los activos de información tales como documentos, personas, imagen y
reputación hace que la información de la institución sea muy vulnerable y sensible
pérdida frente a las diversas amenazas físicas existentes.
- Alta rotación del personal de la institución Estatal a cargo del área de archivo, esto
suele reflejarse por la falta de experiencia y capacitación técnica en el tratado de la
información para el área.
- Desconocimientos de regulaciones de normativas sobre continuidad de negocio,

riesgos, amenazas en los folios de legajos del personal de la institución estatal.
- Deterioro y/o perdida de documentación que se trabaja en la institución, en el proceso

de ascenso del personal de la Institución Estatal, cada año se rotan más de 6 mil libros
de legajos físico para su revisión y verificación de su foja de su trayectoria de vida del
personal de la institución estatal en las áreas correspondiente de llevar a cabo dicho
proceso de ascenso del personal de la Institución Estatal.
- Desastres naturales (Pandemia COVID 19, terremotos, inundaciones, etc.)
- Estructurales (incendios, cortes de electricidad, refrigeración, comunicaciones, etc.)
- Personal (Errores y ataques del personal interno, externo, etc.)
- Riesgo contra el patrimonio (robo, no intencionada de activos)
- Perdida de documentación de los archivos de legajos del personal de la institución.
- Otros riesgos (confianza del personal, imagen de la institución, seguros)

9
1.3.2 Problema a Resolver
No cuenta con un plan de continuidad operativa para los procesos, como lineamientos basados
a metodologías obsoletas, y/o desactualizada a la necesidad del mismo, para responder
oportunamente ante incidentes que afecten sus procesos y sus recursos.
1.4 Objetivos General y Objetivos Específicos
1.4.1.- Objetivo General
Diseñar un Plan de Continuidad Operativa para el proceso del área de archivo de la oficina
sistemas para una institución estatal con base en la norma ISO/ IEC 27031/2011, para proponer
actividades que permitan su recuperación ante posibles desastres naturales como la pandemia
actual sobre el coronavirus.
1.4.2.- Objetivos Específicos
a) Desarrollar un Análisis de Impacto al Negocio (BIA) que permita determinar los procesos y
servicios más relevantes para la organización en base a la norma ISO/ IEC 22317/2015.
b) Elaborar un Análisis de Riesgos que permita determinar los posibles escenarios de amenazas o
desastres que podrían afectar la continuidad operativa de las actividades que realiza el área de
archivos de la oficina de sistemas para una Institución Estatal en base la norma ISO/ IEC
27005/2018.
c) Definir las estrategias de recuperación de desastres que permitirán cumplir con los objetivos de
recuperación establecidos por el área de archivos de la oficina de sistemas para una Institución
Estatal.
d) Determinar las alternativas de solución de recuperación más adecuadas para cada estrategia
establecida para el área de archivo de la oficina de Sistemas de una institución estatal.
e) Propuesta de diseño del plan de continuidad operativa que permita consolidar los procesos,
recursos, tecnología y formación del personal requerido para iniciar el desarrollo e
implementación del plan de continuidad operativa.
1.4.3- Indicadores de Logro de los Objetivos
Tabla 1: Indicadores o mecanismo del logro de los Objetivos

11
Fuente 1: Elaboración Propia

1.5.- Justificación del Proyecto
La justificación de este proyecto se basa en diseñar un Plan de Continuidad Operativa para el

proceso del área de archivo de la Oficina de sistemas para una institución estatal, la cual tiene
como finalidad identificar los impactos antes posibles amenazas o desastres que pueden poner
en peligro la continuidad operativa para los procesos para así afrontar situaciones de urgencias
definidas.
- Este sistema de un plan de continuidad operativa mejorar las líneas estratégicas y

compromiso de la institución para asegurar la continuidad operativa de los procesos a
unos determinados niveles que se consideraran como la recuperación mínima viable.
- Al contar con un análisis de impacto para el negocio permitirá conocer los riesgos de
las instalaciones desde un punto de vista de continuidad operativa (posterior al
incidente).
- Este Plan de continuidad operativa permitirá reducir /minimizar el tiempo de disrupción

de las actividades críticas en los procesos que se realizan en el área de archivo.
- Facilidad de trabajo del personal de TI debido a que estarán preparados y capacitados;

asimismo este plan ayudara a identificar más claramente los riesgos potenciales a los
que pueda ser vulnerable
1.6.- Estado del Arte:
El análisis del estado de arte que he realizado es sobre un Diseño de un plan de Continuidad
Operativo. Dentro del área de archivo, he revisado diferentes tecnologías empresariales.
1.6.1 Antecedentes de la continuidad del negocio
La Continuidad de Negocio es un elemento esencial para la institución estatal ya que

proporciona la identificación de procesos críticos que eventualmente podrían incidir en la
continuidad de la institución. El presente proyecto de investigación ayudara a la Dirección
13
del área de sistemas de la Institución Estatal basándose en una guía de metodología para la
gestión de riesgos en los procesos con la continuidad operativa, con la posibilidad de mejorar
la imagen corporativa de la institución tanto interna como externa. Asimismo, ayudara a
maximizar la resiliencia de los servicios de las TIC`s de tal forma que puedan recuperarse a
niveles predeterminados en los plazos requeridos y acordados por la institución. En efecto, el
área de archivo está conformada con un área de registros que facilita la labor de determinar
el impacto de los riesgos de términos económicos, necesitando considerase en la mayoría de
los casos una serie de matrices de los riesgos en términos cualitativos. Es imprescindible que
la Institución Estatal en el área de Archivo de la Oficina de Sistemas registren los incidentes
de impactos de amenazas y vulnerabilidades con el fin de dar mayor confidencialidad y
mejorar los resultados en el ciclo de vida del análisis de riesgos.
1.6.2.- Antecedente del Sistema de Continuidad de Negocio:
1.6.2.1 Historia
La norma ISO 22301 surge como resultado de una evolución de lineamientos, buenas prácticas
y estándares de continuidad de negocio. Continuación en la siguiente tabla se detalla dicha
evolución.
14
Tabla 2: Antecedente de la norma ISO/IEC 22301

15
1.6.2.2 Definiciones de la norma ISO 22301
Gestión de continuidad del negocio (GCN): Proceso de gestión holístico que identifica las
amenazas potenciales para la organización, así como el impacto en las operaciones del negocio
que dichas amenazas, en caso de materializarse, pueda causar, y que proporcione un marco
para aumentar la capacidad de resistencia o resiliencia de la organización para dar una respuesta
eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la
marca y las actividades de creación de valor (Germain & Lachapelle, 2012).
16
Sistema de Gestión de la Continuidad del Negocio (SGCN): Parte del sistema de gestión global
que establece, implementa, opera, supervisa, revisa, mantiene y mejora la continuidad del
negocio. Plan de Continuidad del Negocio (PCN): Procedimientos documentados que orientan
a las organizaciones a responder, recuperar, reanudar, y restaurar a un nivel predefinido de
funcionamiento tras una interrupción.
1.6.2.3 Familia de Normas ISO/IEC 22301
La serie de normas ISO 22300 están conformados por:

17
1.6.2.4 Sistema de Gestión de PDCA del Plan de Continuidad de Negocio
La ISO 27031 también se basa en las conclusiones del Análisis de Impacto Empresarial (BIA)
desarrolladas y aprobadas como parte de un plan de continuidad más amplio para una
organización.
En el plan de continuidad de negocio, el sistema de gestión de PDCA, se detalla de la siguiente

manera.
Ciclo del PDCA (Plan, Do, Checa, Act)
Es un modelo para la planificación, establecimiento, implementación, operación,

supervisión, revisión y mantenimiento de la mejora continua de la eficacia de un BCMS
de la organización. En la figura 4 se visualiza los componentes y procesos de sus
acciones
18
Figura 3: Ciclo Deming aplicado a la continuidad de Negocio:

Fuente 5:Norma ISO 22301
1.6.2.5 ISO 22301: 2019 Estructura de la cláusula (4-10)
Tabla 3: Clausulas de las normas ISO 22301

19
Figura 4: ISO 22301: 2019 Estructura de la cláusula (4-10)

20
Fuente 7: Norma ISO 22301:2019
1.6.2.6 Normas relacionadas con la Continuidad del Negocio
Tabla 4: Normas relacionadas en la Implementación de la continuidad del negocio

21
1.6.2.7.- Normas Técnicas
Tabla 5: Normas Técnicas
1.6.2.7.- Instituciones de la Continuidad del Negocio
Tabla 6: Instituciones Certificadoras relacionada con la Continuidad de Negocio

22
23
24
Fuente 9:Elaboración Propia
1.6.2.8.- ISO/IEC 27001 / 27002 - Relación entre la ISO 27001 y la ISO 22301
Es la norma internacionalmente reconocida para la Gestión de Seguridad de la Información

(ISO 27001) y su Código de Práctica (ISO 27002), los dos contemplan la continuidad de
negocio como un elemento clave dentro de la gestión de la seguridad de la información. Tiene
como fin, contrarrestar interrupciones en las actividades empresariales y en los procesos
críticos de negocio derivados de fallos importantes en los sistemas de información y garantizar
su reanudación.
En la siguiente figura se muestra la relación entre la gestión de Riesgos de la ISO27001 y la

Gestión de Continuidad de Negocio de la ISO/IEC 22301.
Figura 5: Matriz de Relación entre la ISO 27001 y la ISO 22301

Fuente: http://normaiso22301.com/integracion-iso-22301-con-iso-27001/
25
1.6.2.9.- Continuidad del Negocio en Épocas de Coronavirus:
En estos momentos de crisis algunos procedimientos de contingencia pasaron a ocupar el

primer lugar reemplazaron a los procesos estándar y que al reemplazaron aparecen nuevos
riesgos y aparecen distintos impactos los administradores ricos se ven bastante atareados en
lograr mantener la gestión tanto del sistema de continuidad como el sistema de gestión de
riesgos para poder mantener los estándares de calidad eficiencia seguridad y protección de sus
actividades. (coronavirus., pág. 2020)
Fue un antes y después respecto a la teoría que estableció en Nassim Nicholas taleb si vemos
lo que dice “Un cisne negro es un evento altamente improbable con tres características
principales: es impredecible; es masivo; y, después de que sucedió, es nuestro deseo hacer que
parezca menos aleatorio y más predecible de lo que era. El asombroso éxito de google fue un
cisne negro; el 11 de setiembre también lo fue”
En el 2014 “Barack Obama, presidente de estados Unidos entre 2009 y 2017. Dijo “Puede
ocurrir y probablemente puede que llegue un momento en el que nos tengamos que enfrentar a
una enfermedad mortal dentro de cisco o 10 años.
En el 2015, Bill Gates, cofundador de Microsoft “Si algo va a matar a más de diez millones de
personas en las próximas décadas será un virus muy infeccioso, mucho más que una guerra.
No habrá misiles sino microbios y no estamos preparados. “la gran conclusión para el mundo
es que simplemente no está listo”, Amigos esta es una epidemia en rápido aumento en
diferentes lugares que tenemos que enfrentar súper rápido para prevenir una pandemia”, dijo
el Dr. Bruce Aylward, médico y experto en salud pública de la organización Mundial dela
salud, pocas horas después de desembarcar en Ginebra de su viaje a china el 25 de febrero de
2020.
- Al inicio de la crisis solo el 40% de las empresas consultadas habían desarrollado un

plan de Continuidad del Negocio.
- Solo el 18% de las empresas desarrollaron un Plan de Continuidad del Negocio para los
10 principales riesgos.
- El 56% de las empresas que tenía un SGCN no había sido diligente con los ejercicios y
pruebas de sus planes en los últimos 12 meses.
26
- El 60% de las empresas que desarrollaron un Plan de Continuidad del Negocio el mismo
es sostenible solo para el corto plazo.
1.6.3.0 La norma ISO 22301:2019 y la Interrupción de la actividad económica en muchos
sectores a causa del COVID-19
La ISO 22301 es una normativa internacional para Sistemas de Gestión de la Continuidad del
Negocio (SGCN). Fue establecida después de la gran demanda internacional que obtuvo el
estándar británico BS 25999-2 del año 2007. (Germain & Lachapelle, 2012)
La principal función es proporcionar un marco de actuación para que las empresas puedan
mitigar el daño que una situación de emergencia puede llegar a causar. Las organizaciones que
ya tenían establecida una política de continuidad, han podido prevenir, responder y operar de
nuevo más rápidamente. Un ejemplo muy reciente es la interrupción de la actividad económica
en muchos sectores por culpa del Covid-19.
1.6.3.1 SGSI Gestión de Continuidad de Negocio - INTECO
El negocio de una empresa necesitara de la información y los sistemas que la soportan. Por
ello, hay que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra
información.
Cuando una organización implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es
reducir sus riesgos y evitar posibles incidentes de seguridad.
Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en
materia de seguridad de la información.
- Las fallas eléctricas causan el 90% de los incendios. Los problemas más comunes por
los que se produce este tipo de siniestros son: la utilización de materiales no adecuados,
un cálculo erróneo del sistema o contratar electricistas sin información técnica.
- El 43% de las empresas estadounidense que sufren un desastre, sin contar con un Plan
de Continuidad del Negocio, no se recuperan.
27
- El 51% sobrevive, pero todo un promedio de dos años en reinsertarse en el mercado y

solo el 6 % mantiene su negocio a largo plazo.
- El 30% de las copias de seguridad y el 50% de las restauraciones fallan, según un

informe de Enterprise Strategy Group.
Durante este estudio muchos departamentos de tecnología de la información reconocían no

estar seguros de ser capaces de recuperar los datos críticos del negocio y si podrían hacerlo en
un tiempo razonable.
1.6.3.2 ISO 22301 Continuidad del Negocio frente al COVID – 19
La Norma ISO 22301 Continuidad del Negocio, presenta los pasos y pautas a seguir para
determinar el mejor plan de contingencia dentro de cualquier empresa y así, poner en marcha
toda su actividad productiva luego de superar cualquier incidente como lo es el COVID-19 en
la actualidad.
Con independencia del sector económico donde se desarrolle su actividad, lo cierto es que cada
vez son más los agentes externos que pueden llegar a condicionar el correcto funcionamiento
de la operación normal de la compañía y es precisamente ese plan de continuidad del negocio
lo que pretende certificar la normativa ISO 22301.
La gestión de continuidad del negocio a través de una certificación concreta, si bien es muy
importante para cualquier empresa, es una cuestión de carácter imperativo en el caso de
empresas que venden sus servicios o productos a otras corporaciones, siendo la misma un claro
elemento distintivo frente a otros núcleos empresariales de la competencia que operan en el
mismo sector económico que vuestra compañía.
a) Plan de contingencia frente al COVID – 19:
Se recomienda que las empresas definan medidas preventivas frente al coronavirus que
aseguren la seguridad y salud de sus trabajadores, un plan de actuación en caso de que
se materializarse el riesgo por un posible contagio o una situación de alerta pública
28
decretada por las autoridades gubernamentales, así como medidas para restaurar la
situación ha estado anterior de haberse producido la contingencia.
según información del Portal Ingertec en su artículo: “Planes de contingencia frente al

Coronavirus”, algunas de las medidas que se recomiendan y que pueden incluirse en el
Plan de Contingencia son:
b) Medidas Preventivas Frente al coronavirus
- Organizar el trabajo minimizando el número de personas expuestas: limitar

visitas, reducir reuniones presenciales, suspender viajes, no asistir a eventos o
convenciones, fomentar el teletrabajo…1
- Medidas de higiene básicas: lavado de manos, cubrirse la boca y nariz con

pañuelos desechables al toser o estornudar…
- Disponer de soluciones hidroalcohólicas desinfectantes y repartirlas en los

lugares de atención al público como uso para trabajadores y clientes.
- Incluir mascarillas quirúrgicas dentro de los botiquines de la empresa, por si

fuera necesario utilizarlas en caso de declararse pandemia.
1.6.3.3 Empresas se han Certificado con la ISO 22301 a nivel mundial
Tabla 7: Empresas Certificadoras
1
https://normaiso27001.es/iso-22301/ ISO 22301 CONTINUIDAD DEL NEGOCIO
29
1.6.3.4 Instituciones Certificadas en la Gestión de Continuidad de Negocio: (22301, 2017,
pág. ; 2017)
- BSG Institute
- BSI
- OFICINAS Y LABS DE SGS PERU: SECTOR PUBLICO
- AENOR en Perú
1.6.3.5 Tendencias emergente frente a la pandemia COVID 19
Con los diversos eventos catastróficos están afectando a nivel mundial. Es por ello para
contribuir con las empresas a determinar los diferentes niveles de impactos, se comenzó a
realizar distintas planeaciones estratégicas e investigar sobre nuevas tendencias tecnológicas
30
que podrían emplearse para realizar planes de contingencia u operacionales con el fin de
minimizar las interrupciones a un nivel tolerable ante eventos o crisis no previstas.
Tabla 8: Planeación Estratégica

31
1.6.3.6 Noticias:
a) La pandemia demanda agilidad: Cómo puede la metodología agile salvar a las

empresas
En la actualidad se han visto abocadas las compañías a desarrollar y realizar a su toma

de decisiones, así como a mejorar su productividad al tiempo que incorporaban nuevas
tecnologías a marchas forzadas.
Este movimiento, que en una época ‘normal’ podría ser fruto de una estudiada
planificación, debe ser ágil, para poder combatir con la incertidumbre y los cambios
constantes. Por tal motivo, la consultora McKinsey testifica que una de las conclusiones
que se puede sacar del contexto actual es que, si en la vida pre pandemia las
metodologías ágiles eran importantes, ahora se han vuelto imprescindibles.
b) Ccontinuidad de Negocio y Resiliencia organizacional para la supervivencia del

negocio
La gestión de una crisis es parte del ciclo de vida de una empresa, y poder superar con
éxito una emergencia como la que actualmente afecta a organizaciones de todo el
mundo, es lo que va a distinguir a las organizaciones que la puedan superar, de las que
por desgracia no sean capaces de hacerlo.
Las pandemias, el cambio climático, las crisis económicas y las tendencias de consumo
son sólo algunas de las amenazas que actualmente pueden afectar dramáticamente a la
manera en que una organización hace negocios y sobrevive.
La resiliencia organizacional es la capacidad de una empresa para absorber y adaptarse

a la imprevisibilidad sin dejar de cumplir con los objetivos que hay que alcanzar. Por
otro lado, el tener bien definida y probada en la organización una estrategia de
Continuidad de Negocio, es clave para que la empresa pueda enfrentarse con éxito a las
amenazas que la acechan continuamente. En este webinar, vamos a plantear como
implementar con éxito una estrategia de continuidad de Negocio según la ISO 22301,
integrada con la gestión de resiliencia organizacional, según la ISO 22316.
32
- El COVID-2019 un antes y un después para las organizaciones
- Ciberamenazas en situación de Teletrabajo
- Diseño de una eficaz gestión de riesgos de la organización
- Resiliencia Organizacional, ISO 22316
- El plan de Continuidad de Negocio, como elemento vertebrador. ISO 22301
- Conclusiones
1.6.3.7 Casos de éxito sobre la continuidad de negocio en organizaciones
Un caso de éxito sobre la continuidad del negocio en el argumento de Vodafone hace mención
que la compañía multinacional de telecomunicaciones con sede en Reino Unido, fue la primera
empresa del mundo en lograr la certificación ISO 22301. Roger McLoughlin, Gestor de
Continuidad del Negocio de Vodafone, comentó que el proyecto tuvo una duración de nueve
meses, desde la primera revisión del FDIS (Final Draft International Standard) hasta la
realización de la auditoria formal, y dos meses más para que recibiera la confirmación de
certificación.
Esta certificación hizo proporcionar a los clientes el servicio más uniformemente confiable, sin
importar las circunstancias. También les ofrece una diferenciación del servicio y una ventaja
competitiva, así como también la capacidad de satisfacer los requisitos de contingencias legales
y civiles.
1.6.3.8 Herramientas Tecnológicas Licenciada
Es muy importante contar con plataformas o software que ayuden a evidenciar las capacidades
de seguir operando con normalidad en caso de alguna ocurrencia.
33
34
35
1.6.3.9 Metodologías Agiles
Las metodologías ágiles permiten adaptar la forma de trabajo a las condiciones de un proyecto
y amoldar este mismo a las circunstancias del entorno. Aprende más en el Programa de Alta.
En el escenario actual en el que los cambios se producen de manera increíblemente rápida,

diversos autores comentan que las guías tradicionales de gestión de proyectos intentan ver el
futuro. Actualmente es necesario modelos que nos ayuden a adaptarnos a los cambios.
Actualmente tenemos los siguientes tipos más comunes de metodologías ágiles:

36
Metodología más recomendada Scrum:
Característica
- Es un modelo de referencia que define un conjunto de prácticas y roles.
- El equipo crea un incremento de software potencialmente Entregable.
- Divide un proyecto en iteraciones y antes de que comience una carrera se define la

funcionalidad requerida para esa carrera y entonces se deja al equipo para que la
entregue.
- Se enfoca principalmente en la planeación iterativa y el seguimiento
Ventajas
- Es fácil de aprender.
- Requiere muy poco esfuerzo para comenzar a utilizar.
- Permite que abarcar proyectos donde los requisitos de negocio están incompletos
- Permite el desarrollo, testeo y correcciones rápido
- Mediante las reuniones diarias se ven claramente los avances y problemas

37
- Como toda metodología ágil, obtiene mucho feedback del cliente.
- Facilita la entrega de productos de calidad a tiempo
Desventajas
- Si no se define una fecha de fin, los stakeholders siempre pedirán nuevas

funcionalidades.
- Si una tarea no está bien definida puede incrementar costes y tiempos.
- Si el equipo no se compromete hay mucha probabilidad de fracasar.
- Solo funciona bien en equipos pequeños y ágiles.
- Se requieren miembros del equipo experimentados.
- Solo funciona cuando el Scrum Manager confía en su equipo.
- Que un miembro abandone el equipo durante el desarrollo puede conllevar grandes

problemas.
Roles:
- ScrumMaster
- ProductOwner
- Teamque
1.6.4.0 Desarrollo de la Metodología Scrum
La metodología utilizada en el siguiente proyecto se basa en los procesos del marco Scrum, los
cuales consisten tanto en actividades concretas como en el flujo de un proyecto Scrum. Estos
procesos se agrupan en cinco fases y 19 procesos según lo muestra la Figura 2. Estas fases son:
38
Resumen de los Procesos de Scrum:
Figura 1:Scrum Body of Knowledge

Fuente 12: Elaboración Propio
39
1.6.4.1 Regulaciones de la S.B.S para continuidad de negocio
El Reglamento, aprobado mediante Resolución SBS N° 877-2020, consolida las Circulares

SBS N° 139-2009, N° 164-2012 y N° 180-2015 e incorpora nuevos requerimientos
desarrollados en base a las lecciones aprendidas resultado de las labores de supervisión y de
los ejercicios sectoriales de continuidad del negocio, así como de los estándares y buenas
prácticas internacionales, entre los que se encuentran la norma ISO 22301:2012 -sobre los
sistemas de gestión de la continuidad del negocio- y la Guía de Buenas Prácticas de The
Business Continuity Institute.
Figura 6: Evolución de iniciativas orientadas a fortalecer la gestión del riesgo operacional
Han pasado 18 años desde que se emitió la primera regulación peruana para gestionar los
riesgos operacionales que incluía algunos aspectos de la gestión de la continuidad del negocio.
En este tiempo, es innegable que la gestión de continuidad ha madurado de manera importante,
y es también evidente que aún queda mucho por hacer ante los nuevos desafíos e importantes
cambios en el contexto operativo.
2 CAPITULO 2: MARCO TEORICO
En este capítulo se realizará los conceptos generales necesarios para el desarrollo del proyecto
y términos vinculados con la continuidad de negocio, continuidad operativa y normas
internacionales y nacionales
40
2.1 Plan de Continuidad operativa
Se define el “Plan de Continuidad Operativa” como el instrumento que debe formar parte de
las operaciones habituales de la entidad, que incluye la identificación de las actividades y
servicios críticos que requieran ser ejecutados y prestados de manera ininterrumpida, la
determinación de las medidas y acciones que permitan que la entidad de manera eficiente y
eficaz siga cumpliendo con sus objetivos, así como la relación del personal que se encontrará
a cargo de la ejecución de las menciona2das actividades (Gutiérrez Falcón, 2018)
2.2.- ISO 27031: Gestión de Continuidad de Negocio
El negocio de una empresa depende de la información y los sistemas que la soportan. Por ello,
hay que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra
información.
Cuando una organización implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es
reducir sus riesgos y evitar posibles incidentes de seguridad. Sin embargo, hay que tener
presente que existen situaciones que son imposibles de evitar. Ya que no es posible proteger al
100% los activos de información. por esas las empresas tienen que planificarse con el fin de
evitar que las actividades de su entidad queden interrumpidas
Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en
materia de seguridad de la información.
 Las fallas eléctricas causan el 90% de los incendios. Los problemas más comunes por
los que se produce este tipo de siniestros son: la utilización de materiales no adecuados,
un cálculo erróneo del sistema o contratar electricistas sin formación técnica.
 El 43% de las empresas estadunidense que sufren un desastre no se recuperan” sin
contar con un plan de continuidad de Negocio no se recuperan.
 El 51% sobrevive, pero tarda un promedio de dos años en reinsertarse en el mercado y
solo el 6 % mantiene su negocio a largo plazo.
2
www.inteco.es – 27031: Gestión de continuidad de Negocio
41
 el 30% de las copias de seguridad y el 50 % de las restauraciones fallan, según un

informe de Enterprise Strategy Group.
Durante este estudio muchos departamentos de tecnología de la información reconocían no

estar seguros de ser capaces de recuperar los datos críticos del negocio y si podrían hacerlo en
tiempo razonable.
Para evitar estas y otras situaciones es necesario disponer de un Plan de Continuidad del
Negocio. Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo
que le pueden afectar de forma crítica.
No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda

organización necesita un Plan de continuidad del Negocio, ya que tarde o temprano se
encontrará con una incidencia de seguridad.
En líneas generales podemos decir, que estos planes tienen como objetivo impedir que la
actividad de la empresa se interrumpa y, si no puede evitarse el tiempo de inactividad sea el
mínimo posible.
Pero, además, tienen que intentar lo siguiente:
 Mantener el nivel de servicios en los límites por la compañía y que han sido asumido
por la misma.
 Establecer un periodo de recuperación mínimo para garantizar la continuidad del
negocio. (algunas compañías pueden parar su actividad, debido a una incidencia,
durante una semana, pero otras no pueden superar unas horas.
 Recuperar la situación inicial de servicios y procesos la recuperación no tiene que ser
inmediata y todo al mismo tiempo, ya que puede que existan procesos más críticos que
necesiten recuperarse antes.
 Analizar el resultado de la aplicación del plan y los motivos del fallo para optimizar las
acciones a futuro. Es decir, aprender de las incidencias para mejorar en las respuestas.
Cuando desarrollemos el plan de continuidad del negocio tenemos que tener en cuenta que
debe contener los siguientes apartados:
42
 Establecimiento y definición de las situaciones críticas. para ellos se han de

identificar, entre los riesgos analizados, aquellos que no podrán ser evitados a través
de las diversas medidas implantadas
 Establecimiento de un Comité de Emergencia que será el encargado de gestionar la
situación de crisis ante una incidencia. Es el responsable de organizar al resto de
personal y de que la empresa pueda recuperarse de un incidente.
 Definición de las diversas situaciones posibles, elaborando procedimientos para
cada una de las incidencias que se podrían dar en una organización. Estos
procedimientos recogerán: En primer lugar, la situación que provocara una
incidencia determinada. Al producirse esta situación se deben comenzar las
acciones para evitar que el daño vaya a más y para comenzar la recuperación. En
segundo lugar, todas las acciones y las secuencias que deben llevarse a cabo ante
un incidente de seguridad. Las prisas y las situaciones de estrés, provocadas por este
tipo de incidencias, pueden hacer que no se lleven a cabo las acciones como se
deberían. Por ello, es importante tener por escrito todo el procedimiento detallado
y este debe ser conocido por las personas implicadas. Y, por último, contener los
registros que es necesario recoger durante la incidencia para su posterior análisis y
realización de acciones de mejora.
El plan debe haber sido probado y mejorado antes de que haya que aplicarlo. De no ser asi,
puede ser que en el momento de producirse el incidente el plan falle y no nos sirva para salir
de la situación, sino que la empeore. Así mismo, el plan debe ser conocido por todo el personal
involucrado directa e indirectamente. El grado de conocimiento del plan por parte de los
diferentes actores dependerá de su involucración dentro del mismo.
2.2.1 Fases del Plan de Continuidad:
Para desarrollar un Plan de Continuidad del Negocio es necesario seguir cuidadosamente las
siguientes fases:
1) Primera fase. Definición del proyecto, donde es necesario establecer los objetivos, el
alcance y el peor de los escenarios.
43
2) Segunda fase. Análisis de impacto en el negocio. Conocido por sus siglas en ingles
BIA (Business Impact Analysis). Debemos realizar un análisis de riesgos, evaluar el
impacto del incidente tanto económico como de cualquier otro tipo, identificar los
procesos y activos críticos, asignar el tiempo objetivo de recuperación y evaluar las
coberturas de los seguros y contratos.
3) Tercera fase. Selección de estrategias. Aquí hay que identificar los recursos
disponibles, evaluar las salvaguardas y estimar si conviene más aportar una solución a
nivel interno o a nivel externo. Con toda la información hay que valorar las ventajas y
desventajas de cada una de las estrategias posibles y escoger la más conveniente para
la organización. Con toda la información hay que valorar las ventajas de cada una de
las estrategias posibles y escoger la más conveniente para la organización.
4) Cuarta Fase: Desarrollo de planes en los que tenemos que implementar diferentes
procedimientos para afrontar las diversas incidencias.
5) Quinta fase: Pruebas y mantenimiento del plan de continuidad. Es imprescindible

probar el plan para garantizar que cuando haya que usarlo todo funcione como está
previsto. El plan debe ser probado periódicamente para identificar y corregir posibles
deficiencias e incluir actualizaciones del sistema. Estas Pruebas deben incluir, al menos
la restauración de las copias de seguridad, la coordinación del personal y departamentos
involucrados, la verificación de las conectividades de los datos y del rendimiento de los
sistemas alternativos, y la verificación del procedimiento para la notificación de las
incidencias y la vuelta a la situación inicial de normalidad.3
IRBC=ICT Readiness for Business Continuity) – (ICT – Information and Comunication

Technology)- Capacidad de una organización para soportar sus operaciones de negocio a través
de la prevención, detección y respuesta a interrupciones y recuperación de servicios de
Tecnología de información y comunicaciones Ticos).
3
www.inteco.es – 27031: Gestión de continuidad de Negocio
44
2.3 Norma ISO 27005 (Gestión de Riesgos):
La norma ISO 27005 alcanza el tratamiento de riesgos, la aceptación del riesgo, la

comunicación y consulta, el monitoreo y revisión. ISO 27005 se puede aplicar en todas las
empresas, independientemente del tipo de organización que sea o de su tamaño.
2.3.1 Riesgo
Por causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes
de una organización son siempre los riesgos mal gestionados. Es ende que existe entonces la
necesidad de gestionar los riesgos y operar en continuidad del negocio ISO 27031:2011 no
requiere evaluaciones de riesgo según algún proceso específico. ISO 27005:2018 Gestión del
riesgo Principios y directrices puede ser una referencia útil para organizaciones que desean o
necesitan un enfoque más formal del riesgo (uso no obligatorio), ayuda a las organizaciones a
desarrollar su propia estrategia para administrar sus riesgos.
- La norma ISO 27005 (Gestión del riesgo – Principios y Guías) El estándar ISO 31000,
proporciona en forma integral a las organizaciones, principios bajo un marco de
proceso, destinado a gestionar cualquier tipo de riesgo de forma: Sistemática, Creíble,
Transparente. Esta norma se complementa con la ISO Guide 73:2018 Gestión del riesgo
Vocabulario.
- El estándar ISO 27005, proporciona técnicas sistemáticas de apoyo
- Para integrar la gestión del riesgo en ISO 27031: 2011, podemos seguir los criterios de
la norma ISO 27005: 2018.
2.4.- NORMA ISO/IEC 22317
La ISO 22317 es la primera y única norma que aborda exclusivamente el Análisis del Impacto
en el Negocio. El objetivo de los procesos de Análisis de Impacto en el Negocio es el de
analizar el impacto real de un evento perturbador en la organización.
2.4.1 Nueva ISO 22317: Guía práctica para realizar el BIA – Business Impact Analysis
45
La Organización Internacional de Normalización (ISO) a través de la comisión para la

redacción de las normas de seguridad, resilencia y continuidad del negocio, ha publicado la
norma ISO 22317 – Business Impact Análisis, la primera norma internacional enfocada
únicamente a abordar la elaboración de un Plan de análisis de impacto en el negocio (BIA).
La norma ISO 22317 debe ser utilizada como un documento independiente y/o complementario
a las normas ISO 22301 o ISO 22313 que nos sirva de orientación sobre cómo llevar a cabo el
proceso de BIA.
ISO 22317 nos guía paso a paso a través del proceso de elaboración del BIA en sus tres
secciones principales:
- Pre-requisitos
- Realización de la BIA
- Revisión y Seguimiento
En términos prácticos, la guía nos ayuda a la vinculación de un registro de riesgos con la

predicción de escenarios y elaboración de estrategias alineadas al BIA. Esto nos asegura que
todo riesgo con alto potencial de impacto es considerado por el plan de continuidad del negocio.
La norma ISO 22301 nos aporta los siguientes beneficios:
- ISO 22317 nos proporciona una nueva y mejorada definición de BIA, más clara y con
menos jerga, lo que es de agradecer.
46
- Ofrece una propuesta de valor para las organizaciones que luchan por ganar credibilidad
(buy-in).
- Identifica los requisitos previos para una organización antes de comenzar la BIA.
- Describe el proceso detallado de cómo llevar a cabo con eficacia el BIA.
- Propone los resultados del BIA (incluyendo los resultados de cada paso del BIA
- Proporciona opciones para la recolección de información de los diferentes métodos,

junto con el análisis de ventajas y desventajas de cada método.
- Describe otros usos para los que las organizaciones pueden optar por utilizar la BIA.
En resumen, ISO 22317 ayuda a las organizaciones a llevar a cabo uno de los elementos más
difíciles del ciclo de vida de la continuidad del negocio (BIA), ayudándonos a definir requisitos
precisos y útiles para la continuidad de negocio.
2.5 Análisis de Impacto de Negocio (BIA):
2.5.1 Objetivo de un Análisis de Impacto de Negocio (BIA):
El objetivo del Análisis de Impacto al Negocio es poder medir el impacto generado por una
interrupción u ocurrencia de incidentes. Este análisis se desarrolla con la identificación de los
procesos para el negocio según el impacto y las perdidas monetarias que se podrían generar.
- Identificar los impactos derivados de posibles incidentes disruptivos.
- Identificar las actividades críticas de la organización, facilidades, recurso humano

mínimo necesario para garantizar las operaciones del negocio.
- Establecer los tiempos objetivos para la recuperación (RTO) y el punto de recuperación

objetivo(RPO).
2.5.2 Metodología
El presente Análisis de Impacto al Negocio (BIA) está orientado principalmente en la norma

ISO/IEC 22317:2015. A través de su metodología se pueden identificar niveles de impacto,
47
niveles de servicio, productos, procesos y actividades críticas de negocio, y la priorización de

cada uno de ellos.
Para ello se consideran las siguientes acciones:
Tabla 9: Acciones BIA
La determinación de las dos primeras acciones son pre-requisitos para poder iniciar un análisis
BIA. Estos dos puntos nos brindaran información suficiente y actualizada de la organización
en la que se desarrollada el proyecto.
48
Figura 7: Diagrama de proceso BIA

Como siguiente acción se deben determinar los procesos críticos realizando el análisis
estableciendo el peor caso posible ocasionado por una interrupción teniendo en cuenta la
infraestructura actual de la organización. Tal como lo indica la norma ISO 22317 (2015), se
deben definir roles y responsabilidades para la recopilación de información, toma de
decisiones, planificación y gestión, análisis y documentación. En la figura 10 se definen las
responsabilidades para cada rol:
Tabla 10: Roles y Responsabilidades BIA

49
50

Los niveles de procesos a su vez van en desagregación desde el nivel 0, macroproceso; nivel
1, proceso concreto y nivel 2, sub-proceso o procesos más específicos que forman el proceso
de nivel 1.
Tabla 11: Niveles de proceso
Fuente 15: Resolución Ministerial MEF, 2018.

51
2.6.- Metodología Scrum
La metodología ágil es un desarrollo de software basadas en el desarrollo iterativo e

incremental, en contraposición a las metodologías tradicionales. Esto promueven respuestas
rápidas y flexibles al cambio mediante la promoción de la planificación adaptativa, la
identificación de requisitos colaborativos y la formación de un equipo internacional y auto
organizado, así como el desarrollo gradual de soluciones.
Scrum es una metodología de desarrollo ágil tiene como base la idea de creación de ciclos
breves para el desarrollo, que comúnmente se llaman iteraciones y que en Scrum se llamarán
“Sprints”. Por lo tanto, Scrum es un marco de trabajo iterativo e incremental, rápida, flexible y
eficaz diseñada para ofrecer un valor significativo de forma rápida en todo el proyecto.
Los eventos dentro del marco Scrum son los siguientes:
- Sprint Planning: Planificación de lo que se va a hacer
- Daily Scrum: Reunión diaria
- Sprint Revises: Revisión del producto
- Sprint Retrospective: Mejoras
Este marco de trabajo se creó para poder desarrollar, entregar y mantener productos complejos.
Según la guía SCRUM (2017), “se basa en la teoría de control de procesos empírico. Scrum
utiliza un enfoque iterativo e incremental para optimizar la predictibilidad y el control del
riesgo”. Las limitaciones en tiempo, cambios en los costos, alcance, calidad, recursos suele ser
en ocasiones un futuro incierto. Los cambios en tecnología, los incrementos directamente
proporcionales de amenazas hacen que se genere incertidumbre en la entrega de los productos.
Toda la implementación de control del proceso empírico se basa en tres pilares:
 Trasparencia: Los aspectos deben ser un estándar común para todos los
involucrados. De tal modo que exista una homologación de conceptos. Para
visualizar lo que se está avanzando se crea un tablero de 3 columnas y se definen
las tareas pendientes, en proceso y terminadas. Que los participantes tengan un
entendimiento común de lo que se ve.
52
 Inspección: Inspección frecuente para detectar variaciones
 Adaptación: Si se desvían aspectos de un proceso deben alinearse para evitar un

resultado inaceptable. Adaptar a lo que el cliente diga en la retroalimentación al
producto.
En Scrum opera bajo 4 eventos formales SCRUM (2017):
 Planificación de sprint (Sprint Planning)
 Scrum diario (Daily Scrum)
 Revisión del sprint (Sprint Review)
 Retrospectiva del sprint (Sprint Retrospective)
Para un mejor desenvolvimiento de los pilares, Scrum incorpora valores como el compromiso,
coraje, foco, apertura y respeto. Esto ayuda a fomentar la confianza entre en todo el equipo.
Roles del Scrum
Funciones y cargos que las personas realizan dentro de un equipo Scrum (Scrum Team)
- Product Owner
- Scrum Master
- Development Team
Características
- Auto-organizados y multifuncionales
- Diseñado para optimizar la flexibilidad, creatividad y productividad
- Ser cada vez más efectivos en cualquier trabajo así sea complejo
- Cada vez que se entregue un producto no quiere decir que ya termino, siempre se va a
trabajar con la mejora continua, siempre se va a mejorar o adicionar para ser mejor.
53
1. Product Owner:
- Representa la voz del cliente, maximizar el valor del producto.
- Visión global.
- Velar por los intereses de los stakeholders.
- Encargado de contactar con el cliente
- Comprender las necesidades del cliente y
- Gestionar Product Backlog (Lista de producto)
2. Scrum Master:
- Dar a entender los valores del Scrum
- Ser útil y estar al servicio del equipo
3. Development Team:
- Entregar un incremento de producto DONE que potencialmente se pueda poner en
- producción al final de cada Sprint. Potencialmente porque el producto va

mejorando
- según las necesidades del cliente.
- Un incremento DONE es obligatorio en un Sprint Review
- Solo los miembros del Development Team participan en la creación del incremento
- Tamaño del Development Team debe ser de 3-9 miembros.
4. Stakeholders:
- Cliente que adquiere un producto resultado del proyecto o servicio
- Usuario: el que usara el producto

54
- Patrocinador, provee los recursos. Capitalista.
Para la continuidad de negocio se utilizarán siempre los Backlog de riesgos y Backlog de

continuidad. Cada uno mostrara requisitos para analizar los riesgos prioritarios a atacar y el
según los planes de continuidad que sean más acordes a lo que la organización requiere. Cada
uno de estos desarrollada requisitos que serán integrados a los sprint y los equipos de desarrollo
trabajarán para conseguir el objetivo.
Figura 8: Flujo de Scrum

Fuente 16: Flujo de Scrum
55
3 CAPITULO 3: ANALISIS DEL PROBLEMA
En este presente capítulo se da relucir el ciclo para realizar un Sistema de Gestión de

Continuidad de Negocio, incluyendo lo mencionado en cada punto por la norma ISO
27031:2011, cómo diseñar un Plan de Continuidad Operativa para el proceso y el entregable
correspondiente a cada apartado.
En el análisis se establecen los principios del inicio de la Gestión de Continuidad de Negocios

para lograr comprender detalladamente esta práctica profesional. A continuación, se muestran
los aspectos que disponen la norma ISO/IEC 27031:2011 y la Guía de Buenas Prácticas del
BCI para iniciar el BCM. Por último, se describen las acciones necesarias para llevar a cabo en
la Institución Estatal.
3.1.- Alcance
El diseño de un plan continuidad operativo para el proceso del área de archivo de la oficina
sistemas para una institución estatal con base en la norma ISO/ IEC 27031:2011, para proponer
actividades que permitan su recuperación ante posibles amenazas o desastres con el fin de
contribuir a la modernización de la Institución Estatal.
En el área de archivo de la oficina de sistemas de una Institución Estatal se tiene que establecer
la necesidad de un Sistema de Gestión de Continuidad de Negocios, incorporando estrategias,
planes de continuidad de negocios y plan de gestión de crisis y emergencia, para lo cual es vital
conseguir el respaldo de la Alta Dirección para lograr organizar y comprender políticas, y
procesos críticos para construir el marco del BCM (Gestión de Continuidad de Negocio).
La política del BCM (Business Continuity Management) aprueba establecer el alcance del
programa BCM y refleja las razones del porqué está siendo diseñado este. La política
proporciona el contexto en el cual serán establecidas las capacidades requeridas e identifica los
principios a los que la institución estatal aspira.
56
La Norma ISO/IEC 27031:2011 define a la continuidad de negocios como “la capacidad

estratégica de la institución para permitir la continuidad de la entrega de productos o servicios
a niveles aceptables, previamente definidos”.
La institución al no contar con medios de control, esta se encuentra vulnerable ante un desastre
o incidente, es por ello que, la gestión de continuidad de negocios está estrechamente ligadas a
la gestión de seguridad de información y a Institución Estatal y comparten un mismo objetivo
el cual es asegurar la disponibilidad de los procesos críticos y la información según lo
requieran.
Por lo tanto, se utilizará la norma ISO 27005:2018 para gestionar los riesgos y la metodología
PDCA para la elaboración, y control de la propuesta. Esta norma nos presenta un sistema de
gestión basado en el ciclo de Deming: Plan, Do, Check, Act, conocido como PDCA (Planificar,
Hacer, Comprobar y Mejorar). El ciclo PDCA supone la implantación de un sistema de mejora
continua que pretende una constante evolución para adaptarse a los cambios producidos en su
ámbito y para tratar de conseguir la máxima eficacia operativa mediante las cuatro fases que lo
componen. Cada una de estas fases marca los objetivos que describe la norma ISO 27031:2011.
El proyecto estará enfocado en realizar un análisis del estado actual de la institución,

identificando las posibles amenazas o desastre y dándole una valoración según el nivel de
importancia para el proceso.
3.2.- Situación Actual:
En la actualidad el área de archivo de la Oficina de Sistemas tiene una serie de problemas tales
como; no cuenta con un plan de continuidad operativo para el proceso como lineamientos
fundados a metodologías obsoletas y/o desactualizada a la necesidad del área de archivos de la
oficina de sistemas para una institución estatal para mostrar oportunamente ante incidentes que
afecten sus procesos y sus recursos.
Comentada en la situación problemática para la institución estatal en el ámbito de proceso de

estudio y partiendo desde el desconocimiento de la propia información que se maneja en el
área de archivos y los propios activos que la soportan. Se han evidenciado los siguientes
problemas:
57
- Falta de una estructura organizacional de un Plan de Continuidad de Operativa a quien le

recaiga la responsabilidad y la obligación de los procesos de seguridad sobre los activos de
información del servicio y procesos de ascenso del personal en actividad.
- Carencia de procesos, lineamientos y políticas que propongan cambios a adoptar para evitar
la incorrecta manipulación de información confidencial del personal y propia de la
institución.
- Ausencia de Inventario de activos de a información asociados a los procesos de servicio

brindado y ascensos al personal de la Institución Estatal. Por consiguiente, no será posible
realizar un análisis de los riesgos a los que se encuentra expuesto, minimizando la
materialización de una amenaza sobre los mismos.
De acuerdo a los problemas comentados, se ha considerado necesaria la adopción de un diseño

de un Plan de Continuidad Operativo, teniendo como base de la norma ISO/ IEC 27031/2011
para la Institución Estatal. Debido a lo cual dentro de sus procedimientos y lineamientos
internos permitan asegurar la confidencialidad de la información de la misma.
3.3.- Impacto del Problema en la Institución Estatal
El estudio del impacto para resolver la viabilidad del Diseño de un Plan de Continuidad
Operativo en la Institución Estatal, comprende la disponibilidad de los recursos necesarios para
llevar a cabo los objetivos o metas señalados
El diseño de un Plan de Continuidad Operativo propone actividades para las posibles amenazas
o actividades ante cualquier evento disruptivo de forma manual al área de archivo para la
operación de los procesos tiene un periodo de varios años, desde que se establece siguiendo las
órdenes de la Directiva de Continuidad de Negocio, se ha presentado incidentes.
Es decir que los hechos observados, que son la pobre gestión de Continuidad de Negocio frente
a las posibles amenazas o desastres que se presentan almacenados en área de archivo,
probablemente se deba a que el proceso de gestión de continuidad de negocio no se cumpla por
motivos que el personal que labora no hayan sido pasado por una prueba de selección para
tener los criterios de confidencialidad. Además, otro de los problemas es la alta rotación del
personal a cargo del área de archivo, esto suele reflejarse en la falta de experiencia y
58
capacitación técnica en el tratado de la información para el área donde se trabaja con activos
de información de forma física; documentos confidenciales. Así mismo, el personal carece de
conocimiento de regulaciones de normativas sobre los procesos de continuidad Operativo,
riesgos, amenazas en la documentación reservado y clasificadas del personal. Por otro lado, no
se cuenta procesos o documentos que evidencien identificación de riesgos, no se identifican de
los riesgos, ni evaluaciones. Cabe resaltar el riesgo de las posibles amenazas puede ser de gran
pérdida de información.
Dada esta realidad el plan de continuidad Operativo ocasionara grandes amenazas y desastres
para dicha institución estatal.
Carencia de un documento formal de políticas de un Plan de Continuidad operativo
 Falta de estándares y normativas.
 Inexistencia de un sistema de gestión de calidad para tratamiento de los activos críticos

y su seguridad.
3.3.1.- Impacto Tecnológico
En la actualidad la tecnología de la información nos ofrece distintas soluciones de sistemas de

información basados en las buenas prácticas; para ello debemos analizar cómo se viene
trabajando el Plan de continuidad Operativo y estimar qué soluciones basadas en buenas
prácticas se les propone, adecuándoles a las necesidades de la institución. Esta implementación
pueda tener una buena acogida, pero esta va depender de acuerdo con la explicación y
familiarización de todo el equipo institucional, con el uso de este, esto elevaría el nivel
tecnológico como área ya que son nuevas propuestas en busca de mejores de la institución.
 Realizar una evaluación de las capacidades técnicas requeridas para las alternativas del
diseño.
 Verificar si el personal la experiencia técnica para establecer el diseño de un Plan de

Continuidad Operativo para la institución Estatal.
 Verificar que el personal con experiencia suficiente en el área de Continuidad Operativo

que será la encargada de supervisar el Diseño de un Plan de Continuidad Operativo para la
institución Estatal.
59
 Determinar la evaluación de la infraestructura Tecnológica que posee la institución y las

requeridas para el Diseño.
 Analizar el grado de aceptación que genera el Diseño Plan de Continuidad Operativo para
la institución Estatal.
 Una vez realizado las actividades anteriores se determina el impacto técnico si el personal
que labora en la institución posee experiencia técnica requerida para el Diseño y la
Infraestructura Tecnológica que posee son las adecuadas para el proyecto.
3.3.2.- Impacto Reputacional:
El impacto reputacional es un análisis que se realiza con los riesgos o incidentes ocurridos.
Para la institución Estatal es de gran importancia ya que al trabajar con documentos reservados
y confidenciales. Por ende, los procesos que se llevan a cabo en el área de archivo para el Plan
de continuidad operativo ante posibles contingencias, sean pequeños incidentes o grandes
catástrofes que interrumpan su actividad. que debe estar solo respaldado internamente. Por lo
tanto, el impacto reputacional se mide por un indicador y grado de escala tales como: indicador
débil el evento o incidente es conocido solo al ámbito de la institución. En el indicador medio
se cuándo el nombre de la institución es citado públicamente. Cuando el indicador en fuerte
con la perdida de reputación colocando en peligro la continuidad operativo institucional,
múltiples citaciones en los medios de comunicación. La institución es cuestionada con respecto
a cómo ha coordinado la situación y más sus valores y sus prácticas, investigación externa.
3.3.3.- Impacto Operacional:
El Impacto operativo permite especificar si la ruptura del servicio podría afectar todos los
sistemas operativos de la asesoría dejándola inoperante por completo. El impacto operacional,
describe a todos aquellos recursos donde intervienen las actividades o procesos del área de
archivo, durante esta etapa se identifican todas aquellas actividades que son necesarias para
lograr el objetivo y determinar todo lo necesario para llevarla a cabo, siguiendo los siguientes
pasos:
60
 Establecer el compromiso y el reconocimiento de la Dirección sobre las

responsabilidades del Diseño del Plan de Continuidad Operativo.
 Verificar si existe el presupuesto necesario para capacitación del personal involucrado

en el Diseño del Plan de Continuidad Operativo para la Institución Estatal.
 Establecer el compromiso necesario de la Dirección para el establecimiento del Diseño

del Plan de Continuidad Operativo para la Institución Estatal.
 Realizar la capacitación sobre las normas básicas de Continuidad Operativo, Políticas

de Continuidad operacional en la institución Estatal.
Una vez realizado las actividades anteriores se determinará el Impacto operativa, si el personal
se encuentra en la mejor disposición y compromiso para el desarrollo del Diseño del Plan de
Continuidad Operativo para la Institución Estatal.
3.3.4.- Impacto legal
El Impacto legal permite especificar el impacto legal regulatorio (demandas, multas,

investigación disciplinaria, investigación fiscal o intervenciones) en caso de la ruptura del
servicio o con la entrega de estos.
El impacto legal son perdidas por incumplimiento de leyes, normas, reglamentos, directivas,
practicas prescritas o normas de ética. El impacto legal a la organización es destacado en la
Imagen institucional que es de gran importancia para la Institución Estatal. Para la institución
Estatal cuenta con el área de la contraloría la cual se encarga de averiguar y analizar los
incidentes sucedidos y son los encargados de confirmar si se está cometiendo un caso ilegal.
Esta unidad hace salir a la luz ante los medios al personal que está violando la ley o estén yendo
en contra de las normas establecidas por la institución.
El creciente uso de las nuevas tecnologías ha propiciado la creación de un marco legal y jurídico
que protege a todas las partes interesadas en el uso de estas tecnologías y el intercambio y
tratamiento de la información a través de ellas.
La institución Estatal está formada por directivas internas donde se hace cumplimiento a la ley
de protección de datos. Asimismo, se cuenta con la ley de firma electrónica.
61
3.3.5.- Impacto económico
El impacto económico es un análisis que se realizara para determinar el costo - beneficio del
Diseño del Plan de Continuidad Operativo para la institución Estatal. Lo que se observa es que
el personal encargado del área de archivo se excusa que debido a los incidentes ocurridos con
las pérdidas de documentos hace que no se cumpla la culminación de los procesos o actividades
en el tiempo estimado, en la cual no permite lograr cumplir con el Plan de Continuidad
Operativo y por ende no se está cumpliendo lo esperado para la institución.
Según (SEEN, 1987), ‘’el desarrollo de un sistema los beneficios financieros deben igualar o
exceder los costos de inversión para la empresa, para poderse considerar factible
económicamente’’, por lo cual permite la utilización de los servicios y sistemas que se dispone
de manera eficaz y eficiente, rendir cuentas en los lapsos previstos, minimizar los tiempos de
respuestas a las peticiones realizadas por los usuarios, tener información actualizada y
consolidada así como control y auditoria de los servicios, sistemas, debido a que la seguridad
de la información juega un papel preponderante y cualquier monto de inversión para establecer
el Diseño de SGCN para la institución Estatal, considerado infimo respecto a los beneficios
que se obtienen.
Al analizar el impacto tecnológico, reputacional, operativo, y económica se determinará si el

diseño de un Plan de Continuidad Operativa para la institución Estatal, basado en las normas
(ISO/IEC 27031: 2011) es viable.
3.4.- Causas Origen del Problema
Las principales causas que ocasionan no llevar un mejor control y registros de las posibles
escenarios y amenazas o desastres que podrían afectar la continuidad operativa de las
actividades que realiza el área de archivo son:
a) Cultura mínima en Continuidad Operativo:
- La Institución Estatal no cuenta con un Diseño de un Plan de Continuidad

Operativo, controles para la continuidad de Negocio.
b) Organización no formal de Continuidad Operativo. -

62
- No existe una estructura formal que atienda incidentes críticos. No tienen detalles
específicos que pueda atender la continuidad de negocio en la Institución Estatal.
c) Normativa insuficiente:
- La Institución Estatal cuenta con solo con directiva en la cual no detalla la

especificación de la norma basado a la Continuidad de Negocio.
- No cuenta con controles de accesos a Sistemas de Información para la

verificación de las actividades o procesos en la organización, tales como
servidores de archivos, entre otros.
d) Clasificación de actividades, procesos e inventario de activos críticos:
- El área de archivo donde se guardan la documentación o historial de todo el

personal que labora para la institución estatal, se verifica que no está
cumpliendo en clasificar y tener un matriz de escenarios de amenazas.
- No existe un informe de Análisis de Impacto de Negocio (BIA) que estén

asociados e involucrados al proceso y servicios de calificación del personal
anual (ascensos, méritos) de la Institución Estatal.
- No cuenta con una matriz de escenarios de amenazas a lo que estas actividades

o procesos pueden estar expuestos. Asimismo, los riesgos asociados a la
concretización de una amenaza sobre los activos mencionados.
e) Competencia limitada para proteger las actividades y procesos de los activos

críticos:
- Por ser una Institución Estatal no cuentan con políticas, que detallen alguna
función del personal.
f) No existe un proceso de gestión definido:
- La Institución Estatal solo al contar con una directiva interna que no especifica
a detalle el tema de un Plan de Continuidad Operativo.
63
- Ausencia de un Plan de continuidad Operativo en donde se estipulen políticas y

procedimientos en relación a los escenarios de amenazas o más relevantes.
g) No se documentan adecuadamente los incidentes de las actividades y procesos

críticos:
- El área de archivo no cuenta con ningún libro de registro de incidentes

ocasionados de escenarios de amenazas. Es por ende que suceden la perdidas e
incidentes de la documentación reservada y confidencial del personal naval de
la institución.
3.5.- Consecuencia del Problema
a) Eliminación accidental de las actividades de los procesos: Perdida accidental de

información. Esta amenaza solo se identifica sobre datos generales, pues cuando la
información está expuesta. Riesgo está en la eliminación de la información.
Consecuencia - PÉRDIDA TOTAL DE LA INFORMACION.
b) Abuso de privilegios de acceso: Cada personal/usuario disfruta de un nivel de

privilegios para un determinado propósito; cuando el personal/usuario abusa de su nivel
de privilegios para realizar tareas que no son de su competencia, hay problemas. Riesgo
es el abuso de privilegios para realizar tareas que no son de su competencia.
c) Destrucción deliberada de la información: eliminación de información, con ánimo

de obtener un beneficio o causar un perjuicio. Riesgo la eliminación intencional de la
información. Consecuencia: INFORMACION NO DISPONIBLE.
d) Condiciones inadecuadas de temperatura o humedad: Deficiencia en la

aclimatación de los locales, excediendo los márgenes de trabajo de los personales:
excesivo calor, excesivo frio, exceso de humedad, etc. Riesgo Deterioro de los
documentos.
e) Error del Administrador: Falta de Capacitación, mala segregación de funciones,

desmotivación del personal. Riesgo en la equivocación de los administradores.
Consecuencia – ESTIMACION DE RIESGO EN LA DISPONIBILIDAD EL ALTO
64
3.6.- Solución al Problema:
Debido a los problemas en factor del Plan de Continuidad Operativo expuestos al proceso y
servicios de calificación anual del personal que labora en la institución Estatal (ascensos,
méritos), se vio necesario la adopción de algún modelo o sistema existente en el mercado
mundial, que brinde una solución integral y permanente a los problemas presentados. En base
a ello, la institución cree conveniente la adopción de un Diseño de un Plan de Continuidad
Operativo, basado a la norma ISO/IEC 27031:2011. Este Plan de Continuidad Operativo,
dentro de sus procedimientos y lineamientos internos permitirán a la institución:
Clasificar lo principales sistema de información involucrados en el proceso y servicios en el

área de archivo de la Institución.
 Determinar la cantidad de riesgos que superan el Nivel de Riesgo Aceptable (NRA) del
Plan de continuidad Operativo a los que se encuentran expuestos los procesos y
servicios críticos asociados a los procesos de calificación profesional anual del personal
en proponer una matriz de alternativas de solución de los mismos en el área de archivo
de la Oficina de Sistemas.
 Definir la Estructura Organizacional de un Plan de Continuidad Operativa,

estableciendo roles y responsabilidades en el manejo de la Continuidad de los activos
de información que integran el proceso de calificación anual del área de archivos de la
Oficina de Sistemas de la institución Estatal, proponer un plan de continuidad operativa
que permita consolidar los procesos, recursos, tecnología y formación del personal
requerido para iniciar el desarrollo e implementación del Plan de Continuidad
Operativo.
3.7.- Propuestas de Solución:
Para realizar el Diseño de un Plan de Continuidad Operativa para el área de archivos de la

oficina de Sistemas de la Institución Estatal, se empleará la norma ISO/IEC 27031:2011, el
cual adopta el enfoque de Procesos basados en el ciclo Deming ¨Planificar – Hacer –Verificar
– Actuar¨ (PHVA).
65
La propuesta de solución de este proyecto enfoca las actividades y procesos de servicios

gestionados por la Gerencia de la Oficina de Sistemas y Registros que se utilizan en los
procesos críticos de la institución estatal. Estas actividades para los procesos y servicios, para
este caso específicos, deberá contar con un plan de recuperación en caso ocurra alguna
interrupción y aun así continuar operativo con la alternativa de solución más óptima
considerando las variables de costos, tiempos de implementación e inversión.
Determinar las estrategias de recuperación de desastres que permitirán cumplir con los
objetivos de recuperación establecidos por el área de archivo de la oficina de sistemas para la
institución Estatal establecida con su indicador de logro matriz de escenarios de amenazas.
Es decir, para obtener un ambiente de Continuidad Operativo integral en estas instituciones, es

fundamental trabajar en conjunto desde el alto mando jerárquico hasta el menor componente
operativo adoptando marcos de referencias que garantice la correcta ejecución y control de los
procesos.
El Diseño de un Plan de Continuidad presentado dentro de esta tesis pretende que se siga una
serie de requisitos para que se establezca a través de la fase ¨ Planificar ¨ una vez establecido
el modelo se implementa siguiendo los lineamientos de la fase ¨ Hacer¨. Así mismo cuando el
modelo se ha implantado y está funcionando, se debe ¨monitorear y revisar¨ durante la fase ¨
Verificar ¨ y, por último, se procede a Actuar y tomar correctivos necesarios.
El alcance propuesto será la guía para el diseño de un Plan de Continuidad Operativa, y podrá
ser revisado y actualizado según lo indiquen las directivas de la entidad y/o en la revisión por
parte de la dirección general.
Al concluir el Diseño, se espera obtener los siguientes entregables:
Elaborar un análisis de riesgos que permita determinar los posibles escenarios de amenazas o
desastres que podrían afectar la continuidad operativa de las actividades que se realiza en el
área de archivos.
Determinar las alternativas de solución de recuperación más adecuada para cada estrategia
establecida.
- Análisis de Impacto de Negocio (BIA)
- Política del Sistema de Gestión de Continuidad de Negocio.

66
- Manual de Continuidad de Negocio.
- Conformidad del cliente.
3.8.- Registros de Interesados
El Director de Proyecto se apoyará en una serie de herramientas y técnicas para realizar su

análisis de interesados según su influencia, interés e impacto en el proyecto.
Tabla 12: Registros de Interesados
3.8.1.- Requisitos por Partes Interesadas

67
De acuerdo a las encuestas y evaluaciones obtenidas con las partes interesadas, se representa a
continuación, los requisitos para el Plan de Continuidad Operativo de acuerdo a lo requerido
por el estándar, representando sus necesidades y expectativas.
Tabla 13: Requisitos de las partes interesadas

68

69
Figura 9: Tabla de poder – interés

De manera se muestra en la tabla, en este se encuentra un listado en donde se registran los a

más detalle cada uno de los interesados, la categoría a la que pertenecen y el nivel de interés e
influencia que impactan sobre el proyecto.
3.9.- Cronograma - EDT
Tabla 14: Cronograma EDT
EDT Actividades Duración Fin %

(días) Completo
Total de Días proyectados 70 21/10/2021 100%
1 Inicio del Proyecto 1 Mie 30 -Junio 100%
Semana 1 1 Mie 30 -Jun 100%
1 Planificación 8 Mie 07 - jul 100%
Semana 1 2 Lun 05 - jul 100%
1.1 Acta de constitución 1 Vie 02 -jul 100%
1.2 Registros de Interesados 1 Lun 05 - jul 100%
Semana 2 1 Mar 06 - jul 100%
1.3 Cronograma 1 Mar 06 - jul 100%
Semana 3 2 Mie 07 - jul 100%
70

(días) Completo
1.4 Plan de Proyecto 2 Mie 07 - jul 100%
2 Análisis 21 Lun 02 - Agos 100%
Semana 4 2 Vie 09 - jul 100%
2.1 Documento para el análisis del 2 Vie 09 - jul 100%
problema
Semana 5 5 Lun 19 - jul 100%
2.2 Documento para el análisis de 2 Mie 14 - jul 100%
Impacto al negocio (BIA)
2.2.1 Reunión con Gerente de General 1 Jue 15 - jul 100%
para que defina los niveles de las
actividades de los procesos
críticos
2.2.2 Reunión con el Gerente 1 Vie 16 - jul 100%
Financiero para definir los niveles
de las actividades de los procesos
críticos
2.2.3 Reunión con el Gerente Logística 1 Lun 19 - jul 100
para definir los niveles de las
actividades de los procesos
críticos
2.2.4 Identificación de procesos críticos 1 Lun 19 - jul 100%
con la Alta Dirección
Semana 6 2 Mar 20 - jul 100%
2.3 Documentación para los riesgos 2 Jue 22 - jul 100%
identificados
Semana 7 1 Vie 23 - jul 100%
2.4 Documento de Matriz de 1 Vie 23 - jul 100%
Requerimientos
Semana 8 7 Jue 05 - Agos 100%
2.5 Informes de Resultados de la 2 Vie 30 -jul 100%
Identificación de procesos
críticos
2.6 Informe de Resultados de Análisis 1 Lun 02 - Agos 100%
de impacto al negocio BIA
2.7 Informe de resultados de la 2 Jue 05 - Agos 100%
identificación de los escenarios de
amenazas identificados
3 Diseño del Proyecto 4 Lun 30 - Agos 100%
Semana 09 2 Vie 06 - Agos 100%
3.1 Informe del resultado de la 2 Vie 06- Agos 100%
evaluación y selección de la
estrategia de recuperación
Semana 10 2 Mie 11 - Agos 100%
3.2 Documento para la Evaluación de 1 Vie 13 - Agos 100%
las alternativas de Solución
71

(días) Completo
3.2.1 Definición de Roles y 1 Lun 16 - Agos 100%
responsabilidades
3.2.2 Informe de resultados de mejores 1 Jue 26 - Agos 100%
opciones de alternativas de
solución
Semana 11 8 Jue 02 - Set 100%
3.3 Plan de Entrenamiento y 1 Vie 27 - Agos 100%
Capacitación
3.3.1 Talleres de capacitación y 3 Mar 31 - Agos 100%
concientización al personal
usuario
3.3.2 Talleres de entrenamiento para el 2 Mie 01 - Agos 100%
equipo de continuidad
3.3.3 Informe de resultados del plan de 1 Jue 02 - Set 100%
entrenamiento y capacitación
Semana 12 1 Vie 03 – Set 100%
3.4 Propuesta de diseño de plan de 1 Vie 03 – Set 100%
continuidad operativa
3.5 Especificaciones de 1 Vie 03 – Set 100%
Cumplimiento de la matriz de
requerimientos
4 Pruebas de un Plan de Mejoras 12 Mar 21 - Set 100%
Semana 13 4 Jue 09 - Set 100%
4.1 Diseño de un Plan de Pruebas 4 Jue 09 - Set 100%
Semana 14 4 Mie 15 - Set 100%
4.2 Ejecución de un Plan de Pruebas 4 Mie 15 - Set 100%
Semana 15 2 Vie 17 - Set 100%
4.3 Revisión de un plan de Resultados 2 Vie 17 - Set 100%
Semana 16 1 Lun 20 - Set 100%
4.4. Plan de Mejoras 1 Lun 20 - Set 100%
Semana 17 1 Mar 21 - Set 100%
4.5 Presentación del Final Proyecto 1 Mar 21 - Set 100%
72
3.10.- EDT - Matriz de Requerimiento para el Diseño de un Plan de Continuidad Operativa
Figura 2: EDT - Matriz de Requerimientos para el Diseño de un Plan de Continuidad Operativa.
3.11.- Análisis de proyecto BIA
Con el fin de desarrollar satisfactoriamente el presente proyecto se ha contemplado cuatro fases

vitales las cuales, a su vez, permitirán el diseño de un Plan de continuidad operativa basado en
la norma ISO/IEC 27031-2011 para el área de archivos de la Oficina de Sistemas de la
Institución Estatal, a saber.
73
3.12.- Análisis de Impacto de Negocio (BIA):
En esta parte se presenta los pasos para realizar un Análisis de Impacto del Negocio (BIA) en
el área de archivo de la Oficina de Sistemas para una Institución Estatal. Seguidamente, se
muestran los aspectos que disponen la norma ISO/IEC 27031:2011 y la Guía de Buenas
Prácticas del BCI para la realización de un BIA. Por último, se describen las acciones
necesarias para efectuarlo en la Institución Estatal.
En tal sentido, se realizó el Análisis de Impacto al negocio (BIA) planificado con anterioridad
en los puntos anteriores de entrevistas y reuniones con la alta dirección y responsable directos
de los procesos. Aquí se identificarán los procesos de la organización, los impactos asociados
a estos y su priorización. Luego, con esta información se determinarán los tiempos de
recuperación de niveles de servicio de los servicios de TI asociados a dichos actividades y
procesos críticos.
Al finalizar el proceso de Análisis BIA, los resultados preliminares deberán ser enviados a los
responsables de los procesos para efectivamente dar conformidad al resultado.
3.13.- Metodología
El presente Análisis de Impacto al Negocio (BIA) está orientado principalmente en la norma
ISO/IEC 22317:2015. A través de su metodología se pueden identificar niveles de impacto,

niveles de servicio, productos, procesos y actividades críticas de negocio, y la priorización de
cada uno de ellos (ISO 22317, 2015).
Tabla 15:Acciones BIA

Nª ACCIONES BIA
1 Determinar los objetivos y alcance para establecer el contexto de la organización a evaluar.
2 Roles y responsabilidades del comité que realizará la evaluación
3 Identificar los procesos de las áreas de negocio
4 Determinar los procesos críticos y determinar su impacto debido a una interrupción

74
5 Identificar los servicios de TI asociados a estos proceso críticos

6 Identificar los recursos asociados a estos servicios
7 Determinar el RTO
8 Determinar el RPO
9 Establecer el máximo periodo de interrupción (MTPD) que puede soportar cada proceso
10 Categorizar los servicios de TI con la prioridad de recuperación
Fuente: 1 Elaboración Propia
Figura 10: Proceso de Análisis de Impacto en el Negocio

Fuente 22: ETP-ISO/TS 22317:2019 Especificación Técnica Peruana, ISO:2015 -
INACAL: 2019
3.13.1.- Procedimiento de la Realización de las Acciones BIA:
Paso 1: En la determinación de las dos primeras acciones son pre- requisitos para poder iniciar
un análisis BIA. Esto dos puntos nos brindaran información suficiente y actualizada de la
organización en la que se desarrolla el proyecto.
75
Figura 11: Diagrama de Proceso de Entrada y Salida BIA

Fuente: 2 Elaboración Propia
3.13.1.1.- Determinar los objetivos y alcance para establecer el contexto de la organización a
evaluar.
En primera instancia se debe plantear el objetivo de tal evaluación, este tiene que ser medible,
alcanzable, dentro de un tiempo establecido y definir que se quiere lograr con esta evaluación.
La definición del alcance debe establecerse en términos de procesos, productos y/o actividades
se desean tener como caso de estudio.
Para definir el contexto de la institución Estatal se hará uso de la Matriz FODA, al respecto
David (2013) señala que esta herramienta analiza tanto el contexto interno y externo de la
organización. Este recurso permite establecer 4 análisis: Fortalezas, Oportunidades,
Debilidades y Amenazas (Anexo 1):
- Análisis Interno (Fortalezas y Debilidades)

76
- Análisis Externo (Oportunidades y Amenazas)
- Elaboración de la matriz
Aplicación de la Metodología:
En este trayecto se inicia con el desarrollo de la Matriz FODA conocida como una herramienta
estratégica de análisis de la situación del Área de Archivo del Oficina de Sistemas con el
propósito de planificar una estrategia a Futuro. En la cual va permite identificar tanto las
oportunidades como las amenazas que presentan nuestro mercado, y las fortalezas y debilidades
que muestra nuestra Institución.
Figura 12: Matriz FODA

Fuente: Adaptado de Matriz FODA (David, 2013).
Para este análisis se considerará solo el Análisis Interno y Externo de la Matriz FODA, para
obtener la información necesaria del estado actual de la Institución Estatal.
77
3.13.1.2.- Roles y responsabilidades del comité que realizará la evaluación
Como siguiente acción se deben determinar los procesos críticos realizando el análisis
estableciendo el peor caso posible ocasionado por una interrupción teniendo en cuenta la
infraestructura actual de la organización. Tal como lo indica la norma ISO 22317 (2015), se
deben definir roles y responsabilidades para la recopilación de información, toma de
decisiones, planificación y gestión, análisis y documentación. En la Tabla 6 se definen las
responsabilidades para cada rol:
Tabla 16: Roles y Responsabilidades BIA

ROLES RESPONSABILIDADES
Ser un ejecutivo que represente a la alta dirección
Ser respetado dentro de la organización por otros miembros de la alta dirección
Tener una perspectiva de toda la organización

Patrocinador del
Tener la autoridad para comprometer a la organización a actuar
proyecto
Tomar decisiones finales sobre el proceso BIA
Representar a la alta dirección
Proporcionar asesoramiento y orientación continuos sobre la conducción del proceso de

BIA
Comité Directivo Acordar los métodos y resultados
del Proyecto Tomar decisiones sobre los resultados de BIA
Ayudar al líder de BIA y al gerente de proyecto a determinar las competencias

requeridas para los roles y responsabilidades de BIA y la conciencia, conocimiento,
comprensión, habilidades y experiencia necesarias para cumplirlas
Realizar el proceso BIA
Tener un conocimiento de la organización, en particular de productos, servicios,

Líder BIA
servicios y procesos
Tener experiencia en la realización de un proceso BIA
Gerente de Planificar y gestionar el proceso de BIA

proyectos Tener conocimiento de las tareas de planificación de proyectos
Estar familiarizado con el proceso BIA
Tener una comprensión relativamente detallada del proceso en el que representan para
ayudar al director del proyecto a identificar a los expertos en la materia, las unidades
organizativas y los impactos del tiempo de inactividad
78
Tener la autoridad para asignar prioridades de recursos específicos del proceso
Propietarios de
procesos
Tener un conocimiento muy detallado de la actividad en la que representan, incluidos

todos los recursos que permiten que la actividad opere.
Responsables de
Estar al tanto de los procesos y recursos alternativos que podrían estar disponibles en
actividad caso de una pérdida de recursos primarios
Fuente 23: Resumen de los Funciones y competencias específicas de BIA adaptado de la

sección 4.3.2 de la norma ISO 22317, 2015.
Para casos en que la empresa es más pequeña se pueden combinar los roles. Además, la
organización debe garantizar las competencias necesarias para las responsabilidades antes
descritas en la Tabla 14 para poder así desarrollar un correcto análisis colaboración y
comunicación efectiva. Estas acciones nos brindan visibilidad de la situación actual de la
organización y los responsables que desarrollaran el análisis BIA (Ver Anexo 1).
En esta etapa antes de llevar a cabo el proceso BIA, la alta dirección del Área de Archivos de
la Oficina de Sistemas debería asegurar que las responsabilidades y autoridades para que los
roles relevantes se asignen y comuniquen dentro de la Institución Estatal. En la cual tabla 15
detalla los Roles BIA de la Institución. Asimismo, se encuentra detallado en el Anexo 1 los Pre
requisitos BIA.
Tabla 17: Roles BIA

Roles BIA
Patrocinador de Gerente General Gerencia

proyecto General
Área a la que pertenece
Comité Gerente General Gerencia

Directivo del General
Proyecto
Líder BIA Administrador de TI Gerencia
de TI
Project Manager Analista de Infraestructura y Gerencia
Redes de TI
Propietarios de procesos Gerente de Operaciones, Alta
Gerente de Logística, Dirección
79
Gerente Financiero y Gerente

de
Gestión Humana.
Responsables de Analista de Infraestructura y Gerencia
actividad Redes de TI
80
3.13.1.3.- Identificar los procesos de las áreas de negocio
Para la identificación de procesos dentro de una organización tal como ha concluido en

Harrington (1991), a partir de un listado de procesos de negocio, el responsable de esta tarea
debe enviarlo a un especialista de procesos que cuente con la capacidad de toma de decisiones.
Para este caso práctico se contará con la experiencia de la Alta Dirección y la Gerencia General
para la toma de decisiones de los procesos críticos de la organización.
Como un criterio adicional de selección Harrington señala que: “… los procesos críticos son
aquellos que tienen alta importancia, así como altas oportunidades de mejora, y estos son los
que primero deben ser atacados” (p.39). Los procesos y el grado de complejidad de estudio que
se requiera solo dependerá de la complejidad de la corporación y por ende la alta dirección.
Por otra parte, el Ministerio de Economía y Finanzas (2018) nos muestra que para la selección
de procesos y servicios es significativo contar con un esquema, secuencial y ordenado para la
identificación de los procesos y las actividades de la organización. Esto nos brinda una visión
clara del flujo del proceso y producto que se entrega al cliente.
Tal como lo indica el MEF (2018), la elaboración del mapa de procesos se clasifica en 3 grupos:
81
Figura 13: Clasificación de los procesos
Fuente: La clasificación de los procesos adaptado de la Resolución Ministerial MEF, 2018
Los niveles de procesos a su vez van en desagregación desde el nivel 0, macroproceso; nivel
1, proceso concreto y nivel 2, sub-proceso o procesos más específicos que forman el proceso
de nivel 1 tal como indica la tabla 15.
Tabla 18: Niveles de proceso

Nivel de Proceso Descripción
Proceso Nivel 0 Macro procesos o Procesos Globales, son un grupo de procesos unidos por
especialidad, tienen como salida un producto/servicio concreto generado por la
totalidad de la organización y que es entregado a usuarios finales. Estos procesos
pueden determinarse de la misión y/o funciones generales de la organización
Proceso Nivel 1 Proceso concreto, que forma parte de un macro proceso o proceso global, en
conjunto agregan valor a los productos y servicios finales. Constituye el primer
nivel de desagregación de los macro procesos.
Proceso Nivel 2 Procesos o actividades que en conjunto forman al proceso de nivel 1. Constituye
el segundo nivel de desagregación del macro proceso, son más específicos que
estos últimos, describen actividades y tareas que explican una cadena que genera
valor.
Fuente: Descripción de los niveles de desagregación de procesos adaptado de la Resolución

Ministerial MEF, 2018
82
En esta acción los procesos de la Institución se muestran hasta la escala de nivel 1 de proceso.
El caso de estudio se enfocará en los procesos de nivel 1 teniendo como entrevistados a los
responsables de cada uno de los procesos de Nivel 0.
En el análisis de proceso de negocio de identificar, evaluar y resolver los problemas ayudara a

la institución a mejorar sus procesos, transformar el negocio y brindar a sus consumidores una
mejor experiencia. Por ello, es necesario que realicen constantemente un análisis de procesos
de negocio.
Tabla 19: Funciones de Procesos del Área de Archivos de la Oficina de Sistemas
ID. ID. NIVEL 1 CODIGO NIVEL 0 CODIGO NIVEL 1
TIPO DE PROCESO NIVEL 0 NIVEL 0 NIVEL RESPONSABLE DE
1 PROCESO
1.1 Definir el concepto de Gerente General PA –DE-01.1.1

negocio y la visión a largo
Desarrollo de plazo
la visión y
estrategia 1.2 Desarrollar la estrategia de Gerente General PA –DE-01 PA –DE-01.1.2
1 corporativa negocio
1.3 Ejecutar y medir las Gerente General PA –DE-01.1.3

iniciativas estratégicas
2.1 Gestionar las proyecciones Jefe de Finanzas PA – RF-01.2.1

de la información financiera
2.2 Realizar la gestión de Tesorero PA – RF-01.2.2

ingresos
2.3 Gestionar la contabilidad y Contador General PA – RF-01.2.3

elaborar información
PROCESOS financiera
ADMINISTRATIVOS 2 Gestión de los PA – RF-01
recursos 2.4 Procesar planillas Gerente de RRHH PA – RF-01.2.4
DE CERTIFICADOS
financieros
2.5 Procesar pagos y adelantos y Tesorero PA – RF-01.2.5
reembolsar gasto
2.6 Manejar operaciones de Tesorero PA – RF-01.2.6

Tesorería
2.7 Gestionar control financiero Contador General PA – RF-01.2.7
2.8 Gestionar impuestos Contador General PA – RF-012.8

84

1 PROCESO
Gestión y 3.1 Gestionar los productos del Jefe de Área de Archivo PA-DP-01.3.1
desarrollo de Área de Archivos
3 productos PA-DP-01
3.2 Generar y definir nuevos Líder de mejora PA-DP-01.3.2
productos y mejoras continua
4.1 Desarrollar estrategia de las Gerente PO-VM-01.4.1

actividades de procesos para
el área de archivo Comercial
4.2 Gestionar servicio y Líder de PO-VM-01.4.2

Actividades actividades para el personal PO-VM-01
aplicaciones
de procesos y
4 productos 4.3 Desarrollar, Administrar y Gerente PO-VM-01.4.3
servicios Gestionar Planes de
procesos Comercial
5.1 Planificar y alinear el Gerente de PO-EP-01.5.1

PROCESOS procedimiento de procesos
OPERATIVOS DE en el área de archivo operaciones
EVALUACION DE
PERSONAL
5.2 Abastecer Materia Prima Jefe de Logística PO-EP-01 PO-EP-01.5.2
para las actividades de los
procesos en el área de
5 Entrega de archivo
procesos 5.3 Aprovisionar suministros, Jefe de Logística PO-EP-01.5.3
repuestos, equipos y
servicios
5.4 Producir/ Procesos de Gerente de Planta PO-EP-01.5.4
certificados, proceso de
85

1 PROCESO
evaluación profesional del

personal.
5.5 Administrar actividades de Jefe de Logística PO-EP-01.5.5

procesos, almacenamiento.
6.1 Planificar estratégicamente Gerente de RRHH PS-GP-01.6.1

el diseño institucional
6.2 Seleccionar y administrar la Supervisor de Gestión PS-GP-01.6.2

información del Personal Humana
6.3 Desarrollar y orientar a los Gerente de RRHH PS-GP-01.6.3

empleado
6.4 Gestionar relaciones con los Asistente Social PS-GP-01.6.4

empleados
PROCESOS DE 6 Gestión de PS-GP-01
SOPORTE las Personas 6.5 Gestionar las Gerente de RRHH PS-GP-01.6.5
compensaciones y
beneficios
6.6 Reubicar o retirar al personal Asistente Social PS-GP-01.6.6
6.7 Comunicar internamente al Asistente de PS-GP-01.6.7

personal
RRHH
7.1 Gestionar el negocio de la Jefe del Área Soporte de PS-TI-01.7.1

tecnología de información TI
Gestión de la PS-TI-01
Tecnología 7.2 Desarrollar y gestionar las Jefe del Área Soporte de PS-TI-01.7.2
7 de la relaciones de los clientes TI
Información
86

1 PROCESO
8.1 Planear y adquirir activos no Jefe de PS-GA-01.8.1

productivos
Mantenimiento
8.2 Diseñar e instalar activos de Gerente de Operaciones PS-GA-01.8.2

información
Adquisición, PS-GA-01
instalación y 8.3 Gestionar y mantener los Sub-Gerente de PS-GA-01.8.3
8 gestión de activos información Mantenimiento
activos
8.4 Disponer de los activos Gerente de Operaciones PS-GA-01.8.4
productivos y no
productivos de la institución.
9.1 Desarrollar y Administrar Gerente de PS-SE-01.9.1

Estrategia de proceso
Gestión de la Seguridad
seguridad,
9.2 Gestionar Riesgos y Gerente de PS-SE-01 PS-SE-01.9.2
salud y medio Controles
9 ambiente Seguridad
9.3 Asegurar Cumplimientos Gerente de PS-SE-01.9.3
Seguridad

La información de procesos de la Institución Estatal ha sido trabajada en base a sus procesos
de nivel 0. En la Fig.18 se detallan dichos procesos ya que los responsables de dichos procesos
pertenecen a su vez a la alta dirección y facultad en la toma de decisiones con respecto a la
información de su proceso.
Figura 14: Mapa de Procesos
3.13.1.4.- Determinar los procesos críticos y determinar su impacto debido a una interrupción
En esta determinación se debe detallar los criterios y escalas de evaluación para la

identificación de los procesos en el área de ascensos. La evaluación se deberá realizar a los
responsables o principales representantes de negocio de cada proceso de la organización,
llamados también integrantes de la alta dirección de la empresa, para definir los procesos
críticos y las escalas de cada proceso de nivel 1 (Ver Anexo 2)
88
En la Tabla 18, muestra las escalas de evaluación que se han identificado para cada criterio. De
acuerdo a la norma ISO 22317 (2015), se deben considerar para el análisis de procesos críticos
en un análisis BIA el impacto operacional, imagen o reputacional, contractual y económico.
Para este caso de estudio no se han considerado impactos como financiero, legal y regulatorio
ya que no aplican al negocio de la empresa en cuestión.
Para el análisis de impacto económico
Ahora bien, para realizar la ponderación de las escalas el Ministerio de Economía y Finanzas
del Perú a través de la Resolución Ministerial MEF (2018) señala que: “Para su identificación
se les asigna valores que luego son promediados y cuyo resultado es utilizado para obtener la
primera lista de procesos críticos” (028-2015-PCM., 2020, pág. pag. 22)
89
Tabla 20: Criterios de evaluación de procesos

CRITERIOS DE EVALUACION
Calificación Bajo (1) Moderado (2) Severo (3)
OPERACIONAL Se origina una interrupción Se origina una interrupción La paralización del pro
operativa muy leve con considerable en la ceso obliga al cliente a
Impide obtener el
mínimo un impacto en la producción con impacto cambiar de proveedor de
producto o
atención de los clientes. moderado en las forma temporal. Las ven
resultado del
operaciones, la perdida de tas no realizadas no se
proceso en
capacidades se recupera recuperan, se originan
cuestión
parcialmente al reanudar la retrasos graves en los
actividad. procesos operativos.
REPUTACIONAL La reputación de la Si el proceso no se encuentra Si el proceso no se
compañía no se vería disponible se genera pérdida encuentra disponible
Opinión negativa o
afectada, aun que podrían de confianza por parte de los afecta totalmente la
daño a la marca
originar se reclamos leves. personales, esto puede imagen de la empresa, se
generar posibles reclamos de pierde posicionamiento e
responsabilidad por parte de imagen, así como pérdida
los personal de la institución de confianza y
(clientes) credibilidad.
CONTRACTUAL Si el proceso no está Se originan pérdidas Se generan alta pérdidas
disponible no se originan financieras por no atender financieras por no atender
incumplimientos de normas, contratos con los clientes en contratos con los clientes
Responsabilidad
regulaciones o procesos las fechas de entrega en las fechas de entrega
por contratos
contractuales, ni perdidas programadas. Faltas en el establecidas. Falta de
económicas. Cumplimiento generando cumplimiento genera
penalidades y/o multas penalidades y/o multas
establecidas previamente. establecidas previamente.
ECONOMICO (*) Cuando la paralización del Cuando la paralización del Cuando la paralización del
proceso afecta mínimamente proceso afecta considerable proceso afecta drástica
te los ingresos de la mente los ingresos de la mente los ingresos de la
Costos adicionales,
empresa. Las pérdidas empresa. La pérdida de empresa y afecta drástica
penalizaciones o
económicas son menores al ingresos afectara mente la facturación de la
pérdida de
0.25% de la facturación considerable mente la organización. La pérdida
ingresos
mensual de la empresa. facturación de la de Ingresos se consideran
organización. La pérdida de en el rango superior al
Ingresos considerados hasta 0.5% de la facturación
0.5% de la facturación mensual de la empresa.
mensual de la empresa.
90

(*) El porcentaje (%) de perdida es estipulado por la alta dirección tomando en cuenta los ingresos promedio de
un mes de facturación.
Con estos puntos definidos el nivel de criticidad obtenido sería el promedio de la valoración de
los impactos. Para la definición de los procesos se definen niveles de criticidad los cuales se
muestran en la Tabla 19.
Figura 3: Nivel de criticidad
El cálculo del promedio para los 4 impactos descritos anteriormente se detalla en la siguiente
formula.:
Se debe determinar el valor de criticidad a considerar para seleccionar los procesos críticos
resultantes. Por acuerdo con la alta dirección, para este caso de estudio, los procesos que tienen
valorización de criticidad Alto [2.5-3.0] se consideraran procesos críticos. Los valores a
analizar deberán colocarse en el siguiente cuadro:
91
Figura 4: Evaluación de procesos
El resultado de este análisis de la Tabla 20, serán los procesos críticos de la organización los
cuales serán objeto de estudio para este proyecto.
Del análisis realizado en la Tabla anterior de alternativa de solución, se puede determinar que
tres de los procesos son los más críticos para la Institución y que estos ocasionarían un gran
impacto si sufren una interrupción prolongada.
Recordemos la valoración de impactos brindada para cada nivel propuesto en la Tabla 8.

Criterios de evaluación de procesos.
Tabla 21: Matriz de determinación de procesos críticos y niveles de impacto
PROCESOS PROCESOS NIVEL 1 RESPONSABLE DE CALCULO CRITICIDAD
REPUTACIONAL
REGULATORIO
OPERACIONAL
NIVEL 0 PROCESO O+R+L+E/4=
ECONOMICO
LEGAL Y
RESULTADO
Desarrollo de la Definir el concepto de Gerente General 1 2 1 1 1.25 Bajo

visión y estrategia negocio y la visión a largo
institucional plazo
Desarrollar la estrategia de Gerente General 1 1 2 2 1.5 Medio

negocio
Ejecutar y medir las Gerente General 1 1 2 1 1.25 bajo

iniciativas estratégicas
Gestión de los Gestionar las proyecciones Jefe de Finanzas 1 1 2 1 1.25 bajo

recursos de la información financiera
financieros
Realizar la gestión de Tesorero 1 1 2 1 1.25 bajo
ingresos
Gestionar la contabilidad y Contador General 1 1 2 1 1.25 bajo

elaborar información
financiera
Procesar planillas Gerente de RRHH 1 1 2 2 1.5 Medio
Procesar pagos y adelantos Tesorero 1 1 2 2 1.5 Medio

y reembolsar gastos
93
REPUTACIONAL
REGULATORIO
NIVEL 0 PROCESO
OPERACIONAL
O+R+L+E/4=
ECONOMICO
LEGAL Y
RESULTADO
Manejar operaciones de Tesorero 1 1 2 2 1.5 Medio

Tesorería
Gestionar control financiero Contador General 1 1 2 2 1.5 Medio
Gestionar impuestos Contador General 1 1 2 1 1.25 Bajo
Gestión y Gestionar las actividades de Jefe de Sistemas 1 1 1 1 1 Bajo

desarrollo de procesos
actividades
Generar y definir nuevas Líder de mejora 1 1 1 1 1 Bajo
actividades y mejoras continua
Entrega de Planificar y alinear las Gerente de operaciones 1 1 1 1 1 Bajo

actividades de actividades de procesos
procesos
Abastecer Materia Prima Jefe de Logística 3 2 2 3 2.5 Severo
para los procesos en el área
de archivos
Aprovisionar suministros, Jefe de Logística 3 1 2 2 2 Moderado

repuestos, equipos y
servicios
Producir/ Procesos de Gerente de Planta 3 1 3 3 2.5 Severo

certificados , evaluación
Profesional del personal
94
REPUTACIONAL
REGULATORIO
OPERACIONAL
NIVEL 0 PROCESO O+R+L+E/4=
ECONOMICO
LEGAL Y
RESULTADO
Administrar actividades de Gerente de Logística 3 2 2 2 2.25 Severo

procesos, almacenamiento.
Gestión de las Planificar estratégicamente Gerente RRHH 1 1 2 1 1.25 Bajo

Personas el diseño institucional
Seleccionar y administrar la Supervisor RRHH 1 1 2 1 1.25 Bajo

información del Personal
Desarrollar y orientar a los Gerente de RRHH 1 2 1 1 1.25 Bajo

empleados
Gestionar relaciones con los Asistente Social 1 1 1 1 1 Bajo

empleados
Gestionar las Gerente de RRHH 1 1 2 1 1.25 Bajo

compensaciones y
beneficios
Reubicar o retirar al Asistente Social 1 1 2 1 1.25 Bajo

personal
Comunicar internamente Asistente de RRHH 1 1 1 1 1 Bajo

Luego del análisis realizado los procesos críticos resultantes son los que se observan en la tabla
siguiente
Tabla 22: Procesos Críticos

Procesos Nivel 1 Responsable de Proceso
Abastecer Materia Prima para el área de procesos Jefe de Logística
Producir/ Procesos de asensos y servicios críticos Gerente de Planta
Administrar actividades de procesos, Gerente de Logístico

almacenamiento.
Se puede determinar que los procesos en el área de archivo son los que están asociados a la
cadena de suministro con acentuación en el proceso productivo. Estos tienen a su vez servicios
de TI que los soportan. En escala de valoración el proceso “Abastecer Materia Prima para los
procesos en el área de archivos” obtuvo el mayor puntaje “2.75” mientras que los dos procesos
restantes obtuvieron el puntaje de “2.5”.
En esta etapa los procesos de servicios del área de archivos tienen como base recursos de
hardware, software, personal entre otros. Se debe tener en cuenta estos recursos al momento de
determinar las estrategias y alternativas de solución.
96
Tabla 23: Recursos y registros vitales
SERVICIOS DEL AREA

DE ARCHIVO DE LA
OFICINA DE SISTEMAS Recursos (HW/SW/PERSONAL/EQUIPOS)
Hardware Software Personal
Servidor Dell PowerEdge T320 - Sistema Operativo

Sistema central del área
de archivo - Procesador: Intel Xeon  Windows Server Analista de
2.8 GHz 2008 R2 Infraestructura
- RAM: 8 GB - Base de Datos
- Espacio almacenamiento:  SQL Server 2012

750 GB
Sistema de Control de
Proceso - Servidor virtual - Sistema Operativo Analista de
Infraestructura
 Procesador Intel Xeon  Windows Server
3.0 2012 - Virtualización
 RAM: 8 GB
 Almacenamiento: 300
GB
Servicio de conexión
remota VPN  Firewall Cisco ASA 5510 Licencias
20 licencias disponibles
Modulo Planificación
para los procesos - Servidor Blade HP - Sistema Operativo
Windows Server Encargado de
 Procesador: Intel Xeon 4 2016 STD
Ghz Soporte de TI
- Base de datos
 RAM: 64 GB Espacio
almacenamiento: 750  SQL Server 2012 -
GB - Storage ERP SAP Business
One v 740
 Espacio Almacenamiento
4 TB
 Procesador 2 six-cpre 1.8

Ghz
3.13.1.5.- Identificar los servicios de TI asociados a estos procesos críticos
En la siguiente acción es determinar los servicios de TI que soportan estos procesos en el área
de archivo. A su vez se desarrollarán entrevistas con cada responsable de proceso crítico de la
97
institución estatal, procurando mostrar de forma sencilla y practica como se realiza esta fase
del proceso de evaluación. En estas entrevistas se consultarán 4 criterios fundamentales para el
análisis de impacto, son los valores de recuperación RTO, RPO, WRT y MTPD (ISO 22317,
2011). A continuación, se definen estos valores según la norma descrita anteriormente:
Figura 5: Niveles de servicio
Fuente 30: Resumen de Anexo B - Business Impact Analysis Terminology Mapping de la

Norma ISO 22317
3.13.1.6.- Identificación los servicios de TI asociados a estos procesos críticos
Para los cálculos de estos valores se deben emplear las siguientes formulas y deberán ser
aplicados a los servicios de TI y recursos en el área de archivo que estén asociados a estos
procesos.
Para esta recopilación de información se deberá plantear un cuestionario con escalas de tiempo
y cada uno de los valores de recuperación. Como ya se indicó estos análisis deben tener en
consideración los recursos e infraestructura contra el impacto de cada proceso.
98
Como se aprecia en la Tabla 26 los servicios con mayor prioridad de recuperación son aquellos
que soportan a los procesos de producción.
Tabla 24: Matriz de niveles de servicios de TI y los procesos
PROCESOS DE Máxima Tiempo Tiempo Tiempo Máximo

SERVICIOS TI pérdida de máximo requerido para de inactividad que
EN AREA DE Datos tolerable de recuperar puede tolerar el Prioridad de
SISTEMAS Tolerable paralización Datos Perdidos Servicio (MTPD = Recuperación
(RPO) Horas del Servicio (WRT) Horas RTO + WRT)
(RTO) Horas Horas
Sistema central del 6 4 1 5 Alto

área de archivo
Sistema de Control 12 12 1 13 Medio
de Proceso
Servicio de 12 8 1 9 Medio
conexión remota
VPN
Sistema para 6 4 1 5 Alto
estación de trabajo
Modulo 6 4 1 5 Alto
Planificación para
los procesos
comunicación de
datos RPV
Software 12 8 1 9 Medio
Ofimática: MS
Excel
Plataforma 24 24 2 26 Bajo
Ofimática
Ahora bien, luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo
tolerable para los servicios de TI de los procesos críticos en el área de archivos.
Tabla 25: Procesos de la Organización
100
101
3.13.2.- Determinación de Procesos Críticos
Del análisis realizado se puede determinar que tres de los procesos son los más críticos para la
organización y que estos ocasionarían un gran impacto si sufren una interrupción prolongada
antes las posibles amenazas.
Recordemos la valoración de impactos brindada para cada nivel propuesto en la Tabla 8.

Criterios de evaluación de procesos
Tabla 26: Matriz de determinación de procesos críticos y niveles de impacto
PROCESOS PROCESOS RESPONSABLE OPERACIONAL REPUTACIONAL LEGAL Y ECONOMICO CRITICIDAD

NIVEL 0 NIVEL 1 DE PROCESO REGULATORIO
Desarrollo Definir el Gerente General 1 2 1 1 bajo

de la visión y concepto de
estrategia negocio y la
corporativa e visión a largo
institucional plazo
Desarrollar la Gerente General 1 1 2 2 Medio
estrategia de
negocio
Ejecutar y medir Gerente General 1 1 2 1 bajo
las iniciativas
estratégicas
Gestión de Gestionar las Jefe de Finanzas 1 1 2 1 bajo
los recursos proyecciones de
financieros la información
financiera
Realizar la Tesorero 1 1 2 1 bajo
gestión de
ingresos
Gestionar la Contador General 1 1 2 1 bajo
contabilidad y
103

elaborar
información
financiera
Procesar Gerente de 1 1 2 2 Medio
planillas RRHH
Procesar pagos y Tesorero 1 1 2 2 Medio
adelantos y
reembolsar
gastos
Manejar Tesorero 1 1 2 2 Medio
operaciones de
Tesorería
Gestionar Contador General 1 1 2 2 Medio
control
financiero
Gestionar Contador General 1 1 2 1 Bajo
impuestos
Gestión y Gestionar las Jefe de Sistemas 1 1 1 1 Bajo
desarrollo de actividades de
actividades procesos
Generar y Líder de mejora 1 1 1 1 Bajo
definir nuevas continua
104

actividades y
mejoras
Entrega de Planificar y Gerente de 1 1 1 1 Bajo
actividades alinear las operaciones
de procesos actividades de
procesos
Abastecer Jefe de Logística 3 2 2 3 Severo
Materia Prima
para el área de
procesos
Aprovisionar Jefe de Logística 3 1 2 2 Moderado
suministros,
repuestos,
equipos y
servicios
Producir/ Gerente de Planta 3 1 3 3 Severo
Procesos de
asensos y
servicios críticos
Administrar Gerente de 3 2 2 2 Severo
actividades de Logística
procesos,
almacenamiento.
Planificar Gerente RRHH 1 1 2 1 Bajo
estratégicamente
105

Gestión de el diseño
las Personas organizacional
Seleccionar y Supervisor 1 1 2 1 Bajo
administrar la RRHH
información del
Personal
Desarrollar y Gerente de 1 2 1 1 Bajo
orientar a los RRHH
empleados
Gestionar Asistente Social 1 1 1 1 Bajo
relaciones con
los empleados
Gestionar las Gerente de 1 1 2 1 Bajo
compensaciones RRHH
y beneficios
Reubicar o Asistente Social 1 1 2 1 Bajo
retirar al
personal
Comunicar Asistente de 1 1 1 1 Bajo
internamente RRHH
Luego del análisis realizado los procesos críticos resultantes son los que se observan en la tabla
siguiente.
Tabla 27: Procesos Críticos
PROCESOS NIVEL 1 RESPONSABLE DE PROCESO

Abastecer Materia Prima para el área de Jefe de Logística
procesos
Producir/ Procesos de asensos y servicios Gerente de Planta

críticos
Administrar actividades de procesos, Gerente de Logístico

almacenamiento.
3.13.3.- Determinación de los Servicios de TI en los Procesos de Ascensos y sus Recursos
Críticos en el Área de Archivo
Los procesos en el área de archivos tienen como base recursos de hardware, software, personal
entre otros. Se debe tener en cuenta estos recursos al momento de determinar las estrategias y
alternativas de solución.
107
Tabla 28: Recursos y registros vitales
Recursos
PROCESOS DE
SERVICIOS EN (HW/SW/PERSONAL/EQUIPOS)
AREA DE
SISTEMAS
Hardware Software Personal
Sistema central del Servidor Dell PowerEdge - Sistema Operativo
área de archivo T320  Windows Server 2008 R2
- Procesador: Intel - Base de Datos
Xeon 2.8 GHz Analista de
 SQL Server 2012
- RAM: 8 GB Infraestructura
- Espacio
almacenamiento:
750 GB
Sistema de Control - Servidor virtual - Sistema Operativo
de Proceso  Procesador Intel  Windows Server 2012 - Virtualización Analista de
Xeon 3.0  Microsoft Hyper-V Infraestructura
 RAM: 8 GB
 Almacenamiento:
300 GB
Servicio de  Firewall Cisco
conexión remota ASA 5510 20 Licencias
VPN licencias
disponibles
Sistema para - Estación de trabajo - Sistema Operativo
estación de trabajo  Procesador Core  Windows 7 Pro
i7 Analista de
 RAM: 8 GB Infraestructura
Almacenamiento:
300 GB
Modulo - Servidor Blade - Sistema Operativo Windows Server 2016
Planificación para HP STD
los procesos  Procesador: Intel - Base de datos
Xeon 4 Ghz  SQL Server 2012 - ERP SAP Business One
 RAM: 64 GB v 740 Encargado de
Espacio
almacenamiento: Soporte de TI
750 GB - Storage
 Espacio
Almacenamiento
4 TB
 Procesador 2 six-
cpre 1.8 Ghz
108
3.13.4.- Niveles de Servicio de los Procesos Críticos en el Área de Archivos
Los servicios con mayor prioridad de recuperación son aquellos que soportan a procesos de
producción.
Tabla 29: Matriz de niveles de Procesos de Servicios
Tiempo Tiempo
SERVICIOS Máxima Tiempo requerido Máximo de
EN ELAREA pérdida de máximo para inactividad
DE ARCHIVO Datos tolerable de recuperar que puede Prioridad de
Tolerable paralización Datos tolerar el Recuperación
(RPO) Horas del Servicio Perdidos Servicio
(RTO) Horas (WRT) Horas (MTPD =
RTO + WRT)
Horas
Sistema de 12 12 1 13 Medio
Control de
Proceso
conexión
remota VPN
Modulo 6 4 1 5 Alto
Planificación
para los
procesos
comunicación
de datos RPV
Software 24 24 2 26 Bajo
Ofimática:
MS Excel
Ahora bien, luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo
tolerable para los servicios críticos de los procesos críticos.
109
3.13.1.7.- Determinación el RTO
En el cálculo del RTO se deberá hacer una sumatoria de los tiempos de iniciación del sistema
operativo, aplicaciones, tiempo de restauración de datos y configuración, y otros parámetros que
se crea relevante para realizar el cálculo.
3.13.1.8.- Determinación el RPO
El valor RPO muestra la cantidad de información que la organización está dispuesta a perder desde
el ultimo backup realizado. Para la obtención de este dato es necesario contar con el cronograma
de backup relacionados al proceso critico en cuestión.
El valor WRT es el tiempo máximo tolerable que se necesita para verificar el sistema y/o la
integridad de los datos asociados a los servicios. Este valor tiene que contemplar todos los factores
para que el servicio vuelva a tener una normal continuidad.
3.13.1.9.- Establecer el máximo periodo de interrupción (MTPD) que puede soportar cada
proceso
El valor MTPD, según Sikdar (2017), es el tiempo máximo tolerable que un servicio puede quedar
inoperativo debido a una interrupción La suma de los valores de RTO y WRT definen este valor
(p.57).
MTPD= Duración del RTO+WRT
Al igual que para el desarrollo de la evaluación de impactos para este caso se deberá desarrollar
un cuestionario. Este se deberá realizar a los responsables o principales representantes de negocio
de cada proceso de la organización, llamados también integrantes de la alta dirección de la
empresa, para definir los valores de los niveles de servicio para cada servicio de TI de procesos
críticos obtenidos (Ver Anexo 3).
110
Anexo 1: Evaluación de Niveles de Servicio

EVALUACION DE NIVELES DE SERVICIO CODIGO : EVA - 02
Lugar : Institución Estatal Fecha Unidad o Área
Elaborado por Estefhany Mancha Espinoza 01/08/2021 Área de Archivo de la
Oficina de Sistemas
Revisado por Administrador de TI 01/08/2021 Área de Archivo de la
Oficina de Sistemas
Aprobado por Alta Dirección 01/08/2021 Gerencia
2.- DESCRIPCION DE LOS PROCESOS NIVEL 1 A ANALIZAR
Nombre del Producir / certificados y procesos Código PO-EP-01.5

Proceso:
Responsable del Gerente de Operaciones
proceso Nivel 0
Responsable del Gerente de Plantas
proceso Nivel 1
3.- DISPOCISION DE RPO/RTO/MTPD
SERVICIOS DE Máxima pérdida de Tiempo máximo Tiempo Tiempo Máximo de
TI Datos Tolerable tolerable de requerido para inactividad que puede
(RPO) Horas paralización del recuperar Datos tolerar el Servicio
Servicio Perdidos (MTPD = RTO +
(RTO) Horas (WRT) Horas WRT) Horas
Sistema de Control 12 12 1 13
de Proceso
Servicio de 12 8 1 9
conexión remota
VPN
Modulo 6 4 1 5
Planificación para
los procesos
Servicio de 12 8 1 9
comunicación de
datos RPV
Software 24 24 2 26
Ofimática: MS
Excel
3.13.1.10.- Categorizar los servicios de TI con la prioridad de recuperación
De acuerdo al resultado de la evaluación se realiza un ranking para determinar la priorización de

recuperación de servicios en el área de archivo. Esto se realizará en base al resultado obtenido del
valor MTPD de cada uno de los servicios. Al establecer un ranking se puede visualizar de una
mejor manera los servicios críticos del proceso crítico.
111
3.13.5.- Informe del análisis BIA
El informe de análisis BIA es un documento que muestra los resultados de las evaluaciones de
procesos en el área de archivos que estos los integran. Este informe nos da una visión de qué
servicios soportan a las actividades de los procesos y así brindar un mayor enfoque a la continuidad
de dichos procesos.
3.13.6.-Indicador de Logro OE1
Como resultado de la ejecución del Análisis de Impacto al Negocio (BIA), se tiene la relación de
procesos críticos de Nivel 1 con su clasificación de criticidad.
112
Figura 6: Indicador de Logro 1
De los procesos analizados se obtiene como resultado que el 4% se ha clasificado con nivel de
criticidad SEVERO por los responsables del proceso, el 12% con criticidad MODERADO, el 20%
con criticidad MEDIO y 64% con criticidad BAJO.
113
Figura 7: Grafico de niveles de Criticidad de Procesos
Niveles de Criticidad de procesos
12%
4%
BAJO
MEDIO
20% SEVERO
64% MODERADO
Los niveles de impacto se desarrollaron en el punto 3.13.1.4 Como métrica se han utilizado los
niveles de impacto operacional, reputacional, regulatorio y económico (Ver Tabla 21).
Los niveles de servicio se desarrollaron en el punto 3.13.1.6. Como métrica se han utilizado los
niveles de servicio RTO, RPO, WRT y MTPD (Ver Tabla 25).
Los recursos y registros vitales se desarrollaron en el punto 3.13.1.4. Como métrica se planteó que
los recursos y registros vitales críticos son los que están asociados a los servicios del área de
archivo de la oficina de sistema de los procesos críticos del punto 3.13.1.3. (Ver Tabla 24).
114
3.14.- Análisis de Riesgo
3.14.1.- Metodología de Análisis y Tratamiento de Riesgos adaptado de ISO 27005: 2018
En esta fase se manifiesta lo elaborado para cumplir con el requisito de la norma 27031:2011. Esta
metodología de evaluación de riesgos y el enfoque realizado, se llevaron a cabo siguiendo las
directrices del estándar ISO 27005:2018 que brinda recomendaciones y lineamientos de métodos
y técnicas de evaluación de riesgos del Plan de Continuidad Operativo. La evaluación es de
extenso alcance y evalúa las vulnerabilidades de la continuidad operativo que perjudican a las
posibles o amenazas.
Cualquier organización, ya sea pública o privada, tiene múltiples objetivos que debe cumplir al
mismo tiempo. Consiguiendo ser tanto de alto nivel estratégico, como una buena disposición de
calidad para una organización estatal para concretar las metas operacionales. Estos objetivos
diferentes alcanzan a menudo causar conflictos internos y externos para la institución estatal que
intenta mantener una postura segura en nuestra dinámica sociedad.
Hoy en día la mayoría de las organizaciones son conscientes de que estos sistemas de información
están expuestos a diferentes amenazas, tanto interno como externo de la organización. Como el
valor de un sistema de TI tiene que ser considerado desde una perspectiva empresarial del mismo
valor que para la seguridad de los sistemas informáticos. Conseguiremos observar las diferentes
fases de nuestra metodología en la siguiente figura:
115
Figura 15: Metodología de riesgo: ISO 27005: 2018

Fuente 39: Norma ISO/IEC 27005
De acuerdo a la figura la norma menciona que la hora de planificar nuestro sistema de gestión
debemos considerar los asuntos que ha hemos tratado previamente en este documento. Es por
ello, que a continuación detallaremos nuestra gestión de riesgos que se desarrollará de acuerdo
a la metodología señalada en la figura 16 de la siguiente manera:
116
Tabla 30:Fases de la Gestión de Riesgos
3.14.2.- Fases de la Gestión de Riesgos:
3.14.2.1.- FASE 1: Establecimiento del contexto
Se ha adquirido toda la información pertinente acerca de la organización y se han tomado criterios

básicos necesarios para nuestra gestión de riesgos:
- Se ha tenido presente el Informe contexto de la organización, a efectos de poder entender

el estado situacional de la institución.
- Se ha tomado en consideración el Informe de necesidades y expectativas de las partes

interesadas, a fin de poder conocer sobre sus requerimientos y expectativas sobre
continuidad operativa de los procesos de la institución.
- Se ha tomado en cuenta la Declaración del Alcance del Diseño del plan de Continuidad
operativo, a bienes de conocer el principal proceso estratégico de la institución.
- Se ha determinado, gracias a los informes anteriores, que los parámetros establecidos son
idóneos para nuestra gestión de riesgos. Dicha verificación se encuentra en el Informe de
gestión de riesgos.
117
3.14.2.2.-. FASE 2: Parametrización de la Gestión de Riesgos:
Nivel de aceptación de Riesgos
El área de archivo de la oficina de sistemas la institución Estatal. La institución estatal se encuentra

dispuesta a aceptar, los riesgos que no ocasionen un impacto significativo sobre el desempeño del
proceso que se lleva en el área de archivo. Aquellos riesgos tipificados con valor Extremo, Alto,
Moderado, Mínimo son considerados para ser tratados, salvo en casos que la dirección estime no
sea conveniente.
A los riesgos que se identifiquen como Altos al concluir la fase de Evaluación de Riesgos, se ha
definido que podrán ser aceptados y no pasar a ser tratados solo en los siguientes casos:
- Cuando el costo de tratar el riesgo se estime como mayor a la pérdida o impacto económico
generado por la ocurrencia del mismo.
- Cuando el costo de implementar el control o controles se encuentra fuera del presupuesto

del año en curso.
- Cuando no se dispone de recursos o se padece de recortes de presupuesto por decisión de

la alta dirección.
3.14.2.3.- FASE 3: Inventarios de Activos
En esta fase se iniciará con la elaboración del inventario de activos de información para los
procesos considerados dentro del alcance del Diseño del Plan de Continuidad Operativo en los
procesos. Los activos de información identificados serán valorados en base a los criterios de las
posibles amenazas o desastres sobre los mismos. La decisión de utilizar una escala cuantitativa a
una cualitativa es netamente de preferencia organizacional, pues ambos tipos de valoración
podrían ser utilizados para el mismo activo.
118
Identificación de Activo de Información
Su objetivo es determinar y comprender qué podría suceder que cause una pérdida potencial a la
institución. Para ello, se siguen los siguientes pasos:
- Tomar como punto de partida de este enfoque la identificación de los activos de

información que podrían ser afectados por lo que se refiere a la posible amenazas o
desastres. Por tanto, tomamos como referencia los datos obtenidos en la Declaración del
alcance del Diseño del Plan de Continuidad Operativo para los procesos en el área de
archivo.
- Identificar a los colaboradores que participan en proceso de evaluación del personal y

servicios críticos y entrevistarlos a fin de poder identificar los riesgos que puedan afectar
a la institución.
- Registrar los riesgos identificados en la Matriz de riesgos, a efectos de luego

documentarla en el Informe de gestión de riesgos.
- Para nuestro proceso del área de archivo, se ha preparado la lista de los activos de
información con los siguientes atributos: (Inventario de Activos de Información):
- Código del activo
- Nombre único del activo
- Descripción del activo
- Categoría del activo: indica la naturaleza del activo
- Clasificación: grado de secreto del activo
- Frecuencia de uso: Asiduidad con la que se usa el activo durante el proceso.
- Tipo de ubicación: Física, lógica.

119
Tabla 31: Categorías de activos de Información
Fuente: Elaboración Propio

120
Tabla 32:. Clasificación de activos de información
Tabla 33: Frecuencia de uso de activos de información
Valorización de activos
121
Se estima el valor del activo del promedio de sumar los valores del nivel de relevancia respecto a
la confidencialidad, integridad y disponibilidad de acuerdo a la siguiente formula:
Valor del activo = (Confidencialidad + Integridad + Disponibilidad)
Tabla 34: Escala de Valor de activos

122
En cuanto la base al promedio obtenido (valor del activo en términos de confidencialidad,

integridad y disponibilidad) y al rango de la tasación que establece el área de archivo de la oficina
de sistemas para la Institución Estatal para la selección de aquellos que serán considerados para
continuar en la gestión de riesgos de la continuidad de operativa, se identifican a los activos de
valor más significativo (ver tabla 33)
Tabla 35: Esquema de Valorización Final de Activos de Información.
Los activos que se han seleccionado son aquellos que tienen un valor crítico (Medio, Alto y Muy
Alto) para pasar a la siguiente etapa, Análisis de Riesgos.
Luego de haber concluido el inventario de activos de información, se procede al análisis de riesgos,

donde se seleccionarán solo los activos de información cuyo valor es considerado crítico para la
institución. Para estos activos se deberá identificar las posibles amenazas a las que están expuestos
123
los mismo, además de las vulnerabilidades.
3.14.2.4.- FASE 4: Análisis de Riesgos
Se han examinado cada uno de los atributos inherentes a los riesgos identificados:
- Se detallan las amenazas detectadas conjuntamente con las vulnerabilidades que podrían
explotar.
- Se determina, a través de la matriz de riesgos, la expresión de la probabilidad de que se

materialice el riesgo y el impacto que podría causar en la organización.
- Se realiza un cálculo del nivel de riesgo con los datos obtenidos previamente y se
documenta en el Informe de la gestión de riesgos.
124
Figura 8:Enfoque de evaluación de riesgo según ISO 27005
Fuente 43: Norma ISO/IEC 27005: 2018
El proceso de gestión de riesgos de continuidad de negocio puede ser iterativo para la evaluación
de riesgos y/o actividades de riesgo. Si la evaluación de riesgos proporciona elementos suficientes
para determinar realmente las acciones necesarias para reducir el riesgo a un nivel aceptable, se
va directamente a la aplicación de las opciones de tratamiento de riesgos. Si no hay suficiente
información para determinar el nivel de riesgo o el nivel de riesgo después que el tratamiento
previsto es inaceptable, una nueva iteración de la evaluación de riesgos se llevará a cabo en
algunos o todos los elementos del dominio de aplicación. Si el tratamiento de riesgos no es
satisfactorio y el establecimiento del contexto es correcto, una nueva iteración de tratamiento de
riesgos se llevará a cabo, de lo contrario, se llevará a cabo el establecimiento de una nueva
iteración del contexto.
125
Vulnerabilidades
A raíz del análisis realizado, la entidad puede identificar las vulnerabilidades que detonantes que
tiene el área de archivo de la Oficina de Sistemas para la institución Estatal. Se ha determinado
detallar un Catálogo de Vulnerabilidades en la tabla siguiente.
126
Tabla 36: Tipos de Vulnerabilidades

127
128
Amenazas
Tomando en cuenta la lista de activos que han sido identificados como relevantes, se realizará la
identificación de las amenazas asociadas a cada uno de ellos en la siguiente tabla.
Tabla 37: Tipos de Amenazas

129

130
Estimación de probabilidad del riesgo
Luego de identificar las hipótesis de incidentes correspondientes y la estimación de sus

consecuencias, se debe estimar la probabilidad de ocurrencia de cada escenario. Es necesario
estimar la probabilidad realista de un incidente de seguridad de un activo a la vista de las amenazas
dominantes y las vulnerabilidades, los impactos asociados a los activos y los controles de
seguridad ya implementadas para proteger los activos del área de archivo.
Para determinar si una amenaza es significativa con respecto a un activo de información, se

identifica la probabilidad de ocurrencia dentro del rango del nivel de ocurrencia establecido (ver
tabla 27)
Tabla 38:Probabilidad de Ocurrencia del riesgo
De esta forma se ha seleccionado aquellos riesgos cuya probabilidad es Media, Alta y Muy Alta,
para pasar a la siguiente etapa: Evaluación con un total riesgos.
3.14.2.5.- FASE 5: Evaluación del Riesgos Residual
El riesgo residual es el riesgo que queda después de que el riesgo ha sido tratado. La noción de
riesgo residual puede ser definida como el riesgo que queda después de la aplicación de los
controles con el objetivo de reducir el riesgo inherente, y puede resumirse de la siguiente manera:
131
El riesgo residual = Riesgo inherente - Riesgo tratado por los controles
Después de la aplicación de un plan de tratamiento de riesgos, siempre existen riesgos residuales.

El riesgo residual puede ser difícil de evaluar, pero por lo menos debería hacerse una estimación
para tratar de asegurar que el valor de los riesgos residuales respeta los criterios de aceptación de
riesgos de la Institución. Además, la Institución debe asegurarse de poner en práctica mecanismos
de vigilancia del riesgo residual.
Una opción es identificar otras opciones de tratamiento de riesgo tales como compartir el riesgo
(aseguradoras o tercerización) para reducir el riesgo a un nivel aceptable. Incluso si bien es una
buena práctica no tolerar ningún riesgo para los que el nivel está por encima de los criterios de
riesgo definidos por la Institución, no siempre es posible reducir todos los riesgos a un nivel
aceptable.
El proceso de gestión de riesgos de la continuidad de negocio consiste en establecer el contexto,

evaluación de riesgos, el tratamiento de riesgos, aceptación de riesgos, la comunicación de riesgos,
control y revisión de riesgos. Luego de haber completado el análisis de riesgos, se proseguirá con
la evaluación de riesgos, que empleará como información de entrada los riesgos con la
probabilidad, seleccionados en la fase anterior, en el sentido de que en la evaluación de riesgos se
deberá valorizar el impacto que podría causar cada una de las amenazas identificadas.
- Se identificarán los riesgos aceptables e inaceptables con la Matriz de riesgos realizada a

través del cálculo del nivel de aceptación.
- Se asignará una prioridad a cada riesgo identificado como inaceptable.
- El resultado deberá ser documentado en el Informe de gestión de riesgos.
Para cada amenaza identificada se valorizará los impactos que estas tendrán sobre los activos de
información. Para la determinación de este nivel se tienen la siguiente tabla de Escala de Valor de
Activos.
Tabla 39: Impactos en el riesgo

132
Estimación del Nivel de Exposición al Riesgo
El nivel de exposición al riesgo deviene del producto de los valores obtenidos en los pasos
anteriores:
- Nivel de Impacto
- Probabilidad de Ocurrencia
133
Tasación del Nivel de Exposición al Riesgo
En la siguiente tabla se brinda una definición de los niveles de riesgo. Estos niveles representan el
grado o nivel de riesgo al que un sistema informático, instalación o procedimiento podría estar
expuesto si una vulnerabilidad dada se ejerce La tabla anteriormente mencionada de esquema de
valorización Final de Activos de Información.
Tolerancia:
TT Totalmente de acuerdo ( De 1 a 2 ) BAJO
RT Regularmente Tolerable ( De 3 a 6 ) MEDIO
NT No Tolerable ( De 7 a mas ) ALTO
Impacto
Mínimo -1 Reversible -2 Severo -3 Critico -4
Probabilidad
Alta (4) RT(4) NT(12) NT(12) NT(16)
Media (3) RT(3) RT(6) NT(9) NT(12)
Baja (2) TT(2) RT(4) RT(6) NT(8)
Muy Baja (1) TT(1) TT(2) RT(3) RT(4)

134
Tabla 40: Criterios de Valoración de la magnitud de riesgo
Se ha establecido seleccionar aquellos riesgos cuyo valor es Moderado, Alto y Extremo para pasar
a la siguiente etapa: Tratamiento. Por ello, debe considerarse también la aplicación de los Criterios
de Aceptación de Riesgos, que se define en (Declaración de la Política de Continuidad de
Negocio).
En la siguiente matriz de calor (ver tabla 21) fases de la Gestión de Riesgos que se presentará una
relación de Impacto en el negocio frente a la Probabilidad de un escenario de incidente. El riesgo
resultante podrá ser medido en una escala de 0 a16 que se podrá evaluar frente a los criterios de
aceptación del riesgo.
Figura 9: . Matriz de riesgos

135
Al concluir esta fase se han evaluado los riesgos identificados, siendo los principales los que se
detallan a continuación.
Tabla 41: Matriz de riesgos
3.15 Desarrollo del Análisis de Riesgo
3.15.1.- Procesos y Servicios Críticos
Para el análisis de riesgos, primero se identificarán todos los proceso y servicios críticos que brinda
el área de archivo de la oficina de sistemas en la que se encuentra definidos los tres servicios
críticos que se priorizarán para la continuidad del negocio.
Consiste en analizar y determinar las posibles amenazas que este expuesto la organización con la
posibilidad de llevar a efecto cada punto y el impacto si llegan a realizar las amenazas.
Se realizará el diseño, planificación y ejecución de un análisis de riesgos de recursos necesarios

sobre los diferentes activos de la organización, con el fin de que el análisis permita visualizar los
posibles escenarios de riesgo para la organización.
136
En este sentido, en la Tabla 3 se muestra la lista general de servicios que brinda el área de archivo
de la oficina de sistemas en la institución Estatal. considerando la siguiente escala de valoración
de la tabla 2:
Tabla 42: Escala de valoración de los Procesos y Servicios críticos
3.15.2.-Identificación de Amenazas
Para este punto se determinan las amenazas que podrían afectar a los procesos y servicios críticos.
Se listaron todas las amenazas del área de archivo de la oficina de Sistemas y se seleccionaron las
que serán aplicables al alcance del proyecto.
AA: Fuente de Amenaza Ambiental
AH: Fuente de Amenaza Humana
AN: Fuente de Amenaza Natural

137
Tabla 43: Identificación de amenazas

138
139
Se le ha identificado como “No aplica” a amenazas con muy poca probabilidad que se afecten a
los procesos y servicios de TI del área de archivo de la oficina de sistemas y sus recursos, sin
embargo, se toma en consideración para próximos análisis de amenazas ya sea en otra sede o para
otra organización.
Tabla 44: Vulnerabilidad y Controles actuales
Código Amenazas Aplicabilidad Vulnerabilidad Detectada Controles Actuales
A01 Derrame químico No Aplica No aplica No aplica

A02 Accidentes operacionales / Explosión de maquinaria Aplica Presencia de material inflamable Sistema contra incendios
correctamente ubicados
A03 Falla de equipos por contaminación (Polvo humedad, Aplica Ambiente con polvo y humedad Cronograma de
etc.) mantenimientos
preventivos
A04 Falla en sistema de climatización Aplica Ausencia de mantenimiento de Procedimiento de apagado

sistemas de aire acondicionado en caso ocurra un incidente
mayor a 1 hora.
A05 Falla en suministro de energía eléctrica Aplica No contar con UPS ni fuente de Ninguno
energía alterna
Suministro eléctrico inapropiado Ninguno
A06 Falla por saturación y agotamiento de recursos de Aplica Alta carga de procesamiento Ninguno
sistemas de TI
Inadecuada programación y/o Ninguno
configuración de software
A07 Fallas de hardware Aplica Antigüedad de equipos (servidores, Mantenimiento correctivo

estaciones de trabajo y switches) de los equipos y de las
aplicaciones
Mantenimientos predictivos o Capacitación a técnicos

correctivos inadecuados para ejecución de
141
mantenimiento antes de
que se realice
A08 Fallas de software Aplica Incompatibilidad de software Ninguno
Inadecuada programación y/o Ninguno

configuración de software
A09 Fallas en la red Aplica Deterioro por antigüedad de cableado Mantenimiento de
cableado estructurado
Proveedor de servicios no confiable Cartera de proveedores

disponibles
A10 Incendio Aplica Presencia de material inflamable Sistema contra incendios
correctamente ubicados
A11 Inundación por tubería de agua Aplica Exposición a daños físicos debido a la Drenaje correctamente
ubicación ubicado
B01 Error humano Aplica Falta de capacitación Negligencia
B02 Error mantenimiento de Hardware Aplica Personal técnico inexperto y/o falta de Supervisión de TI para
conocimiento trabajos complejos
Mantenimientos predictivos o
correctivos inadecuados
B04 Huelga Aplica Dependencia de personal presencial Procedimientos de trabajo

remoto
B05 Indisponibilidad de personal / Pandemia Aplica Dependencia de personal Clave Respaldo de funciones por
parte del personal del área
competente
B06 Ingeniería social / Espionaje / Suplantación Identidad Aplica Controles inadecuados de acceso Concientización a personal
lógico de la organización en
142
cuestiones de seguridad de
la información
B07 Manipulación de equipos Aplica Controles inadecuados de acceso Cámaras de seguridad y

físico capacitación a personal de
vigilancia
Personal técnico inexperto y/o falta de Supervisión de personal

conocimiento nuevo
B08 Robo de información Aplica Personal desconoce los tipos de Políticas de seguridad y
amenazas actuales como Phishing e programas de
ingeniería social concientización a todo el
personal en el manejo de
información
B09 Vandalismo / Intrusión física / Sabotaje a sistemas Aplica Controles inadecuados de acceso
físico
C01 Ciclón tropical No Aplica No Aplica No Aplica
C02 Inundación natural No Aplica No Aplica No Aplica
C03 Terremoto/Sismo/Temblor Aplica Ubicación física en un área Respaldo de equipos

susceptible a sismos críticos de la data center
C04 Tormenta de granizo No aplica No aplica No aplica
C05 Tormenta eléctrica No aplica No aplica No aplica

143
3.15.3.- Análisis y Evaluación de Riesgos
Tabla 45: Análisis y Evaluación de Riesgos
Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de

S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
1 Sistema de Analista de Fallas de Disponibilidad Copias de 0.1 50 5 B R Baja probabilidad de

Servidor virtual Sistema Operativo
Control de Infraestructura hardware: de partes y respaldo de A T Paralización de
Procesos  Procesador Equipo no es soporte por parte base de datos J – Sistema de Control de
 Windows
Intel Xeon disponible de proveedor O 01 Proceso por falla de
Server 2012
3.0 por fallas en tiene un plazo de hardware en servidor
-
los 72 horas. principal debido a la
 RAM: 8 GB componentes indisponibilidad
144

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
Almacenamiento: 300 Virtualizació internos de Falta equipo equipos de

GB n hardware UPS de contingencia
contingencia
Microsoft Hyper-V
Falla en UPS con Contar con 0.5 10 50 M R Paralización total del
suministro capacidad de UPS de 0 E T Sistema de Control de
de energía Autonomía respaldo de 30 D - Proceso en el área de
eléctrica menor a la minutos con I 02 archivo por
requerida dos fuentes de O problemas de
poder. Tablero suministro eléctrico
eléctrico y debido a problemas
llaves térmicas generados por la falta
sensibles a de mantenimiento de
UPS.
145

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
variaciones de
corriente.
Fallas de -Falta de solidez - Contar con 1 10 10 A R Paralización de los

software: en los activos de recursos de TI L T servicios de los
Avería de TI de respaldo. T - procesos en el área de
origen O 03 archivo como en los
- Backup de
lógicos y ( registros ,
disco duro
físicos -El respaldo de identificación y
virtual
(Corrupción backup se evaluación
de datos) de encuentra - SnapShoot de profesional del
disco duro ubicado en el sistema personal de la
virtual operativo de institución) debido a
la alta probabilidad
146

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
servidor servidor debido a la perdida de

principal virtual acceso a sistema de
del área de archivo
por falla en disco duro
virtual.
2 Servicio de Servidor VPN y AD Sistema Operativo Analista de Fallas de No existe Ninguno 1 10 10 A R Paralización de los
conexión (SERVLIM01) Infraestructura hardware: servidor de L T servicios VPN (red
* Windows Server
remota VPN ProLiant DL180 Servidor no contingencia T - privada virtual) de los
2016 STD
Gen9 disponible O 04 procesos en la área de
* Microsoft TMG por fallas en archivo como en los
* Intel Xeon CPU E5-
Forefront Threat componentes registros ,
2620 v4
Management internos de identificación y
Gateway (TMG) hardware evaluación
profesional del
147

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
@ 2.10GHz /RAM: personal de la

32 GB institución de debido
a la alta probabilidad
de las fallas de
hardware en el
servidor
Fallas de Obsolescencia Ninguno 1 10 10 A R Paralización de los

software: de software: 0 0 L T servicios VPN (red
incompatibil T - privada virtual) en los
Software TMG
idad con O 05 procesos en el área de
Forefront no
plataformas archivo tales como
cuenta con
nuevas de (registros ,
soporte activo
identificación y
148

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
sistema (Fin evaluación

operativo 14/08/2021) profesional del
personal de la
institución ) debido al
nivel de riesgo alto
que no son compatible
por ser un software
obsoleto.
Pandemia Ausencia de -Contar con 0.5 10 50 M R Acceso no disponible

COVID 19 servicios para el servicios de 0 E T al Sistema de
trabajo remoto. VPN y D - procesos en el área de
conexiones I 06 archivo de forma
Personal
remotas. O remota en caso de una
insuficiente por
pandemia u otro
149

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
considerarse de -Campaña de evento que impida

riesgo vacunación que el personal acuda
vulnerable de forma presencial
No se cuenta con
acceso remoto
para control y
administración
de sistemas de
procesos
150

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
3 Modulo Supervisor TI Falla en Equipos de UPS Contar con 0.5 10 50 M R Paralización del
Servidor Blade HP Sistema Operativo
Planificación suministro antiguos y UPS de 0 E T sistema ERP SAP
Windows Server 2016
para los de energía deteriorados. respaldo de 30 D - para los procesos en el
 Procesador: STD
procesos eléctrica minutos. I 07 área de archivo por el
Intel Xeon
O nivel de riesgo
Base de datos Tener un plan
 RAM: 64 MEDIO en
adecuado de
GB Espacio SQL Server 2012 - probabilidad con los
mantenimiento
almacenami ERP SAP Business problemas de
en las
ento: 750 One v 740 suministro eléctrico
subestaciones
GB - Storage por la falta de
del sistema
mantenimiento de
eléctrico
UPS.
151

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
 Espacio Error Plataforma tiene Alarmas y 0.1 50 5 M R Suspensión del

Almacenami humano: una versión de notificaciones E T sistema ERP SAP
ento 4 TB Caída SAP por correo D - Proceso por un error
sistema por desactualizada activadas I 08 en la programación en
Procesador 2 six-cpre error de O el sistema.
1.8 Ghz -Contar con
programació
los parches
n del sistema
actualizados
SAP
en los sistemas
operativos.
152

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
Sabotaje a El respaldo de Contar con los 1 10 10 A R El sistema ERP SAP

sistemas: backup se backups de los 0 L T Procesos no se
Destrucción encuentra datos más T - encuentra disponible
o alteración ubicado en el críticos de los O 09 por motivo de la
de software mismo servidor. datos más perdida de
SAP que críticos. información necesaria
Escasez de
hace inviable para la recuperación
recurso de Contar con
su ejecución. del sistema en caso se
respaldo, recursos de TI
genere un daño
monitoreo de respaldo.
parcial o total del
servidor
153

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
Fallas de Equipos Ninguno 0.5 10 50 M R Paralización de

hardware: antiguos y 0 E T sistema ERP SAP
Servidor no deteriorados. D - para los procesos en el
disponible I 10 área de archivo por el
por fallas en O nivel de riesgo
componentes MEDIO por motivos
internos de en las falla en servidor
hardware debido a la falta de
mantenimiento
Preventivo.
154

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
Temblores, -Zona cercana a -Contar con 1 10 10 A R Paralización de los

Sismos placa tectónica. respaldo del 0 L T servicios de procesos
equipamiento T - en el sistemas tales
critico en O 11 como son ( registros,
lugares identificación y
alternos. evaluación
profesional anual del
personal de la
-Se debe tener institución) por la alta
-Incendio -Lugar físico del
sistemas probabilidad de daños
área de archivos
contra en el área de archivos
(documentación
incendios bien debido a un desastres
clasificados) en
ubicados. natural
una zona débil
155

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
ante desastres -Contar con

naturales. los backups de
los datos de
-Percance con el
información
sistema de
más críticos.
climatización.
-Ausencia de -Contar con un

contingencia en cronograma de
los servicios mantenimiento
críticos de TI correctivo y
preventivo.
- Mantenimiento
incorrecto por
156

Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Cód. Riesgo
parte del
contratista.

Como resultado del análisis de riesgos se obtiene un ranking de los riesgos críticos encontrados.
Tabla 46: Clasificación de Riesgos Críticos

158
159

160
3.15.4.-Informe de análisis de riesgo
El informe de análisis de riesgo es un documento que muestra los resultados del análisis de las
condiciones positivas y negativas en las que se encuentran los procesos y servicios críticos en
el área de archivo de la oficina de sistemas. La importancia de este informe nos sirve para
disgregar los procesos y servicios críticos en el área de archivos de la oficina de sistemas
tomando en consideración la probabilidad de ejecución de una amenaza y el impacto que
generaría a la institución estatal. Todo ello nos ayudará a elaborar mejores controles y
estrategias para salvaguardar la continuidad de los procesos y servicios críticos de la oficina de
sistemas de la institución estatal. El detalle del informe se encuentra en el Anexo 4.
3.15.5.- Indicador de Logro OE2
Como resultado de la ejecución del análisis de riesgos se determinó una matriz de riesgos cuyo
análisis deriva en la detección de los riesgos críticos de acuerdo con la norma ISO/IEC 27005.
Tabla 47: Indicador de Logro 02
Entonces según el análisis se tiene un 19% de riesgos críticos que sobrepasan el nivel de
tolerancia.
162
Niveles de Riesgos
9%
46% ALTO
45% MEDIO
BAJO
Figura 16: Grafico de Niveles de Riesgos

Figura 17: Matriz de Probabilidad Vs. Impacto

3.16.- Matriz de Requerimientos
Tabla 48: Matriz de requerimientos de objetivos específicos

226
227
228
229

4 CAPITULO 4: Diseño de la Solución
En el presente capítulo se desarrollará los elementos básicos para llevar a cabo un Plan de
Continuidad Operativa; tales como el programa de capacitación y entrenamiento, donde se
fomenta la formación y concientización en la Continuidad de Negocio y el manual del SGCN
donde se podrá ubicar las políticas específicas de un Plan de continuidad Operativo basados a
lineamientos de Continuidad de negocio y los principales procedimientos de gestión del SGCN
para el área de archivos de la Oficina de Sistemas de la Institución Estatal, de acorde con la
norma ISO 27031:2011.
4.1 Introducción
En las actividades de procesos en el área de archivo referidas a una Institución Estatal es

indiscutible mencionar que los objetivos que persigue deben llevar detrás un sustento que
soporte su desempeño, el cual conduzca hacia el logro de sus metas. Por lo tanto, la Gestión de
Continuidad de Negocio se integra a los procesos de un plan de continuidad operativa
implementados de la institución, entendiendo la información como un activo importante y
trascendental que debe ser custodiado de manera correcta. Lo comentado no solo es resultado
de la adopción de sistemas informáticos que mitiguen o disminuyan las vulnerabilidades, fallas
y/o brechas de seguridad que puedan contener sus sistemas informáticos, sino manejar y actuar
en un sistema integrado de gestión que cree directrices, políticas y procedimientos que alineen
a sus colaboradores a trabajar en conjunto hacia la consecución de objetivos previamente
identificados por la institución, todo aquello especificado en materia de continuidad de
negocio.
4.2 Política de Continuidad de Negocio
El área de Archivos de la Oficina de Sistemas de la Institución Estatal, se encuentra

comprometida en el desarrollo de un plan de continuidad operativa de aquellos servicios de TI
que son considerados críticos y que son de vital importancia para los procesos críticos de
negocio en el caso de que se presente una interrupción parcial o total causada por problemas
y/o incidentes que afecten dichos servicios.
Para esta política, la organización define los siguientes puntos:
- La Institución Estatal se compromete a proporcionar apoyo para poder garantizar que

todos los procesos críticos del negocio operen continuamente con calidad y
confiabilidad, mediante la realización del diseño de un plan de continuidad operativa
en los servicios de TI.
- La Institución Estatal tiene el compromiso de ofrecer soporte para asegurar que todos
los procesos críticos del negocio estén funcionando correctamente y constantemente,
por medio de la elaboración del diseño del plan de continuidad operativa en los
principales servicios de TI.
- Asegurar el resguardo de las personas del entorno, de los recursos de TI de la Institución

Estatal y la continuidad operativa de los servicios críticos de TI del negocio.
- Considerar en la organización las definiciones de continuidad operativa en los servicios

críticos de TI con fin de tener mejoras en el plan de ejecución.
- Perfeccionar constantemente el plan bajo las pruebas ejecutadas e incluso escenarios

verdaderos.
- La Institución Estatal deberá de localizar los incidentes de la manera más rápida posible
para reducir los impactos en los servicios críticos de TI para preservar la calidad del
servicio.
232
- La Institución Estatal tiene como función resguardar los servicios críticos de TI ante las
amenazas mencionadas en la tabla 43 para contar con el constante funcionamiento de
los sistemas.
- Responder antes incidentes de la manera más adecuada, conlleva a la Institución Estatal

a una recuperación de servicio más eficiente y reducir los tiempos de interrupción.
- Identificar e implementar adecuadamente las estrategias de recuperación y alternativas

de solución con el fin de garantizar el restablecimiento de los servicios críticos de TI
del área de archivo de la Oficina de Sistemas y sostener la integridad de los datos.
- Finalmente, mejorar las lecciones aprendidas de los problemas de diversas magnitudes,

estos deben ser documentados, estudiados y controlados. Comprender las lecciones
aprendidas, proporcionará a la entidad a estar prevenida y evitar incidentes y
paralizaciones en la continuidad del negocio.
4.3 Equipo de TI para la Continuidad en los Servicios críticos de TI
La Institución Estatal debe garantizar que a todas las personas involucradas que se le asignen
roles y responsabilidades para el plan de continuidad operativo para los procesos del área de
archivo y de los servicios críticos de TI, deberán ser capacitados, comprometidos, preparados
y eficientes para ejecutar cada actividad encomendada.
4.3.1 Estructura del Equipo de TI
La estructura actual del equipo de TI se observa en el siguiente organigrama:

233
Tabla 49: Organigrama del Equipo de TI
La alta dirección es quién determina las actividades, roles y responsabilidades del equipo de
TI. Este gabinete de asesores son los encargados de la implementación y la mejora continua
del proyecto. Cada encargado cuenta con roles del marco de trabajo con el fin de desarrollar
las estrategias de recuperación y alternativas de solución. El equipo se hará cargo de la
evaluación de las estrategias y alternativas de solución, la planificación, reuniones, cuáles son
las ventajas y desventajas, duración de la implementación y el control del proyecto. En la
siguiente tabla se muestra el equipo de TI:
234
Tabla 50: Equipo de TI para los servicios críticos de TI
4.3.2 Actividades del Equipo de TI (Antes, Durante y Después)
Se realizan las actividades del equipo de TI de la Institución Estatal bajo los lineamientos de la
tesis de Marco Ochoa, donde plantea las actividades del antes, durante y después del equipo de
responsables de TI. Se tomará cómo guía sus actividades del plan que se debe de realizar.
Se detallan a continuación:
235
a) Actividades del plan que se deben de desarrollar antes de una interrupción en los servicios
críticos de TI
Antes que pueda ocurrir alguna interrupción en los servicios críticos de TI a causa de un evento,
el equipo de TI del Plan de continuidad operativa deberá garantizar que todos los recursos y
registros vitales deben estar íntegros y aptos dentro y fuera de la Institución Estatal. Se
considera lo siguiente:
- Debe encontrarse realizado y demostrado cada procedimiento que se adaptará en cada

situación de emergencia para restaurar el servicio crítico de TI, además cada
procedimiento se emplea para permanecer el plan de continuidad de las operaciones,
hasta que se restaure el servicio de manera adecuada. Por tanto, esto comprende la
capacitación, entrenamiento, seguimiento, evaluación y acciones subsiguientes.
- Debe encontrarse realizado la lista del personal interno y externo aquel que se le
notificara determinado percance.
 El personal deberá ser capacitado, preparado, experto e incentivado con el fin de

realizar las actividades que cada emergencia requiere.
 Todo el personal debe estar a disposición cuándo sean comunicados

telefónicamente y deberán laborar en su horario normal y adicionalmente a ello, el
tiempo que fuese necesario hasta poder lograr la restauración de los servicios
críticos de TI paralizados.
- Garantizar la disponibilidad de los recursos que fuesen necesarios para sostener la

continuidad operativa de la Institución Estatal.
- Debe encontrarse custodiados los registros vitales, incluyendo la información,

aplicaciones, guías de instalación, configuraciones, usuarios, categorías de privilegios,
bitácoras, roles y responsabilidades, etc. Estos deben ser guardados dentro y fuera de la
Institución Estatal.
- Que este actualizado y demostrado el plan de continuidad operativa de los servicios

críticos de TI, también incluir las lecciones aprendidas de las recientes emergencias
vencidas.
236
- Al realizar las pruebas adecuadamente para saber si el plan ha salido exitoso tal y como
se suponía; habría que estudiarlo para reforzarlo mediante anotaciones, sugerencias,
conclusiones y recomendaciones que ayuden a perfeccionarlo, acoplándose a las nuevas
necesidades.
b) Actividades del plan que se deben de desarrollar durante de una interrupción en los servicios
críticos de TI. Durante la ocurrencia de alguna interrupción de alguna interrupción en los
servicios críticos de TI a causa de un evento, el equipo de TI de la continuidad operativa deberá
garantizar que todos los recursos y registros vitales deben estar íntegros y aptos dentro y fuera
de la entidad. Se considera lo siguiente:
- Una vez ocurrida la emergencia, se debe avisar a los encargados de cada servicio crítico
de TI, quienes son los integrantes del equipo de TI responsable.
- Utilizar los registros del plan, incluyendo todos los recursos necesarios para el
restablecimiento de la entidad o del centro de datos alternativo.
- Poner en práctica a todos los integrantes del equipo de TI capacitados y preparados para
la permanencia en los roles y tareas a desempeñar para que tengan las habilidades
necesarias de restaurar los servicios críticos de TI empleando los procedimientos
determinados en la lista de revisión del plan.
- Debe encontrarse decretado, actualizado y demostrado el plan de continuidad operativo

de los servicios críticos de TI, también incluir las lecciones aprendidas de las recientes
emergencias vencidas.
- Disponibilidad en las copias de seguridad de la entidad para realizar la recuperación de

la información de acuerdo a la situación.
- Poner en marcha el procesamiento del Centro de Datos alterno durante el tiempo que
dura la emergencia.
- Que se realice las pruebas adecuadas para garantizar que el plan de continuidad
operativo de los servicios críticos de TI haya funcionado correctamente.
c) Actividades del plan que se deben de desarrollar después de una interrupción en los servicios
críticos de TI.
237
Se debe comprobar que se hayan ejecutado correctamente todas las actividades y

procedimientos indispensables para vencer la emergencia; registrar y documentar todo respecto
a estos procedimientos, registros y documentos que se puedan utilizar ante próximas
emergencias a suceder. Para ellos, se debe considerar lo siguiente:
- Debe encontrarse decretado, actualizado y demostrado el plan de continuidad operativo

de los servicios críticos de TI, también incluir las lecciones aprendidas de las recientes
emergencias vencidas.
- Aprobar y garantizar antes de la restauración de los servicios que se ofrecen lo

siguiente:
 Confiabilidad de la documentación, la cual se tiene protegida de los recientes

registros antes de manifestar la emergencia.
 Seguridad de que la información anotada antes de la emergencia sea la adecuada.
 Garantizar que se hayan almacenado todos los registros realizados durante el tiempo
de emergencia, si en caso faltaría alguno, determinar los pasos a seguir para
procesarla y recuperarla.
 La información debe estar documentada y registrada de los escenarios del antes,

durante y después de la emergencia, con la adecuada evaluación que autorice el
reforzamiento mediante anotaciones, sugerencias, conclusiones y recomendaciones
que ayuden a perfeccionarlo, acoplándose a las nuevas necesidades.
- Se debe manifestar por concluido la emergencia por parte de los encargados de los
servicios críticos de TI restaurados.
- Se debe dar visto bueno con una firma a las actas del regreso a la normalidad de la
continuidad operativa.
- Se debe mostrar un informe final de la emergencia vencida y se debe considerar los

siguiente:
 El diagnóstico del origen que ocasiono la paralización de los servicios.
 Lo notable de la restauración, las estrategias aplicadas, los resultados obtenidos

y una pequeña recopilación de las actividades efectuadas.
238
 El regreso del funcionamiento a la normalidad mediante las anotaciones y

sugerencias que autorice el mejoramiento del plan de continuidad en los servicios
críticos de TI mediante a las lecciones aprendidas en cada emergencia vencida.
- La validez del plan comenzará desde el día que se oficializa.
4.4 Estrategias de Recuperación:
Para establecer las estrategias de recuperación del negocio, se debe realizar en base a los
hallazgos del BIA y del análisis del riesgo. De una u otra forma, se deberá cumplir con los
objetivos del plan de continuidad operativa para los procesos en el área de archivo de la
institución estatal.
La Institución Estatal debe establecer las opciones de estrategia con el fin de:
- Proteger las actividades prioritarias.
- Estabilizar, permanecer, restablecer y recuperar las actividades prioritarias.
- Mitigar, responder al impacto y administrarlo.
4.4.1 Estrategias de Recuperación para Escenarios de Amenaza
Las estrategias se trabajaron tomando cada uno de los escenarios de amenaza anteriormente
expuestos en la tabla anterior. Para el presente proyecto se trabajarán con los niveles de riesgo
“Alto” y “Medio”. Siguiendo los elementos anteriormente expuestos en la tabla, se propondrán
estrategias de continuidad más adecuadas a los posibles escenarios que generan interrupción
del servicio del área de archivos y así contar con una mejor disponibilidad.
Las estrategias de continuidad propuestas se muestran a continuación en la tabla 49.

Tabla 51: Matriz de estrategias de recuperación
240
241

Las propuestas de estrategias de recuperación se han clasificado en base a los elementos que
serán considerados dentro de las alternativas de solución. Estas estrategias se realizaron
tomando en cuenta los escenarios de amenazas, los riesgos identificados y analizados. Para esto
se tendrán en cuenta los 6 elementos: Habilidades y conocimientos, instalaciones, tecnología,
proveedores y datos según aplique para cada escenario de amenaza.
243
244
4.4.2 Indicador de Logro OE3
Definir las estrategias de recuperación de desastres que permitirán cumplir con los objetivos
de recuperación establecidos por el área de archivos de la oficina de sistemas para una
Institución Estatal. Por lo tanto, la ejecución del análisis de riesgos se determinó una matriz de
estrategias de recuperación para cada escenario de amenaza bajo el enfoque de lo indicado por
la norma ISO/IEC 27031:2011.
245
Tabla 52: Indicador de logro OE3
Fuente 54: Elaboración propia
Para lograr este indicador se utilizó la lista de consideraciones necesarias de las estrategias de
continuidad de la norma. Al respecto la norma ISO 27031:2011 menciona que “las opciones
[de estrategias] deben tener en cuenta los diversos componentes necesarios para garantizar la
continuidad y recuperación de servicios de TIC críticos “.
De estas opciones se considerarán las mejores opciones de estrategias para su desarrollo más
óptimo y propuesta de alternativas de solución.
4.5 Alternativas de Solución
En esta parte se detallarán las alternativas de solución que se han considerado dentro de las
estrategias de recuperación para cada uno de los escenarios de amenaza. Los términos
siguientes nos brindaran información acerca de las escalas de evaluación de la matriz anterior.
Aspectos para el tiempo de implementación y niveles de costos:
Tiempo de Implementación:
246
La estimación del tiempo de implementación para las alternativas de solución sería la siguiente:
Tabla 53: Tiempo para la implementación de las alternativas de solución

VALOR TIEMPO CANTIDAD
C Corto plazo Menos de 1 mes
M Mediano plazo De 1 a 6 meses

L Largo plazo Más de 6 meses
Niveles de Costo Económico:
La estimación de los niveles de costo para las alternativas de solución para implementar la
función de recuperación propuesta sería la siguiente:
Tabla 54: Niveles de costos para las alternativas de solución

VALOR MONTO
1 De $0 a $2,000
2 De $2,000 a $7,000
3 De $7,000 a $12,000
4 De $12,000 a más

Cabe recalcar, que la decisión final la tiene la alta dirección respecto a que alternativas de
solución establecida será la correcta o cuál no (SI o NO).
Nivel de cumplimiento MTPD:
Estimación del tiempo en base al MTPD de la tabla 36. Matriz de niveles de servicio de TI.
Siempre y cuando el tiempo de recuperación ofrecido por la alternativa de solución sea menor
entonces se dirá que la alternativa de solución cumple.
Decisión:
La Alta Dirección deberá determinar si la alternativa propuesta es aceptada o no (SI o NO)

247
Las alternativas de solución propuestas se muestran a continuación en la siguiente tabla

4.5.1.- Matriz de Alternativas de Solución
Se proponen las siguientes alternativas de solución para las estrategias antes mencionadas.
Tabla 55: Alternativas de Solución

249
250
251
252

4.5.2.- Acciones a Considerar de las Alternativas de Solución
1) RT-06: Indisponibilidad de servicio VPN debido incompatibilidad por obsolescencia de

software
Alternativa de solución seleccionada: A04
a) Habilidades y conocimientos. Se deberá contar con documentación de los procesos de

programación, puesta en marcha y funcionamiento de la plataforma. Capacitación al personal
del área de soporte de TI de la oficina de sistemas para supervisar las conexiones y apoyo a los
usuarios con los procedimientos de conexión.
b) Instalaciones. Los usuarios deberán contar con la conexión a internet y otros requerimientos
para trabajos fuera de la organización.
c) Tecnología. Con el fin de garantizar la integridad de la comunicación a través de una red

externa vía VPN y así brindar continuidad al servicio de TI que este soporta se propone adquirir
lo siguiente:
 Cloud VPN. Su función es de mantener conectado vía un túnel de comunicación

configurado en una cuenta en el proveedor de servicios de Microsoft Azure. La solución
brindará la disponibilidad que se requiere en caso el equipo principal falle.
Se recomienda el siguiente producto con cotización adjunta.
- 01 licencia de SYMMETRY Perú VPN (VpnGw1)
La alternativa debe contar con la capacidad suficiente para la conexión de sus usuarios
externos.
d) Proveedores. Acuerdos de nivel de servicio con el proveedor para soporte disponible

7*24*365 días al año.
254
e) Costos y tiempos de implementación de las alternativas de solución.
La toma de decisión se realizó en base a la facilidad en el cambio del equipo de respaldo en

vez de cambiar de estación de trabajo y conectarse a un equipo virtual.
2) RT-09: Acceso no disponible al Sistema de los procesos y servicios críticos en el área de

archivo de forma remota en cuestión de una pandemia u otro evento que impida que el personal
acuda de forma presencial.
a) Habilidades y conocimientos. Capacitación en el procedimiento de conexión al servicio

VPN y al procedimiento de conexión a la estación de trabajo haciendo uso del servicio RDP
de Windows. El área de soporte de TI de la Oficina Sistemas cuenta con personal capacitado
para ejecutar la implementación, configuración y puesta en marcha de la solución.
b) Tecnología. Para implementar la propuesta es necesario la adquisición de ciertos equipos:
- Acceso remoto a los sistemas.
- Servicio RDP: Servicio con el cual se conectará el usuario para poder

acceder a la estación de trabajo desde cualquier lugar accediendo a través
de una conexión VPN
- Servicio VPN: Servicio ya implementado y en marcha dentro de los

servicios que brinda la Institución Estatal y el área de Soporte de TI de la
Oficina de Sistemas.
 Red Internet para la Institución Estatal.
Para implementar esta propuesta es necesario habilitar la comunicación entre la red

administrativa y la red institucional, ya que ambas redes son independientes y no
255
conversan entre sí. Para esto se configura el switch core con las VLAN de cada una de
sus puertas de enlace y así lograr la comunicación entre redes.
c) Procesos. Establecer un nuevo proceso en el cual como medida de continuidad se utilice una
conexión VPN para luego conectarse de forma remota a las estaciones de trabajo de áreas de
la Institución Estatal.
d) Costos y tiempos de implementación de las alternativas de solución.
La toma de decisión se realizó en base a la rápida y menos costosa solución en comparación

con la otra solución propuesta. Debido a que la necesidad es conectarse y monitorear de forma
externa la primera solución A07 es la más recomendada.
3) RT -07: Inoperatividad de estación de trabajo de Sistema de los procesos y servicios críticos

en el área de archivo generado por deterioro interno de componentes. Indisponibilidad de
equipo de administración de Sistema de los proceso y servicios y críticos en el área de archivos
por ausencia de suministro eléctrico. La cual causaría la paralización del Servicio de Registros
de Identificación de su Tarjeta de Identidad y los procesos de evaluación por la alta
probabilidad de la interrupción de este sistema Eléctrico.
a) Habilidades y conocimientos.
 Tener personal de mantenimiento encargado de ejecutar y llevar a cabo el plan de

continuidad durante las 24 horas en los 3 diferentes turnos
256
 Contar con personal capacitado y procedimientos establecidos para la ejecución del

plan de continuidad Operativa de esta alternativa de solución.
b) Tecnología.
 Estación de trabajo. Tiene las funciones de control y administración de los dispositivos

de automatización. La solución propone tener una estación configurada de respaldo ante
una eventual falla de hardware en el equipo.
- Procesador: 2.0 GHz o superior
- Memoria: 8GB o superior
- Disco duro: 500 GB o superior
- Sistema Operativo: Windows 10 Professional
c) Datos. En cuestión de datos se encuentra el mismo Sistema Operativo configurado y la

licencia a configurar. Es necesario contar con un procedimiento de backups de la estación de
trabajo cada vez que se realice algún cambio en la configuración del sistema de automatización.
Esta copia de respaldo deberá realizarse a través del método de clonación que será utilizada
posteriormente en la recuperación del equipo principal.
d) Proveedores.
 Brindar las facilidades para la adquisición de las recomendaciones tanto en hardware

como en software.
 Proveer del licenciamiento necesario del software Factory Talk SE Client, así como el
soporte, instalación, implementación y puesta en marcha del mismo.
257
a) Costos y tiempos de implementación de las alternativas de solución.
La toma de decisión se desarrolló en base a la facilidad en el cambio del equipo de respaldo en

vez de cambiar de estación de trabajo y conectarse a un equipo virtual.
1) RT -07: Paralización de sistema ERP SAP de hechos vitales por falla en el servidor
principal debido a la falta de mantenimiento Preventivo.
Se debe realizar las siguientes acciones inmediatas si ocurre un incidente respecto a la falla en
el servidor principal que almacena los datos de todo el personal de la Institución Estatal.
 Elevar la solicitud de soporte de inmediato al proveedor del servicio.
 Se debe garantizar el óptimo funcionamiento del servidor de respaldo

restaurando la copia de información más reciente de la última replica.
 Garantizar que el servidor del servicio del registro de todo el personal de la

Institución Estatal de respaldo se incorpore al funcionamiento adecuadamente
y alertar a los responsables de los servicios críticos de soporte de TI de la
Oficina de Sistemas.
a) Habilidades y conocimientos. Documentación de cómo se realiza la comunicación con el

servidor alterno en caso el principal presente alguna falla. Capacitación del personal para
dar a conocer y concientizar al personal usuario acerca del plan de continuidad.

258
 Servidor físico anfitrión. Sera el encargado de brindar alojamiento del servidor virtual
que brindará continuidad al servicio ERP SAP en caso el equipo principal falle. Los
requerimientos de hardware de un servidor virtual se basan en la capacidad de
procesamiento y memoria necesario para su óptimo funcionamiento. Para ello deberá
contar con lo siguiente tomando como referencia la actual instalación de servidor físico
principal:
- Procesador: 2v CPU
- Memoria RAM: Mínimo 8 GB
- Sistema Operativo: Windows Server 2012 o superior
Se recomienda el siguiente producto.
- 1 Servidor Virtual en Plataforma
- 1 licencia Sistema Operativo: Windows Server 2012 o superior
- 1 licencia ERP SAP
 Servidor Base de Datos. La solución propone un servidor en replicación, es decir, que

se integrará al servidor principal con una réplica de la información cada 1 minuto con
toda la información que este último almacena en su base de datos.
- Procesador: 2v CPU
- Memoria RAM: Mínimo 8 GB o superior
- Disco duro: 500 GB o superior
- Capacidad de almacenamiento: 1 TB.
- Sistema Operativo: Windows Server 2012 o superior
- Software Base de Datos: MS SQL Server 2016 Standard

259
- 1 Servidor Virtual en Plataforma Hyper-V
c) Datos. Los datos serán importados y sincronizados desde el servidor de base de datos
del sistema ERP SAP de hechos vitales. Los datos se replicarán de un servidor principal a
uno secundario de backup. Se utilizará el método de “Publicación transaccional” en la que el
servidor principal tomará el rol de publicador y el secundario tendrá el rol de distribuidor y
suscriptor. Esta replicación se deberá programar para que sea ejecutada a diario cada 10
minutos o un tiempo menor al RPO del servicio.
d) Procesos. Se deberá considerar el proceso de continuidad de servicio ERP SAP de

hechos vitales desde el nivel usuario donde se brinde información de los procedimientos y
funciones de los participantes del proceso.
e) Proveedores.
 Brindar las facilidades para la adquisición de las recomendaciones dentro de los plazos
establecidos en la cotización.
f) Costos y tiempos de implementación de las alternativas de solución.
La alta dirección opto por la alternativa de solución A12 debido a que es menos compleja y
costosa, y además pronto la organización realizara la migración a la plataforma Dynamics 365.
4.5.3.- Indicador de logro OE4
Tabla 56: Indicador de logro OE4

260
Como resultado de logro para el cuarto objetivo específico, se evaluó la matriz de alternativas
de solución y se realizó un comparativo del punto 4.4.1 y las acciones a considerar en las
alternativas de solución del punto 4.4.2. De ellas se desprende el nivel de inversión requerida
por cada alternativa de solución y los niveles de tiempo de implementación de cada uno.
Tabla 57: Niveles de tiempo de implementación requerido

261
Se observa según la tabla 49, que las alternativas de solución propuestas tienen un corto plazo
de implementación.
Tabla 58: Nivel de inversión requerido

262
En total se observa que el nivel total de inversión requerida se divide en 2.
4.6.- Propuesta de Diseño de Plan de Continuidad
4.6.1.- Diseño de la propuesta de un Plan de Continuidad
El diseño de la propuesta de un Plan de continuidad operativa para el proceso del área de

archivo tal como lo señala la ISO 27031 (2011), que brinda pautas para desarrollar el
documento que nos ayudara a gestionar las posibles interrupciones, permitir la continuidad del
proceso del área de archivo y con eso la recuperación de sus procesos y servicio de TI en el
área de soporte de TI de la Oficina de Sistema en la Institución Estatal.
La institución puede desarrollar documentos de planes para la recuperación y reanudación del

proceso y servicios de TI del área de archivo de la Oficina de Sistemas, sin embargo, es difícil
definir cuál es el estado normal del proceso y servicio de forma inmediata. Para esto la
organización debe proponer o contar con un plan de continuidad más amplio para así dar tiempo
en el desarrollo de un plan de continuidad más específico.
Una entidad y/o Institución puede tener uno o muchos planes de continuidad según sea su
transcendencia. Cada uno de ellos debe tener la suficiente información y el detalle requerido
para la recuperación y continuidad del proceso y servicio. Los planes deben ser concisos y
accesibles por quienes tienes roles y responsabilidades definidas dentro del plan. Los elementos
del plan se describen a continuación.
4.6.2.- Objetivo del plan de continuidad
En esta etapa del proyecto tiene como propósito desarrollar un plan que permita la continuidad
Operativo de los procesos críticos de la Institución Estatal desarrollando alternativas de
solución para los escenarios de amenazas identificados y evaluados, y así evitar o mitigar
263
posibles interrupciones. Asimismo, salvaguardar luego de una interrupción inesperada, los

procesos y servicios de TI del área de archivo de la Oficina de Sistemas puedan ser restaurados
dentro de los tiempos acordados.
4.6.3.- Alcance
Este plan aplica para los procesos y servicios de TI críticos en el área de archivo de la
institución Estatal y de conocimiento de todo el personal que labore en una entidad estatal con
la finalidad de garantizar la continuidad operativo para el proceso en el área de archivo en caso
estos sufran un evento que afecte su normal operatividad.
4.6.4.- Estructura organizacional para afrontar plan de continuidad operativa
Para el funcionamiento del Plan de Continuidad Operativo para el proceso y Servicios de TI en

el área de archivo, se ha establecido el siguiente comité continuidad conformado
exclusivamente por el área de la Oficina de Sistemas de Tecnologías de la Información.
Figura 18: Estructura organizacional de Comité de Continuidad

264
El coordinador de TI deberá asignar un personal titular y uno alterno como responsable de cada
equipo anteriormente detallado en la Figura 21. Asimismo, los responsables de cada equipo
deberán mantener siempre operativo el equipo móvil asignado por la institución al igual que la
disponibilidad a los correos electrónicos. La relación del personal debe ser actualizada de forma
permanente y compartida con el personal involucrado. Para tal efecto se ha dispuesto un
directorio con la información y disponibilidad de cada uno de los integrantes del comité de
continuidad.
Tabla 59: Directorio del Comité de Continuidad de Servicios de TI

265
4.6.5.- Roles y responsabilidades
Cada uno de los integrantes del comité de continuidad tienen roles y responsabilidad
específicos para desarrollar el Plan de Continuidad Operativo para el proceso y servicio de TI
en el área de archivo. A continuación, se describe cada uno de ellos.
1. Coordinador de Continuidad
Está conformado por el Gerente de la Oficina de Sistemas de Tecnologías de la Información

de la institución y tiene las siguientes funciones:
- Tomar la decisión de la activación del Plan de Continuidad Operativo para el proceso

y Servicios de TI.
- Brindar supervisión y guía del desarrollo de actividades a los equipos de continuidad.
- Mantener informados a los integrantes de los equipos del comité de continuidad acerca
del evento de inicio del incidente o crisis, desarrollo y recuperación, así como los
posibles eventos inesperados durante la ejecución del plan.
- Contactarse con los proveedores para el reemplazo de hardware, software o servicios

alternos.
- Declarar el término de la recuperación y restablecimiento de los procesos y servicios

de TI afectados.
2. Equipo de Prevención
Es el equipo encargado de salvaguardar la continuidad de los procesos y servicios de TI para

evitar la materialización de un escenario de amenaza y en caso se active y genere una
incidencia, contar con lo requerido para la recuperación y continuidad de los procesos y
servicios de TI afectados en el menor tiempo especificado en el RTO del servicio. El
responsable del Equipo de Prevención es el Supervisor de Sistemas de Información.
En seguida, se detallan las funciones de los integrantes del equipo de prevención:

266
Supervisor de Sistemas de Información
- Mantener informado al coordinador de continuidad acerca de las medidas de prevención

validada
- Establecer procedimientos para el soporte y mantenimiento de los sistemas en procesos.
- Llevar un control de las copias de respaldo de los sistemas de información de la

institución.
- Mantener actualizados los procedimientos de pruebas de continuidad de los sistemas de

información.
Administrador de TI
- Documentar los procedimientos y validar su información de los sistemas de

información, red, soporte y base de datos.
- Revisar el informe de backups presentado por los encargados de sistemas de

información, red, soporte y base de datos.
- Proponer mejoras en sistemas de la información que provean mejor disponibilidad a los

procesos y servicios de TI actuales.
Supervisor de Soporte Técnico
- Contar con un cronograma de mantenimientos de equipos del centro de datos tomando

en consideración el tiempo de vida útil y garantías.
- Llevar un seguimiento de los informes de mantenimiento realizados para así encontrar

opciones de mejora y prevenir incidentes
- Llevar un control de los incidentes registrados

267
Especialista en Redes e Infraestructura
- Mantener actualizado el inventario de hardware y software del centro de datos.
- Llevar un control de versiones de las copias de respaldo.
- Verificar que los diagramas de red físico y lógico se encuentren actualizados.
- Monitoreo de red para prevenir cortes o latencias en la comunicación.
Analista de base de datos
- Realizar copias de respaldo de las bases de datos de los sistemas de información.
- Realizar pruebas de restauración de las copias de respaldo de forma periódica
3. Equipo de Emergencia
Es el equipo encargado de ejecutar las acciones necesarias durante la incidencia con la finalidad
de mitigar el impacto del riesgo que ejerzan sobre los procesos y servicios críticos de TI en el
área de archivos. El responsable del Equipo de Emergencia es el Administrador de TI.
En seguida, se detallan las funciones de los integrantes del equipo de emergencia:
Administrador de TI
- Notificar situación de emergencia a Coordinar de continuidad.
- Ejecutar procedimientos de emergencia en los recursos informáticos de los procesos y

servicios afectados.
- Comunicar al Coordinador de continuidad las acciones ejecutadas para recuperación de

los procesos afectados

268
- Verificar estado de sistemas de información afectados
- Solicitar los registros (logs) de los equipos y/o recursos de los sistemas de información
involucrados.
- Realizar evaluaciones de los casos críticos ingresados.
- Notificar al Responsable del Equipo de Emergencia las acciones ejecutadas para los
casos críticos registrados.
- Ejecutar acciones de emergencia en los equipos informáticos del centro de datos.
- Realizar una evaluación del estado actual de los equipos informáticos afectados
- Comunicar al Responsable del Equipo de Emergencia las acciones ejecutadas
Técnico de Soporte TI
- Evaluar los recursos informáticos afectados (computadoras, servidor, software, entre

otros).
- Notificar los casos críticos al Supervisor de Soporte Técnico que afecten a los recursos
informáticos evaluados
- Realizar una evaluación del estado actual de las condiciones de los datos e información
ubicada en los equipos de bases de datos
4. Equipo de Restauración
269
Es el equipo encargado de ejecutar las acciones posteriores a la interrupción o emergencia. Esta

etapa es importante ya que es aquí donde el equipo debe restituir en el menor tiempo posible
(<= RTO), la operatividad de los procesos y servicios afectados en el área de archivo. El
responsable del Equipo de Emergencia es el Especialista en Redes e Infraestructura.
En seguida, se detallan las funciones de los integrantes del equipo de recuperación:
- Da inicio a las acciones de recuperación de los procesos y servicios de TI afectados.
- Realizar acciones de recuperación para los equipos de infraestructura afectados del

centro de datos.
- Realizar un informe de las acciones realizadas para recuperar los equipos de red e
infraestructura del centro de datos.
- Notificar al Coordinador de Continuidad las acciones de recuperación ejecutadas.
Administrador de TI
- Coordinar una lista de verificación del estado de los sistemas de información

recuperados
- Supervisar los procedimientos de restauración de los sistemas de información afectados
- Notificar al Responsable del Equipo de Restauración las acciones de recuperación

ejecutadas
- Desplegar en caso sea requerido la reinstalación los aplicativos de sistemas de

información.
270
- Realizar un informe detallado de las acciones realizadas para la recuperación de los

sistemas de información afectados.
- Verificar la operatividad de los servidores afectados
- Brindar solución a los problemas de funcionamiento de los servidores afectados
- Elaborar un informe detallando la evaluación realizada y las condiciones de los

servidores luego de la recuperación
- Notificar al Responsable del Equipo de Restauración las acciones de recuperación

ejecutadas
Técnico de Soporte TI
- Verificar la operatividad de los equipos afectados
- Brindar solución a los problemas de funcionamiento de los equipos afectados
- Elaborar un informe detallando la evaluación realizada y las condiciones de los equipos

luego de la recuperación
- Verificar la operatividad de las bases de datos
- Iniciar con la restauración de las copias de respaldo de las bases de datos en caso sea
requerido
- Elaborar un informe de evaluación del estado de las bases de datos luego de las acciones
de recuperación
271
4.6.6.- Plan de invocación de la emergencia
Para contar con un plan de invocación efectivo, este debe ser rápidamente implementado y su
funcionamiento debe darse en las primeras horas de la interrupción. Los pasos para determinar
si se necesita activar el plan son los siguientes:
A. Paso 1: Notificación
El personal de la institución que hace uso de los procesos y servicios de TI son los encargados
de identificar y reportar los incidentes de interrupción a través de los medios de comunicación
como una llamada telefónica, correo, radio o mensaje de texto, o también de forma presencial
al equipo de emergencia. Es decir, se evaluarán el incidente y brindar las indicaciones
respectivas para su solución. En caso de no poder solucionarlo se ejecutará el plan de
invocación notificando al coordinador de continuidad. Este informara a la alta dirección sobre
la actual situación y a los otros miembros del comité de continuidad.
B. Paso 2: Evaluación
Luego de haber convocado al comité de continuidad, se procede con la investigación del

incidente por interrupción en una reunión del comité que la conforman el Coordinador General
y el equipo de Emergencia. El levantamiento de información brindará datos acerca del
incidente de interrupción.
C. Paso 3: Anticipación
Una vez declarado el plan de invocación se deben definir las actividades a realizar. La
información de la activación del plan de invocación debe ser compartida con el personal de la
institución.
4.6.7.- Actividades a realizar antes, durante y después de una emergencia o interrupción
de un proceso y servicio de TI
Las actividades que se han tomado como base se muestran a continuación.
a. Actividades del plan de continuidad que se deben realizar antes de la ocurrencia de la

interrupción del proceso y servicio de TI
272
Antes de la ocurrencia de una interrupción del proceso y servicio de TI, el personal de

continuidad deberá constatar que cuenta con los recursos y registros disponibles ya sea dentro
y fuera de la institución.
Coordinador de continuidad:
- Realizar las pruebas y simulaciones de las alternativas de solución de forma anual.
- Distribuir los planes de continuidad de cada servicio de TI entre todos los miembros
del comité de continuidad.
- Asegurar la inclusión de capacitaciones y entrenamiento tanto al personal del comité

como al personal de la organización.
- Actualizar el plan de continuidad de forma periódica (cada 6 meses) o según se requiera.
- Directorio de personal interno y externo que reportará al comité de continuidad en caso

de una interrupción prolongada de los servicios
- Asegurar los procedimientos, guías y manuales de instalación, configuración, etc., de

forma física y digital en un repositorio donde solo tenga acceso el comité de
continuidad.
Equipo de continuidad:
- Mantener actualizado el directorio de los miembros del comité
- Brindar capacitaciones al personal usuario directo de los servicios de TI de los procesos

críticos.
- Asegurar la disponibilidad de recursos necesarios para mantener la continuidad de los

procesos críticos de la organización
b. Actividades del plan de continuidad que se deben realizar durante de la ocurrencia de la

interrupción de un servicio de TI
273
Cuando se presenta una interrupción de un servicio de TI, el personal de continuidad deberá

asegurarse de contar con los recursos y registros disponibles ya sea dentro o fuera de la
organización. Se debe asegurar que el contacto se realice y se ponga sobre aviso al comité de
continuidad.
Coordinador de continuidad:
- La persona a contactar luego de resolver que se debe activar el plan de continuidad es

el Coordinador General.
- Se notifica a los integrantes de la alta dirección los cuales deciden si se activa el plan
de continuidad, en caso de que ninguno de los integrantes está disponible, la
responsabilidad de la toma de decisión correspondería al Coordinador General.
- El coordinador deberá informar que el comité de continuidad se encuentra revisando la

interrupción.
- Se deberá llevar una bitácora de los eventos y acciones tomadas.
- Revisar el éxito de la alternativa de solución del plan de continuidad asociado al

servicio de TI que sufrió la interrupción
- Cumplir con los procedimientos y seguir los manuales de instalación, configuración,

etc.
c. Actividades del plan de continuidad que se deben realizar después de la ocurrencia de la

interrupción de un servicio de TI
Se debe revisar el cumplimiento de los procedimientos, actividades y participación del personal

que intervino en el proceso de recuperación y continuidad del servicio de TI.
En caso haya habido nuevos aprendizajes se deberán revisar en Comité de Continuidad y

posteriormente actualizar el documento del plan de continuidad para ser usado en algún
posterior incidente.
274
Coordinador continuidad:
- Asegurar que la documentación del plan de continuidad sea revisado, actualizado y

probado luego de la interrupción ocurrida.
- Validar el restablecimiento del servicio y confirmar su continuidad, así como la del

proceso del cual es base. Firmar un acta de restablecimiento del servicio ha estado
normal.
- Declarar el cierre del plan de continuidad y notificar a los integrantes del comité de
continuidad y la alta dirección, así como al responsable de cada servicio de TI.
- Presentar el informe detallando el diagnostico de causa raíz de la interrupción,

estrategias aplicadas y un resumen del trabajo realizado.
- Declarar las conclusiones y recomendaciones que ayudaran a mejorar el plan de

continuidad de servicios de TI
4.6.9.- Capacitación y entrenamiento de personal
El propósito que se cumple en este punto es brindar un conjunto de actividades que le permitan
a la institución a realizar la capacitación y entrenamiento de su personal frente a diversos
eventos que afecten la continuidad de los procesos y servicios de TI en el área de archivos.
Según se describe en la norma ISO 27031 (2011): “Se debe implementar un programa
coordinado para asegurar que los procesos estén en su lugar para promover regularmente la
conciencia
Para la efectividad del entrenamiento y capacitación del personal se deberán definir roles:
275
 Responsable de capacitación: Persona encargada de gestionar las actividades a realizar

para la capacitación. Entre ellas están:
- Establecer un programa de capacitación
- Definir los tipos de público a los que ira dirigida
- Elegir el instructor que brindara la capacitación
- Al final de la capacitación se debe contar con evaluaciones, test o encuestas para

medir su efectividad
 Asistente de capacitación: Persona encargada de gestionar actividades de apoyo para

realizar la capacitación. Entre sus actividades están las siguientes:
- Coordinar con el personal y áreas responsables sobre la capacitación a

realizar
- Gestionar los ambientes y logística necesaria
- Registrar un control de las actividades a realizar en las capacitaciones
 Instructor de capacitación: Persona encargado de llevar a cabo las capacitaciones.
Sus principales actividades son:
- Contar con material para su exposición
- Brindar capacitación al personal
Las competencias del instructor deberán estar relacionadas al conocimiento del caso y su
desenvolvimiento, entre las principales están:
- Capacidad de hablar y transmitir las ideas frente al publico
- Tener dominio y conocimiento del tema a capacitar

276
- Experiencia como instructor, creatividad e innovación
 Personal a instruir: El tema de continuidad de negocio es de total importancia para todo

el personal de la organización, sin embargo, el tipo de capacitación variara dependiendo
de los grupos o áreas de la organización a capacitar
Tabla 60: : Especificación de cumplimiento de la matriz de requerimientos
279
280
281
282
283
284
285
286

5 CAPITULO 5:
El presente proyecto de un “Diseño de un Plan de Continuidad Operativa (SGCN) para los

procesos del área de archivos de la oficina de sistemas para una Institución Estatal, con base
en la norma ISO/ IEC 27031:2011, proponer actividades que permitan su recuperación ante
posibles amenazas o desastres.
El plan de continuidad operativa para los proceso y servicio crítico TI en el área de archivo de
la Oficina de Sistemas juega un rol muy importante para la Institución Estatal debido a que
permite brindar recursos para los procesos críticos y así evitando interrupciones.
Por ende, no se puede esperar a la ocurrencia de un evento que interrumpa los servicios sino
más bien debe efectuarse las pruebas con anticipación. Según lo señala (Alexander., 2007, pág.
2007) en su artículo, las pruebas “son el único medio para demostrar que se tiene un plan de
reanudación de operaciones listo para funcionar en cualquier momento. Por consiguiente, el
objetivo de este plan de pruebas es validar el cumplimiento de los objetivos específicos, debido
a que está íntimamente relacionado al éxito de este proyecto.
288
5.1.- Flujo de Trabajo para la Evaluación y Validación
Figure 1: Pruebas, Resultado y Validación.
Fases:
 Plan de Pruebas: En la primera fase se adquiere el método de validación necesario

para hacer frente al objetivo específico en estudio. De esta manera, se mencionan que
actividades y recursos son necesarios para poder realizar la evaluación respectiva. Por
último, se fija una fecha de ejecución de las actividades a ejecutar con la finalidad de
que la institución disponga de los elementos necesarios con anticipación para el éxito
de las pruebas posteriores.
 Ejecución: En esta fase se da actividad y ejecución al método de validación

seleccionado. Como la razón de ser del presente proyecto es diseñar un Plan de
Continuidad Operativa, en base a la norma ISO/IEC 27031:2011.
Para realizar la ejecución de pruebas que conforma un plan de continuidad operativa

(análisis de impacto, análisis de riesgo, estrategias y alternativas de solución), se ha
escogido efectuar un plan de escritorio.
El motivo por el cual se ha escogido este tipo de prueba, es porque la Institución Estatal
hasta el momento nunca ha efectuado una prueba completa de un escenario real debido
289
a la dificultad desde su punto de vista y no quiere admitir el nivel de riesgo que la

prueba puede tolerar.
De esta manera, el método de validación utilizado será “Pruebas de escritorio” para la

gestión de pruebas que soportan el proceso ascenso y servicio las actividades de
registros del personal de la Institución Estatal.
En ello se realizará entrevistas no estructuradas entre los integrantes de:
- Alta Dirección
- Gerencia General
- Estructura Organizacional del Plan de Continuidad Operativo
- Personal que interactúa constantemente con los tipos de amenazas y

conocedores del proceso ascenso y servicio las actividades de registros del
personal de la Institución Estatal
 Resultados y Validación de Plan de Pruebas: En esta fase se revisan los resultados

obtenidos de las pruebas realizadas y se valida con los indicadores y métricas de logro
de objetivo trazados.
 Plan de Mejoras del Diseño de SGCN: En esta fase, la cual realimenta a la fase de
Plan de Pruebas ya que puede ser usado como un ciclo de mejora continua para las
pruebas y validación, se proponen mejoras respecto a los objetivos específicos
analizados (de aplicarse).
5.1.1 Descripción de los métodos de validación a aplicar:
La intención del presente plan de pruebas es poder validar el desarrollo y cumplimiento de

los objetivos específicos, puesto que se encuentra asociado al éxito del presente trabajo. Es
por ello, que se han desarrollado indicadores que podrán:
 Incrementar la responsabilidad: Pueden incrementar la responsabilidad pues

permiten identificar qué proceso de ascenso y servicio de las actividades de registros
290
del personal de la Institución Estatal no han sido implementados correctamente o no se

encuentran implementados.
 Evidencia de cumplimiento de requisitos: Provisión documentada de evidencia que

ayude a demostrar el cumplimiento de la normativa vigente.
 Toma de decisiones: Ayuda a la organización a poder controlar las fallas en inversión

de continuidad de negocio.
Estos indicadores serán aplicados para medir la efectividad de cada uno de los indicadores de
logro detallados en el CAPÍTULO 1 del presente trabajo, a efectos de validar su desarrollo,
cumplimiento y efectividad. A continuación, podremos observar a detalle en la siguiente tabla
los objetivos y su respectivo indicador de éxito, los cuales se presentan a continuación:
291
Tabla 61: Validación de los Objetivos

292
De este modo, con el objetivo de poder evaluar la planificación realizada, se vio necesario la
identificación de cinco indicadores que ayuden a evaluar el cumplimiento de las políticas y
controles definidos, tales como las siguientes:
293
Tabla 62 Métricas de Indicadores de Logro:

294
En los indicadores detallados en la tabla anterior contará con los siguientes elementos en su
descripción:
- Código: Identificador específico.
- Definición del indicador: Declaración de medición, generalmente descrita usando una

palabra como "porcentaje", "número", "frecuencia" y "promedio".
- Objetivo: Se determina el propósito de la medición.
- Fórmula de cálculo: Cómo debería ser evaluada, calculada o puntuado.
- Características: Resultado deseado de la medición.
- Partes responsables: Persona responsable de recopilar la información y procesar la

medida.
- Fuente: Posibles fuentes como base de datos, herramientas de seguimiento, organizaciones

externas o roles individuales.
- Frecuencia: Con qué frecuencia se deben recopilar e informar los datos obtenidos.
295
- Formato de reporte: Cómo se deben informar y recopilar estos reportes.
Es importante definir este tipo de medidas a fin que se puedan recopilar los datos y utilizarlos
para múltiples propósitos. Estos mismos datos podrían respaldar una variedad de medidas que
pueden responder a las necesidades de información de las diferentes partes interesadas de la
organización.
5.1.2 Descripción y ejecución de pruebas a realizar:
Para demostrar los resultados y validaciones de los objetivos específicos se procedió a realizar
una evaluación de encuesta virtual que podremos visualizarlo en el anexo posterior. Dicha
encuesta consistió en un conjunto de preguntas, que nos permite medir opiniones y el estado
básico de un Plan de continuidad Operativa para los procesos del área de archivo, con la
finalidad de corroborar el estado de la continuidad Operativa.
Objetivo:
Desarrollar pruebas que permitan demostrar la validez del desarrollo del modelo para gestionar
las incidencias y problemas del área TI propuesto para la Institución del área de archivo de la
oficina de sistemas para la Institución Estatal
Alcance:
El alcance abarca pruebas del desarrollo de modelo de un Plan de Continuidad Operativo en el

proceso del área de archivo.
Procedimientos:
Desarrollaremos los procesos que se realizaran en el desarrollo de las pruebas
Fase de Planificación:
296
En esta fase se debe someter a una evaluación a tus sistemas e infraestructura. Tu plan de
continuidad operativa siempre dependerá de los niveles críticos y en similar medida; del
modelo de infraestructura con la que cuentas. Este diagnóstico te indicará la etapa y las medidas
correctivas a tomar para corregir para darle paso a la implementación del Plan de Continuidad
Operativa bajo estándares ISO 27031:2011.
La institución Estatal debe determinar sus requisitos para el plan de continuidad operativa y la
continuidad de la gestión de continuidad de negocio en situaciones adversas, por ejemplos,
durante una crisis o desastre.
FASE DE DESARROLLO DE PRUEBA:
Validación de logro de objetivos
Se revisan los resultados obtenidos de las pruebas realizadas, validando con los indicadores de
logro y los objetivos trazados.
Estructura del Equipo de Pruebas
Se da ejecución al método de validación seleccionado. No se incluye la implementación de los

controles indicados nivel de criticidad de los recursos críticos y registros vitales de la norma
ISO/IEC 27031:2011, debido a que, la razón del presente proyecto es diseñar un Plan de
Continuidad Operativa para el proceso del área de archivo de la oficina sistemas. Para la gestión
de pruebas de nnivel de criticidad que soportan los procesos y servicios de TI, se realizará
entrevistas no estructuradas entre los integrantes de:
- Coordinador de Continuidad
- Administrador de TI.
- Supervisor de la Oficina de Sistemas
- Supervisor de Soporte Técnico
- Especialista en Redes e Infraestructura

297
- Operador de los Procesos
Restricciones de la prueba
En esta sección deberían anticiparse las restricciones que afectan al proceso de pruebas como
la escasez de personal
5.2 Fase del Desarrollo de Pruebas:
5.2.1.- Plan de Prueba Objetivos Específicos 1:
El Objetivo Especifico I se muestra en la siguiente tabla:
Tabla 63: Plan de Pruebas para Objetivos Específicos 1

298
5.2.2. Fase de Plan de Pruebas
En el capítulo anterior se desarrolló un Análisis de Impacto al Negocio (BIA). En base a ello,

este objetivo tiene como finalidad la elaboración de los principales niveles de criticidad
asociados a los procesos de ascensos al personal de la institución Estatal. En base a ese, se da
un análisis de flujo de trabajo para su evaluación y validación que se muestra en la tabla.
El comité de continuidad procederá a realizar encuestas al personal de la institución con la

finalidad de obtener una mayor muestra al momento de realizar el análisis de impacto al
negocio.
Tabla 64: Matriz de un Plan de Pruebas P-OE1-01

299
300

301
Para la prueba se asignan los roles del análisis BIA y Responsabilidades BIA.
- Líder BIA: Coordinador de Continuidad
- Gerente de Proyectos: Coordinador de Continuidad
- Propietarios de procesos: Brindan conformidad de lista de procesos
- Responsable de actividad: Equipo de emergencia.
Encuesta
La encuesta se realizará a través de forma física y por correo de la institución. Esta encuesta ha
sido realizada en base a las consultas hechas en las entrevistas realizadas en el Análisis BIA
del presente trabajo.
5.2.3. Fase de preparación de las pruebas
El Coordinador de Continuidad será el encargado de convocar la reunión a través de un formato

de forma física y/o correo electrónico a una muestra de personal involucrado y detallado en el
Plan de Pruebas del objetivo específico en cuestión. En dicho correo se deberá adjuntar el
documento de Plan de Pruebas para brindar conocimiento de las actividades que se realizaran
y la encuesta “Prueba de Análisis BIA”. Esta encuesta será enviada a cada usuario que cuente
con una cuenta de correo electrónico asociada a la institución. En caso de que sea personal del
área de archivo de la oficina de sistemas, el responsable del equipo de emergencia le hará llegar
la encuesta de forma física.
5.2.4. Fase de ejecución de pruebas
En esta fase se ejecutará cada actividad detallada en el documento de Plan de Pruebas P-OE1-
01.
302
 Actividad 1: Envío de encuesta a una muestra del personal del área de archivo de la
oficina de sistemas para la institución en forma física y/o por correo interno de la
institución Estatal.
La siguiente figura muestra las vistas de la encuesta enviada. El universo a una muestra
de personal del área de archivo de la oficina de sistemas para la institución en forma
física y/o correo interno de la institución personas de todas las áreas de la institución.
Figura 19: Encuesta en forma física y por correo electrónico

303
Tabla 65: Universo de usuarios para prueba P-OE1-1

304
Anexo: Encuesta y Lista de Cotejo, dado por el juicio de expertos.:
El cumplimiento de este objetivo se midió a base de la comparación de una encuesta previa

para el diseño del proyecto. Este objetivo fue de la mano junto al diseño de un Plan de
Continuidad Operativo para el proceso en el área de archivo, ya que para su futura
implementación se requiere que los trabajadores sepan la importancia de la continuidad de
negocio en sus labores diarias. La encuesta consistía en 12 preguntas de proponer actividades
que permitan su recuperación ante posibles amenazas o desastres., las cuales serán analizadas
a continuación:
 Actividad 2: Registro de encuesta por parte del personal involucrado
Luego de finalizada la encuesta a una muestra de personas de la muestra, la cual arroja los
siguientes resultados.
Figura 20: Pregunta 1 de encuesta de prueba

En la figura 23, se determina que el 100% de los encuestados conocen los procesos que rigen
las operaciones del área de archivos de la oficina de sistemas para la institución.
305

En la figura 24, se determina que para las encuestas los 3 procesos críticos más importantes
para la empresa son: Desarrollar estrategia de producción de los procesos en el área de archivo
de la oficina de sistemas, Gestionar y mantener los activos productivos de los procesos,
Aprovisionar suministro, repuesto y equipos de servicios.

306
De la figura 25, se determina que las 3 áreas más importantes que brinda apoyo son: Logística,
Tecnologías de la información y Operaciones.

De la figura 27, se observa que previo al proyecto se determina que el 80% de la muestra del
personal no conoce cómo se protegen los recursos que se utilizan para mitigar los escenarios
de desastre.
307

De la figura 27, se determina que el 100% de la muestra de personal tiene conocimiento de que
procedimientos seguir en caso no cuenta con el servicio de TI para realizar su proceso.

308
De la figura 28, se determina que el 100% de una muestra del personal encuestado conoce el
tiempo en el que deberían retomarse las actividades de su proceso en caso ocurra una
emergencia o escenario de desastre.

De la figura 30, los encuestados de una muestra del personal del área de archivo opinan que el
tiempo de restauración de los servicios de TI para retomar sus actividades es, en su mayoría,
de 6 horas que representan el 67% del total de encuestados. En segundo lugar, consideran que
12 horas debería ser el tiempo de restauración, este número representa el 13% del total.
 Actividad 3: Tomar nota de la información provista en el informe de la encuesta Como

resumen, según la encuesta los procesos críticos son los siguientes:
Tabla 66: Procesos críticos según encuesta de prueba

309
Tabla 67: Servicios de TI de Soporte a los procesos críticos
 Actividad 5: Verificar el resultado obtenido
De las Tabla 64 y 65 se confirman los resultados obtenidos en comparación a lo analizado en

la solución propuesta. Los datos corresponden a los procesos críticos y servicios de TI
prioritarios para el correcto funcionamiento de las operaciones en el área de archivo de la
Oficina de Sistemas para la institución Estatal.
5.2.5. Fase de Evaluación
En esta fase de evaluación podemos concluir que las entrevistas realizadas en el proceso de
solución de la propuesta a los responsables de cada proceso confirman lo obtenido en los
resultados de las encuestas a una muestra de 15 personas de la población total de colaboradores
de la Institución Estatal. Todos los resultados obtenidos confirman el correcto desarrollo de la
solución propuesta en el análisis BIA y la identificación correcta de los procesos críticos a
tratar.
5.2.6. Plan de mejora
Debido a que el trabajo no incluye la implementación del SGCN, sino su diseño, no se incluye
mejoras de implementación. Sin embargo, dentro de las pruebas de encuesta realizadas,
mientras la institución no decida implementar el SGCN,
310
De la encuesta realizada a una muestra de personal se desprende el poco conocimiento de los

colaboradores por las protecciones, controles y planes de continuidad que soportan los
servicios. Como mejora se debe realizar una capacitación en la que se explique cuáles son tales
recursos.
5.3.- Plan de pruebas Objetivo Especifico 2
En la siguiente tabla se describe el objetivo específico 2, así como su indicador de logro y la
métrica asociada.
Tabla 68: Indicador de logro y métrica del Objetivo Especifico 2

311
5.3.1 Fase de planeación de las pruebas
Previo al Plan de Pruebas ejecutado el comité de continuidad procederá un análisis de las causas
que generan la activación de los escenarios de amenazas con nivel de riesgo “Alto”. Para la
prueba se asume la activación del escenario de amenaza descrito como declaración de riesgo.
Para obtener los análisis de riesgos se va a realizar un análisis retrospectivo para identificar si
realmente son riesgos altos críticos para la el área de archivo de la Institución Estatal. Además,
dar inicio a la validación si realmente esos riesgos altos que se han identificados son reales o
no y si es que realmente el nivel de ponderación que se ha colocado. Por lo tanto, se va validar
las amenazas y vulnerabilidades a través de una especie de auditoria interna en la cual se va ser
requerimientos en los siguientes detalles:
- Documentos de los controles que existen en la institución Estatal (Registros de revisión,

personal encargado de documento, si es confidencial, clasificado y reservado) de los
incidentes hallados en el área de archivos.
- Realizar entrevista con las personas que están relacionados con riesgos altos que se han
identificados.
El flujo a seguir para la ejecución de la prueba es el siguiente según se ha detallado en el Plan

de pruebas.
Figura 27: Flujo Escenario de amenaza en retrospectiva

312
Para identificar y conocer más sobre los riesgos de las amenazas y vulnerabilidades se toma en
consideración lo siguiente:
313
Tabla 69: Matriz de Plan de Pruebas para el Objetivo Especifico 2

314
315
Fuente 74: elaboración Propia
5.3.2 Fase de Preparación de las pruebas
En la siguiente fase el Coordinador de Continuidad será el encargado de convocar la reunión a

través del formato de correo electrónico a una muestra de personal involucrado y detallado en
el Plan de Pruebas del objetivo específico en cuestión. En dicho correo se deberá adjuntar el
documento de Plan de Pruebas para brindar conocimiento de las actividades que se realizaran.
5.3.3 Fase de ejecución de pruebas
En esta fase se ejecutará cada actividad detallada en el documento de Plan de Pruebas P-OE-
01.
 Actividad 1. Determinar el escenario de amenaza activado
En la siguiente tabla muestra la declaración del riesgo y el escenario de amenaza con el cual se
realizarán las pruebas en retrospectiva.

316
Tabla 70: Escenarios de amenaza con riesgo alto
 Actividad 2. Revisar documentación de controles actuales que existen en el área de

archivo en la Institución Estatal (Registro de revisión, personal encargado de
documento si es una amenaza) de los incidentes hallados en el área de archivo.
En el siguiente proyecto se verifico la documentación actual de controles y se constató que la

carencia de servicio VPN debido a la falta de compatibilidad por tener un software obsoleto
que brinda el servicio de conexión remota VPN. Esto se validó con el documento del
mantenimiento realizado al equipo. Como se ve en el informe, se realizó el mantenimiento
dentro de los plazos programados, sin embargo, se encontraron algunas observaciones con
respecto a los componentes. Estas observaciones fueron levantadas por el área de archivos de
la oficina de sistemas y la herramienta quede operativo.
 Actividad 3. Analizar con el equipo de continuidad y personal usuario las amenazas y

vulnerabilidades concernientes a dicha incidencia
Para que esta actividad se lleve a realizar se hará uso del diagrama causa-efecto a través de una
tabla. Esta tabla nos ayudara a conocer las causas que han originado la activación de amenaza
que han originado la activación del escenario de amenaza que ha ocasionado el servicio de
conexión remota.
317
Tabla 71: Lista de causas, amenazas y vulnerabilidades
 Actividad 4. Realizar comparación del resultado de las encuestas con análisis de riesgo
propuesto y se valida si se ha llegado al mismo resultado en el presente trabajo
Luego de la ejecución de actividades de la prueba se identificaron vulnerabilidades y amenazas

relacionadas a las causas señaladas en la tabla de causa-efecto. En la cual, estos fueron
corroboradas e identificadas en su totalidad en el informe de Análisis y Evaluación de riesgos
5.3.4 Fase de Evaluación
En esta fase de evaluación logramos concluir que la matriz de análisis y evaluación de riesgos
propuesto en el proyecto muestra con efectividad los escenarios de amenaza identificados en
base a el análisis de las amenazas y vulnerabilidades recopiladas durante el proceso de
investigación y levantamiento de información del presente trabajo.
318
5.3.5 Plan de mejora
A causa de que el presente trabajo no incluye la implementación de un Plan de Continuidad

Operativo, sino su diseño, no se incluye mejoras de implementación. Sin embargo, dentro de
las pruebas retrospectiva realizadas, mientras la institución no decida implementar el Plan de
Continuidad Operativo, se recomienda realizar en plazos de 02-03 meses nuevas métodos de
pruebas retrospectiva a las ya realizadas, esto debido a que puede haber algún servicio critico
en el área de archivo que en el tiempo varió su criticidad o impacto.
En el análisis en retrospectiva nos ayudó a poder revisar los controles existentes y observar
desde otra perspectiva los elementos de un análisis de riesgos. En consecuencia, como resultado
del análisis de riesgos se debe comprobar la efectividad de los controles existentes, con esto
aseguramos una mejor lectura de los niveles de riesgo de los escenarios de amenaza.
5.4 Plan de Prueba Objetivo Especifico 3
En la siguiente tabla se describen los objetivos, así como sus indicadores de logro y las métricas
asociadas.
Tabla 72: Indicador de logro y métrica del Objetivo Especifico 3

319
En esta fase el comité de continuidad realizara la simulación de la ejecución, a nivel de

estrategias de recuperación de desastres, para constatar su funcionamiento llegado el momento.
Para tal motivo, las pruebas del objetivo específico 3, en donde se evidenciará la efectividad
de las estrategias propuestas para los escenarios de amenaza, se analizará el tiempo de
restauración de los niveles de servicio seleccionadas sean menor o igual a los propuestos
Tabla 73: Matriz de un Plan de Pruebas P-OEIII-01

320
321

322
Tabla 74: Matriz de Plan de pruebas P-OE3-02

323

324
En esta fase el Coordinador de Continuidad se encargará de convocar la reunión a través del

formato de correo electrónico a una cierta cantidad de personal involucrado y detallado en el
Plan de Pruebas del objetivo específico en cuestión. En dicho correo se deberá adjuntar el
documento de Plan de Pruebas para brindar conocimiento de las actividades que se realizaran.
Estas medidas aplican para todas las pruebas realizadas en este objetivo específico.
Para el caso del plan de pruebas con código P-OE3-01, la información confidencial solicitada
deberá ser aprobada por la gerencia general junto con la firma de la carta de confidencialidad.
Después de saber cuáles son los servicios TI de la institución, se identifican riesgos y amenazas
a los que la institución se enfrenta. Es por eso, se debe determinar estrategias de continuidad
que se usarán para poder tener un mejor control de los riesgos cuyo valor exceda el máximo
tolerable por la Institución Estatal.
En esta fase primero se ejecutarán las actividades detalladas en el documento de plan de

pruebas P-OE3-01.
 Actividad 1: Comprobar perdida de acceso a servicio VPN

El usuario conectado a un servicio de internet residencial también y al servicio VPN, pierde
conectividad con el servidor de archivos la red de la institución. Los servidores con los que se
realizaran las pruebas son los siguientes: SERVAP01 (VLAN de oficinas) y SERV02 (VLAN
del área de Archivo). Por la cual, se realiza una prueba de la desconexión de la VPN y se
verifica que se pierde la conexión con los servidores.
 Actividad 2: Permitir alternativa de solución del servicio VPN

En esta prueba se implementarán el servicio de Azure VPN a través del portal Azure que la
institución Estatal tiene disponible. La prueba contempla la instalación del Azure VPN Client
en los equipos de trabajo de los usuarios de prueba.
 Actividad 3: Desarrollar pruebas de conexión con VPN

325
En esta prueba se llevará a cabo conectando el servicio de VPN Azure Client con una cuenta
de prueba asociada al Active Directory de la institución Estatal. A partir de esta actividad se
procederá a analizar los niveles de servicio.
 Actividad 4: Obtenemos el resultado y se valida los tiempos de recuperación del

servicio VPN desde su interrupción.
Como resumen de actividades se tiene lo siguiente:
- El usuario verifica perdida de conexión a la VPN al no tener respuesta de los servidores

(8:30 a. m.).
- El usuario reporta incidencia a personal de continuidad encargado (8:31 a. m.).
- El encargado muestra que proceda con la activación del plan de continuidad VPN (8:32
a. m.).
- Se realizan pruebas de conectividad desde el equipo del usuario y desde la central a

través de monitoreo de red (8:35 a. m.). Se valida la recuperación del servicio.
- El responsable del equipo de recuperación deberá notificar al Coordinador de

continuidad las actividades realizadas (8:40 a. m.).
En segunda fase, se ejecutarán las actividades detalladas en el documento de Plan de Pruebas

P-OE3-02.
 Actividad 1: Inicio de prueba: se convoca a un grupo de personal para la sesión de

pruebas
 Actividad 2: Resumen de actividades de la prueba
- Se declara el incidente a las 10:00 a. m. en la Oficina de Sistemas.
- Se comunica al coordinador de continuidad acerca del incidente y convoca a una

reunión de comité.
326
- A las 10:30 a. m., la gerencia de Planta Lima brinda conformidad para que proceda la
activación del servidor de contingencia del plan de continuidad del servicio del area de
archivo.
- A las 11:00 p. m. el personal del comité de emergencia entra en operaciones y procede

a ejecutar los procedimientos del plan de continuidad.
- A las 11:45 p. m. se adquiere levantar el servicio en el proceso dando acceso al servidor

de contingencia.
- El coordinador de continuidad informa a la alta dirección acerca de la activación del

plan de continuidad del servicio del Sistema de la Oficina de Sistemas
- A la 12:00 p. m. el operador puede conectarse y realizar operaciones de supervisión,

registro y monitoreo del sistema.
- A la 12:30 p. m. se prepara la lista de tareas post-emergencia, detalle de los elementos

a recuperar, lista de proveedores y presupuesto para la adquisición del componente
fallado o un nuevo servidor.
- A las 1:00 p. m. se da por finalizada la prueba al no haber mayores incidentes.
 Actividad 3: Rellenar plantilla del plan de continuidad utilizado

Figure 2: Formato de pruebas de plan de continuidad

Actividad 4: Cierre de prueba
Por último, la prueba finaliza con el cierre del informe del plan de pruebas de la Tabla 69 en la
que figura como resumen lo realizado en la prueba.
En esta Fase de evaluación basándose en el caso de la prueba P-OE3-01, podemos concluir de

la siguiente tabla que los tiempos de recuperación antes considerados para este servicio era de
8 horas, sin embargo, ahora se puede proponer a la institución un objetivo de 4 a 10 minutos
en promedio para la restauración. Con las pruebas se logra demostrar que la solución es mucho
más eficaz de lo que se tuvo contemplado para este servicio de TI.
Tabla 75: Tiempos de recuperación del servicio de TI de prueba P-OE3-01
En este caso de la prueba P-OE3-02, se puede dar a relucir que los tiempos de recuperación
antes considerados para el servicio del sistema del área de archivo era de 4 horas, sin embargo,
luego de la prueba se ha concluido que en ese mismo escenario el tiempo de recuperación sería
de 2 horas. Por lo tanto, como resultado de las pruebas se logra demostrar la eficacia de la
propuesta de alternativa de solución brindada.
329
Tabla 76: Tiempos de recuperación del servicio de TI de prueba P-OE3-02
 Para el caso de la prueba P-OE3-01, como opción de mejora se recomienda actualizar

o migrar de forma completa a la nueva plataforma de Azure VPN para tener una mejor
disponibilidad en el servicio de conexión remota VPN. Se debe cubrir los
requerimientos de ancho de banda y licencias necesarios para una buena comunicación.
 Para el caso de la prueba P-OE3-02, como opción de mejora luego de haber realizado
la prueba se propone que el cambio de sistema de control de proceso sea de forma
automática en vez de ser manual, como se ha establecido en la alternativa de solución.
Con esto se obtiene una mayor disponibilidad y un tiempo de recuperación menor al
establecido
330
En la siguiente tabla se describen los objetivos, así como sus indicadores de logro y las métricas
asociadas.
Tabla 77:Indicador de logro y métrica del Objetivo Especifico IV
En esta fase el comité procederá a realizar el análisis de los niveles de inversión de las
alternativas de solución en base a cotizaciones obtenidas por parte de los proveedores y pruebas
de escritorio para validar la información de tiempos de implementación de las alternativas de
solución que figuran en las cotizaciones.
Se tomará como muestra las estrategias y alternativas de solución con escenarios de amenaza
con nivel de riesgo “Alto”.
331

332
Las alternativas de solución de mayor acercamiento a la necesidad de continuidad operativo

para el proceso del área de archivo son los más recomendados para su elección, esto de la mano
de un análisis costo-beneficio y la experiencia del personal del comité de continuidad de la
institución estatal.
La efectividad que se busca está en base a la incorporación de una alternativa de solución que
brinde continuidad dentro de los tiempos establecido para cada proceso.
En esta fase de la preparación de las pruebas el Coordinador de Continuidad será el encargado

de convocar la reunión a través del formato de correo electrónico a un grupo personal
333
involucrado y detallado en el Plan de Pruebas del objetivo específico en cuestión. En

mencionado correo se deberá adjuntar el documento de Plan de Pruebas para brindar
conocimiento de las actividades que se realizaran.
En esta fase se realiza la ejecución de cada actividad detallada en el documento de Plan de

Pruebas P-OE4-01.
 Actividad 1: Brindar las cotizaciones de las alternativas de solución
Tabla 79: Costos y tiempos de implementación de las alternativas de solución.
De esta manera según la cotización de costo mensual por el servicio de Azure VPN es de $
1700. Obteniendo como calculo final de la solución es anual debido al presupuesto otorgado
por la Alta dirección al gasto de los servicios de TI para el área de archivo.
 Actividad 2: Análisis costo-beneficio de alternativas de solución
Tabla 80: Análisis costo beneficio de alternativa A04

334
 Actividad 3: Reunión para la revisión del cronograma y recursos necesarias en la

implementación.
En esta actividad de acuerdo a la reunión se llevó a cabo un acuerdo con el proveedor el

cual propuso las actividades dentro del cronograma de implementación detallando el
trabajo a realizar con los recursos y métodos que se necesiten para la implementación ce
esta alternativa de solución.
335
Tabla 81: Cronograma para el Diseño de continuidad de Negocio.
Fuente 85: Elaboración de Propia

336
 A 4: Análisis de los resultados de las pruebas
En esta actividad el resultado de las pruebas se describe lo siguiente:
- Se revisó el nivel de inversión y los beneficios de estos para la continuidad del servicio
de conexión remota VPN.
- Se validaron las actividades por parte del proveedor acerca del tiempo de
implementación requerido para la solución.
En esta fase de evaluación la prueba de la inversión requerida para la solución es acorde a lo

que se necesita para poder brindar continuidad del servicio de acceso remoto VPN. Además, el
tiempo de implementación de la solución está dentro de los parámetros de tiempo indicados en
la cotización. Para cumplir con el objetivo de la alternativa de solución deberá tener en costos
y tiempos de implementación un menor impacto. En este caso los resultados satisfacen lo
requerido por el indicador de logro y métricas del objetivo.
5.5.5 Mejora Continua
Se plantea como plan de mejoras realizar pruebas en alto tráfico de usuarios conectados a través
de la red e internet y confirmar si existe latencia en sus conexiones. En caso se requiera es
posible realizar el incremento del ancho de banda de la alternativa propuesta ya que la solución
contempla posibles modificaciones en su configuración con variación en el nivel de inversión.
337
El Objetivo Especifico 5 se muestra en la siguiente tabla:
Tabla 82:Indicador de logro y métrica del Objetivo Especifico V
En este objetivo específico se realizará los cálculos de tiempo en proyectos de seguridad de la

información. Poder conocer la efectividad de los proyectos que se detallan en el Plan
Estratégico de Seguridad de la Información, debemos evaluar cómo han venido evolucionando.

338

339
En esta fase el Coordinador de Continuidad operativa será el encargado de requerir la reunión

en la cual se dará la intervención de los usuarios en el centro de responsables o de comando
para practicar la recuperación de un proceso o área completos siguiendo una guía. El tipo de
pruebas deben realizarse de preferencia los fines de semana por la baja carga laboral. Por lo
tanto, debe tener registrada la documentación precisa del levantamiento de las anotaciones u
observaciones, dificultades y soluciones. Esta documentación ejerce como una considerable
información ante un escenario verdadero como una interrupción o desastre. Igualmente, se
realizará la documentación en la cual colabora a efectuar un análisis preciso de las fortalezas y
debilidades del plan de continuidad operativa.
340
En esta fase se realizará una prueba total o completa para la elaboración del plan de continuidad
operativa para los procesos y servicios críticos de TI. Luego se da por concluido todo el trabajo
mediante actividades.
Para la elaboración de un plan de continuidad operativa, se requiere realizar las siguientes

actividades:
1. Análisis de riesgo
En esta parte se tomó como referencia la norma ISO 27005:2018 reducirá el riesgo de brecha
en la seguridad informática, ya que ambos proponen una metodología para una buena gestión
de riesgos.
El método que se propuso es el siguiente:
Figura 28: Propuesta para el análisis de Riesgo
1.1 Listar los servicios de TI

En esta lista se menciona los principales procesos y servicios de TI, ya sea los servicios básicos
de red y los sistemas de TI del área de archivos de la Oficina de Sistemas para poder entender
cuáles son los que generan valor a la institución estatal. Los servicios son los siguientes:
341
Tabla 84: Servicios básicos de Red

342
Aparte de los servicios básicos, existen servicios críticos que generan valor al área archivo de
la oficina de sistemas y no pueden parar de funcionar y deben de seguir con su operación. Los
servicios principales se identifican analizando el impacto al negocio.
1.2 Identificación de Amenazas

En la siguiente tabla se menciona las posibles amenazas que puede sostener la institución
estatal.
Tabla 85: Posibles Amenazas en el área de archivo de la Oficina de Sistemas
344
345
346
1.3 Vulnerabilidades y controles en general

Tabla 86: Matriz de Vulnerabilidades y controles en general
347
348
349
350
351
1.4 Escenarios de amenazas

1.3.1 Escenarios de amenazas evaluados
Figura 29: Escenarios de amenazas evaluados

Tabla 87: Vulnerabilidad y Controles actuales
353
354

Tabla 88: Escenarios de amenazas evaluados
356
Los procesos que se realizan en el área de archivo de la Oficina de Sistemas:

- Proceso de registros e identificación del personal de la institución
- Proceso de Evaluación Profesional de ascenso del personal de la Institución
Como se detalla en la tabla anterior se muestran distintos escenarios amenazas, pero sólo se
tomaron dos escenarios (RT 03, y RT 11) que son los más comunes que suceden en la institución
en un evento real.
1.5 Informe del Riesgo
Para Finalizar con un buen análisis de riesgo, se debe realizar un informe donde reducir todo lo
realizado para tener un registro documentado, el informe debe contener como mínimo los servicios
357
de TI, catálogo de amenazas, evaluación de los riesgos, estadísticas, vulnerabilidades, controles

para cada escenario de amenaza.
2.- Análisis de Impacto al negocio
En el Análisis de Impacto al Negocio (BIA), se tomó como referencia la norma ISO 22317:2015,
ya que plantea una metodología para una buena gestión de impacto al negocio y nos establece
niveles de servicios (MTPD, RTO, RPO y WRT) que serían los tiempos de recuperación
aceptables para los servicios críticos de TI. El método que se propuso es el siguiente:
Figura 30: Metodología del IBA
2.1 Establecer funciones y procesos
En esta etapa, se debe listar los procesos más relevantes del área de archivo de la oficina de
sistemas, cabe recalcar que de toda la lista que se aprecia en la siguiente tabla se identificará sólo
lo más críticos junto a sus servicios de TI.
358
Tabla 89: Nivel de criticidad
Calculo del promedio:

Tabla 90: Procesos críticos y niveles de impacto:
360
361

Tabla 91: Procesos Críticos más importante del área de archivo de la oficina de sistemas
Procesos Nivel 1 Responsable de Proceso
Abastecer Materia Prima para los procesos y servicios Jefe de Logística

críticos de TI
Producir/ Procesos de asensos y servicios críticos Gerente de Planta
Administrar actividades de procesos en los servicios de Gerente de Logístico

TI
2.2 Impactos Organizacionales (económico y operacional)
- Tal como se aprecia en la Tabla 91 los servicios críticos con mayor prioridad de
recuperación son aquellos que soportan en el área de archivo a los procesos de producción
en los procesos de registros e identificación y Evaluación Profesional de ascenso del
personal de la Institución Estatal.
Impacto operacional:
En este impacto se toma como ejemplo:
- Si el proceso se interrumpe, ¿Cuál es el impacto en otros procesos o áreas? (3 severo)
Impacto Económico:
En este impacto se toma como ejemplo
- ¿Es posible estimar las pérdidas económicas en dinero? Si

- ¿Cuál es el tiempo máximo en el que el proceso debería ser recuperado para no causar un
impacto económico significativo? 8 Horas
A continuación, se procede a listar los procesos críticos:

363
Tabla 92: Niveles de servicios de TI y los procesos (MTPD,RTO,RTO y WRT)
MTPD= Duración del RTO + WRT
Luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo tolerable para
los servicios de TI de los procesos críticos en el área de archivos.
364
Figura 31: Niveles de Criticidad
Niveles de Criticidad de procesos
12%
4%
BAJO
MEDIO
20% SEVERO
64% MODERADO

365
Tabla 93: Encuesta Solicitada en el Área de Archivo

En la tabla anterior, se definen los niveles de servicios, que vendrían a ser los tiempos de
recuperación para cada servicio crítico de TI. Estos se calcularon en base al MTPD.
2.5 Identificación de recursos y registros vitales

366
Se procede a identificar los recursos que los soporta.
Tabla 94: Matriz de Recursos y Registros Vitales :
2.6 Informe del BIA
Para concluir con un buen análisis de impacto al negocio, se debe elaborar un informe donde
resuma todo lo realizado para tener un registro documentado, el informe debe contener como
mínimo los servicios críticos de TI, los impactos organizacionales (económico y operacional), Los
niveles de servicio; es decir los tiempos de recuperación, estadísticas, recursos y registros vitales
del área de archivo de la oficina de sistemas.
3. Estrategia de recuperación y alternativa de solución
Luego de identificar los escenarios de amenazas y los impactos del negocio con sus tiempos de
recuperación, se debe de elaborar estrategias y alternativas de solución para los principales
procesos y servicios de TI para que estos no tengan interrupción en continúen funcionando. A
367
continuación, en la tabla se muestra las estrategias y alternativas su tiempo e implementación y

costos. En este caso solo se usaría las estrategias y alternativas que han usado como ejemplo.
Acciones a considerar de las Alternativas de Solución
1) RT-04: La Indisponibilidad de servicio VPN debido incompatibilidad por obsolescencia de

software sucede la paralización de los servicios red privada virtual de los procesos en el área de
archivo como en los registros, identificación y evaluación profesional del personal de la
institución de debido a la alta probabilidad de las fallas de hardware en el servidor.
Alternativa de solución: A04
a) Experiencias y conocimientos. Se debe contar con documentación de los procesos de

programación, puesta en marcha. Capacitación al personal del área de soporte de TI de la
oficina de sistemas para revisar y evaluar las conexiones.
b) Instalaciones. E l personal debe contar con la conexión a internet y otros requerimientos

para trabajos fuera de la institución.
c) Tecnología. Con el fin de garantizar la integridad de la comunicación a través de una red

externa vía VPN y así brindar continuidad al servicio de TI que este soporta se propone
adquirir lo siguiente:
 VPN. El proveedor de servicios de Microsoft Azure mantendrá la conexión vía un túnel

de comunicación. La solución brindará la disponibilidad que se requiere en caso el equipo
principal se interrumpa.
En este caso la alternativa debe contar con la capacidad suficiente al personal involucrado para la
conexión de sus usuarios externos.
a) Proveedores. Contratos de nivel de servicio con el proveedor se realizará 7*24*365 días

al año.
b) Costos y tiempos de implementación de las alternativas de solución.

368
La decisión se efectuó en base a la disposición en el cambio del equipo de respaldo en vez de

cambiar de estación de trabajo y conectarse a un equipo virtual.
2) RT-09: Acceso no disponible al Sistema de los procesos y servicios críticos en el área de

archivo de forma remota en cuestión de una pandemia u otro evento que impida que el personal
acuda de forma presencial.
a) Experiencias y conocimientos. La capacitación en el procedimiento de conexión al

servicio VPN. El área de soporte de TI de la Oficina Sistemas cuenta con personal
capacitado para elaborar la implementación, configuración y puesta en marcha de la
solución.
 Acceso remoto a los sistemas.
- Servicio VPN: Servicio en marcha dentro de los servicios que brinda la Institución
Estatal y el área de Soporte de TI de la Oficina de Sistemas.
 Red Internet para la Institución Estatal.
Para realizar esta propuesta es necesario permitir la comunicación entre la red

administrativa y la red institucional, ya que las dos redes son independientes y no
conversan entre sí. Luego se configura el switch core con las VLAN de cada una de sus
puertas de enlace y así lograr la comunicación entre redes.
c) Procesos. Proponer un nuevo proceso en el cual como medida de continuidad se utilice una
conexión VPN para luego conectarse de forma remota a las estaciones de trabajo de áreas
de la Institución Estatal.
369
d) Costos y tiempos: La decisión se efectuó en base a la vertiginosa y menos costosa solución

en comparación con la otra solución propuesta. Debido a que la necesidad es conectarse y
monitorear de forma externa la primera solución A07 es la más recomendada.
3. RT -07: La inoperatividad del sistema de los procesos y servicios críticos de TI en el área

de archivo creado por el deterioro interno de componentes. Para esto la indisponibilidad
de equipo de administración de Sistema de los proceso y servicios críticos en el área de
archivos por ausencia de suministro eléctrico. La cual causaría la paralización del servicio
de Registros de Identificación de su Tarjeta de Identidad y los procesos de evaluación por
la alta probabilidad de la interrupción de este sistema Eléctrico.
a) Experiencias y conocimientos.
- Contar con el personal de mantenimiento delegado para ejecutar y llevar a cabo el plan
de continuidad durante las 24 horas en los 3 diferentes turnos.
- Contar con personal capacitado y procedimientos establecidos para la ejecución del

plan de continuidad Operativa de esta alternativa de solución.
b) Tecnología.
 Estación de trabajo. La solución plantea tener una estación configurada de respaldo ante
una casual falla de hardware en el equipo.
c) Datos. En cuestión de datos es necesario contar con un procedimiento de backups de la

estación de trabajo cada vez que se realice algún cambio en la configuración del sistema
370
de automatización. Esta copia de respaldo deberá realizarse a través del método de

clonación que será utilizada posteriormente en la recuperación del equipo principal.
d) Proveedores.
- Proponer las facilidades para la adquisición de las recomendaciones tanto en

hardware como en software.
e) Costos y tiempos de alternativas de solución.
La decisión se efectuó en base a la facilidad en el cambio del equipo de respaldo en vez de cambiar
de estación de trabajo y conectarse a un equipo virtual.
4) RT -09: El sistema ERP SAP Procesos no se encuentra disponible por motivo de la

perdida de información necesaria para la recuperación del sistema en caso se genere un
daño parcial o total del servidor.
Se debe realizar las siguientes acciones inmediatas si ocurre un incidente respecto a la falla
en el servidor principal que almacena los datos de todo el personal de la Institución Estatal.
- Elevar la solicitud de soporte de inmediato al proveedor del servicio.
- Se debe garantizar el óptimo funcionamiento del servidor de respaldo restaurando

la copia de información más reciente de la última replica.
- Garantizar que el servidor del servicio del registro de todo el personal de la

Institución Estatal de respaldo se incorpore al funcionamiento adecuadamente y
alertar a los responsables de los servicios críticos de soporte de TI de la Oficina de
Sistemas.

371
a) Experiencias y conocimientos. La capacitación del personal para dar a conocer y

concientizar al personal usuario acerca del plan de continuidad.
 Servidor físico. Sera el delegado de brindar alojamiento del servidor virtual que brindará
continuidad al servicio ERP SAP en caso el equipo principal falle. Se recomienda el siguiente
producto.
- 1 Servidor Virtual en Plataforma
 Servidor Base de Datos. La solución propone un servidor en replicación, es decir, que se

completará al servidor principal con una réplica de la información cada 1 minuto con toda
la información que este último almacena en su base de datos.
c) Datos. Los datos serán importados y sincronizados desde el servidor de base de datos del
sistema ERP SAP de hechos vitales. Los datos se replicarán de un servidor principal a uno
secundario de backup.
d) Procesos. Se considera el proceso de continuidad de servicio ERP SAP de hechos vitales

desde el nivel usuario donde se ofrezca información de los procedimientos y funciones de
los participantes del proceso.
e) Proveedores. Proponer las facilidades para la adquisición de las recomendaciones dentro

de los plazos establecidos en la cotización.
f) Costos y tiempos de implementación de las alternativas de solución.

372
La alta dirección selecciono por la alternativa de solución A10 debido a que es menos compleja
y costosa, y además pronto la institución realizara la migración a la plataforma 365.
5) RT 03: Paralización de los servicios de los procesos en el área de archivo como en los
(registros, identificación y evaluación profesional del personal de la institución) debido a
la alta probabilidad debido a la perdida de acceso a sistema de del área de archivo por falla
en disco duro virtual.
Alternativa de solución: A1 y A2
a) Experiencias y conocimientos. Preparación en el procedimiento de apagado de equipos

servidores, equipos de comunicación entre del tiempo de autonomía de la solución
realizada de sistema continuo de energía eléctrica.
b) Tecnología. Con el fin de garantizar la integridad de los equipos del centro de datos y
continuidad de los servicios de TI que estos soportan se propone adquirir lo siguiente:
 UPS. Su funcionamiento es por un periodo no menor a 2 horas. La solución debe contar

con este requerimiento para poder cumplir con el procedimiento de apagado de servidores
sin poner en riesgo la integridad del equipo al apagarse de forma abrupta.
c) Grupo electrógeno. El generador deberá tener la capacidad suficiente para a área de

sistemas. Se debe realizar el cálculo de la energía que se necesita para cubrir la base de
datos de la oficina de sistemas de forma continua. Para este proyecto se realizó la consulta
al área de TI el cual indica que el consumo requerido es de 9 KVA.
d) Proveedores.
- Facilidades para la adquisición de las recomendaciones dentro de los plazos
establecidos en la cotización.
- En caso de que el tiempo estimado de reparación supere las 8 Horas, deberá realizar
reposición del equipo inmediatamente.
e) Costos y tiempos alternativas de solución.
373
Al superar el tiempo de autonomía del UPS, se activará el procedimiento de bypass a la energía

brindada por la siguiente alternativa de solución, el grupo electrógeno.
Tabla 95: Matriz de Alternativa de Solución
375
376

De acuerdo a la ejecución de pruebas del objetivo específico v respecto a las métricas
establecidas, se cumple en el Área de Archivo de la Oficina de Sistemas con realizar el plan de
continuidad operativa final junto al nivel de inversión requerida del plan que será de acuerdo a
los costos y el tiempo de implementación de cada estrategia y alternativa de solución a corto,
mediano y largo plazo que la institución estatal deba elegir conforme a su necesidad. Este logro
es debido a que el personal contó con una adecuada técnica para poder desarrollar el plan de
continuidad operativa para el proceso del área de archivo de la oficina sistemas para una
institución estatal con base en la norma ISO/ IEC 27031/2011.
6.5.4 Fase de Evaluación de los resultados
En esta fase de evaluación cabe resaltar, en el presente proyecto, se enfoca mayormente en las
mediciones de tiempo, debido a que en el objetivo específicos V se establecieron tiempos
correctos que son tolerables por el área de área de archivo de la oficina de sistemas para
permanecer con los servicios críticos de TI. Así mismo como resultado se realizó un plan de
continuidad operativa de acuerdo sólo a los escenarios establecidos, este plan se puede aplicar
para para cualquier institución estatal o privada con el fin de mantener la continuidad en sus
operaciones y mitigar las posibles interrupciones que podrían ocurrir.
En el área de archivo de la oficina de sistemas, debe mejorar constantemente la aplicación

acerca de las acciones preventivas y correctivas para que sean correctas a los impactos
perjudiciales establecidos por el estudio de la institución del BIA y sus riesgos.
Acciones correctivas
El área de archivo de la oficina de sistemas debe considerar las acciones correctivas ante
algún incidente o falla en los servicios críticos de TI y los demás recursos del ATCN
378
(Adecuación de TIC para la Continuidad de Negocio). la documentación para las acciones

correctivas debe describir los siguientes criterios:
a. Identificación de las fallas e incidencias en los procesos del área de archivos y de

los servicios críticos de TI.
b. Identificación de las causas de las fallas e incidencias en los procesos del área de
archivos y de los servicios críticos de TI.
c. Analizar la necesidad de aceptar las prevenciones para garantizar que las no

conformidades no sean reiterativas.
d. Establecer e implementar las acciones correctivas necesarias para el plan de

e. Anotar todos los resultados válidos y no válidos de las acciones correctivas.
f. Repasar las acciones correctivas admitidas.
Acciones preventivas
El área de archivos de la oficina de sistemas debe reducir las posibles debilidades de los
elementos la ATCN (Adecuación de TIC para la Continuidad de Negocio) y determinar
actividades documentadas para lo siguiente:
a. Identificación de las posibles fallas e incidentes en los procesos del área de archivos
y de los servicios críticos de TI.
b. Identificación de las causas de las fallas e incidencias en los procesos del área de
archivos y de los servicios críticos de TI.
c. Establecer e implementar las acciones correctivas necesarias para el plan de

d. Anotar todos los resultados válidos y no válidos de las acciones correctivas

379
6 CONCLUSIONES Y RECOMENDACIONES:
6.1 Conclusiones:
A continuación, se muestran las conclusiones a las que se han llegado luego del trabajo
realizado.
Luego de realizar las pruebas y validaciones se obtiene que el Diseño de un Plan de continuidad
operativo para procesos del área de archivos se pudo establecer acciones y controles para su
recuperación ante la presencia de amenazas y vulnerabilidades a través de la estrategia y
alternativa de solución capaces de mitigar los escenarios de amenazas identificados en el
proyecto dentro de los tiempos establecidos.
1. Con la elaboración del análisis de Impacto al negocio (BIA), nos permitió identificar
los procesos que son críticos para los objetivos del negocio y los impactos que
acarrearía su interrupción parcial o definitiva. Por ejemplo, se identificó que el área de
archivo de la oficina de sistemas no cuenta con una matriz actualizada de los impactos
organizacionales y de los niveles de servicio. Por lo tanto, esto hace parte importante al
plan de continuidad operativa porque podemos contar con métodos cuantificables y no
cuantificables para el impacto económico y operacional de la institución Estatal,
además al contar con los tiempos de recuperación u su priorización con una serie de
componentes establecidos actualizados, se podrá restaurar procesos y los servicios de
TI del área de archivo de la Oficina de sistemas en tiempos tolerables según el impacto
de la magnitud de la eventualidad o desastres no previstos. En conclusión, podemos
decir que el BIA reduce significativamente el impacto disponiendo más recursos a los
procesos vitales para la continuidad operativo de la institución.
2. Con el desarrollo de un análisis de riesgos, se identificó que el área de archivo no cuenta

con una matriz actualizada de escenarios de amenazas, lo que causaría la no
identificación de riesgos que a futuro pueden ser fatales para el área de archivo de la
oficina de Sistemas. En conclusión, la mejora se sostiene debido a una gestión de riesgo
definida por los lineamientos de una metodología especializada. Con se esto se obtiene
que el rendimiento en la búsqueda de escenarios de amenazas.
380
3. Las estrategias de recuperación para tratar los escenarios de amenazas identificados,

han sido propuesta de mejora y divididas a niveles de costo y tiempo de implementación
que permita implicar cubrir toda el área de archivo de la oficina de sistemas de la
Institución Estatal. De tal manera que estas deben adoptar en la Institución Estatal para
poder lograr una restauración del sistema principal garantizando la solución de los
servicios de TI que soportan los procesos críticos que se hallen disponible para el uso
en el lugar alterno de operaciones luego de haber ocurrido una falla o incidente.
4. Se logró plantear la alternativa de solución teniendo un rol muy importante para la

continuidad operativa para mantener operativos los procesos y los servicios críticos de
TI después de una interrupción informático en el área de archivo de la Oficina de
Sistemas. Por lo tanto, de acorde a lo requerido de la institución Estatal. Generalmente
se incluye los siguientes enfoques para restaurar los procesos y servicios de TI
paralizados. Tales como, restauración de las operaciones de los procesos en una
ubicación alternativa y recuperación de operación de procesos utilizando equipos
alternativos.
5. Se demuestra que el diseño de un plan de continuidad operativa para el proceso del área
de archivo de la oficina sistemas, ha creado una mejora en la efectividad de sus
actividades de continuidad al negocio. Con estos procedimientos se irá mejorando cada
vez que se implementen las acciones de mejora definidas dentro del plan de mejora
continua.
6.2 Recomendaciones
Al Culminar el trabajo de tesis se han establecido las siguientes recomendaciones:
- Se recomienda el uso de la metodología propuesta, así como los procesos y

lineamientos de las diferentes fases de este plan de continuidad operativo con la
finalidad de garantizar la disponibilidad de los servicios para los procesos de la
institución.
- Se recomienda dar capacitaciones continuo tanto al personal de continuidad como

charlas de sensibilización a las personas involucradas dentro del proceso de continuidad
381
operativo para los procesos del área de archivo de la oficina de sistemas de la

institución.
- Se recomienda escoger de forma adecuada la infraestructura de hardware y de software

para soportar la continuidad operativa para los procesos del área de archivo. Como se
conoce no siempre el producto o servicio más costoso es el más adecuado a la necesidad
de la institución.
382
7 REFERENCIAS:
028-2015-PCM., R. M. (19 de diciembre de 2020). LEY Nª 29664 LINEAMIENTO PARA LA

GESTION DE LA CONTINUIDAD OPERATIVA DE LAS ENTIDADES PUBLICAS. 31
DE JULIO DEL 2021, de Untitled - Ministerio de Economía y Finanzas - MEF.
22301, I. (23 de Julio de 2017). Gestión de Continuidad de Negocio en la práctica .
Alexander., A. (3 de Junio de 2007). Business Continuity Plan (BCP) y la Gestión de los
Ensayos. 12 de setiembre del 2021, de Noticias de Seguridad Informática Sitio web.
coronavirus., I. 2. (s.f.).
Excelencia, B. d. (24 de Diciembre de 2020). Como Obtener Seguridad y Resiliencia para la
Continuidad de Negocio mediante la Norma ISO 22301.
Integración. (6 de noviembre de 2014). ISO 22301 con ISO 27001.
ISO, 22301. (s.f.). ISO 22301 CONTINUIDAD DEL NEGOCIO.
ISO, C. b. (2012). Obtenido de https://advisera.com/27001academy/es/que-es-iso-22301/.
ISO: 22301:2012. (2012). Negocio., Sistema de Gestión de la Continuidad de. Obtenido de
https://www.pmg-ssi.com/2015/10/iso-22301-2012-sistema-gestion-continuidad-
negocio/.
ISOTools., W. (2021). El plan de continuidad de negocio en las organizaciones II .
Leon, M. (04 de Diciembre de 2017). Sistema de gestión de continuidad de negocio para el
nuevo escenario de data center bajo la óptica de la ISO 22301 usando la metodología
PDCA.
Norma ISO 22301. (9 de Julio de 2020). Elementos claves de un plan de contingencia en épocas
de crisis.
Norma ISO 22317:2015. (2015). Una Guía Práctica en la Elaboracion del BIA – Business
Impact Analysis.
Normalización, D. d. (8 de Enero de 2020 ). Seguridad de la sociedad. Sistemas de gestión de
la continuidad de negocio. Directrices para el análisis de impacto en el negocio (BIA).
01 de agosto 2021, de INACAL Sit.
Nuevo Estándar Internacional en Continuidad del Negocio, I. 2. (2012).
pandemia, C. d. (5 de Mayo de 2020). Recuperado el 21 de setiembre de 2021
Security & Resilience BCMS, I. 2. (2019). Awareness Training.
383
ANEXOS:
Anexo 1: Pre-requisitos BIA

Código ANEXO
PRE-REQUISITOS BUSINESS IMPACT Versión Versión 1.0
ANALYSIS Elaborado por Estefhany
(Sección 4 – ISO/IEC 22317:2015) Mancha Espinoza
Rol Nombre Fecha
Elaborado por Analista de Infraestructura de Redes 28-07-2021
Revisado por Administrador de TI 28-07-2021
Aprobado por Gerente General 28-07-2021
Nombre del Proyecto: Diseño de un plan continuidad operativo para el proceso del área de
archivo de la oficina sistemas para una institución estatal con base en la
norma ISO/ IEC 22301/2019
4.2 Contexto y alcance del programa
4.2.1 Contexto del Programa
4.2.2 Alcance El alcance de este análisis de impacto al negocio es para los servicios de TI
del programa relacionados al proceso o procesos más críticos de la institución.
4.3 Roles del programa
4.3.2 Roles BIA
Patrocinador de Gerente General Gerencia

proyecto General
Área a la que pertenece
Comité Gerente General Gerencia

Directivo del General
Proyecto
Líder BIA Administrador de TI Gerencia
de TI
Project Manager Analista de Infraestructura y Gerencia
Redes de TI
Propietarios de procesos Gerente de Operaciones, Alta
Gerente de Logística, Dirección
384
Gerente Financiero y Gerente

de
Gestión Humana.
Responsables de Analista de Infraestructura y Gerencia
actividad Redes de TI
Anexo 2: Plantilla de cuestionario para el análisis de impacto al negocio (BIA)
Cuestionario del Análisis de Impacto al Negocio (BIA) para el Área de Archivo de la

Oficina de Sistemas de la sede principal de la Institución Estatal
1. General
Nombre de la sede
oficina registral
Dirección
Responsables
2. Responsables de la Función y Proceso
Unidad Orgánica
(UO) o Área
encargada:
Nombre del
encargado del
proceso:
Cargo:
Sede:
Dirección
Nombre del Proceso
Descripción:
¿Crítico para la Justifique porqué es
continuidad operativa crítico para la
del negocio? S/N Institución Estatal
3. Impacto Económico
¿Cuál sería la magnitud de las pérdidas económicas si el proceso llegara a ser interrumpido por
algún evento?
Colocar con un aspa “X” el nivel de severidad mediante el periodo
Tipo de Impacto Perdidas Económicas
Nivel Cantidad de Perdidas Económicas Marca con una X
Menor <50.000.00 S/.
Medio >50.000.00 S/. y <1,000.000.00 S/.
Mayor > 1,000.000.00 S/.
4. Impacto Operacional
¿Cuál sería el nivel del impacto operacional si el proceso llegara a ser interrumpido por algún
evento?
Colocar con un aspa “X” el nivel de severidad mediante el periodo
Tipo de Impacto Servicio al Cliente (Cliente externo)
Tiempo de Niveles
interrupción
385
12 horas Mayor Medio Bajo

Tipo de Impacto Personal Interno (Cliente interno)
Tipo de Impacto Imagen de la Institución Estatal
5. Niveles de servicio (MTPD, RTO, RPO, WRT)
¿Cuál sería tiempo límite para recuperar las operaciones?
Indicar con un aspa “X” el nivel de categoría.
Nivel de servicio Periodo Máximo Tolerable de Interrupción (MTPD)
Tiempo Niveles
0 a 24 horas Mayor Medio Bajo
3 a 5 días Mayor Medio Bajo
¿Cuál sería la categoría de tiempo de paralización aceptable del sistema?
Nivel de servicio Recuperación de Tiempo Objetivo (RTO)
Tiempo Niveles
¿Cuál sería la categoría de tiempo de pérdidas de información mínima aceptable?
Nivel de servicio Punto de Recuperación Objetivo (RPO)
Tiempo Niveles
¿Cuál sería la categoría de tiempo para la restauración del sistema?
Nivel de servicio Recuperación de Tiempo de Trabajo (WRT)
Tiempo Niveles
386
Observaciones:
6. Recursos
Recursos mínimos para que pueda operar el proceso de la entidad en caso suceda algún evento.
Colaboradores
Computadoras de
escritorio.
Teléfonos celulares
Software
Terceros o
proveedores
Sitio alternativos
Trabajos Manuales
Describir si habría algún método de respaldo o alterno para poder llevar a cabo este proceso y
que cantidad de tiempo sería capaz de operar.
Firma del Cuestionario
Nombres y Apellidos:
DNI Nº:
387
Anexo 3: Cuestionarios realizados de los procesos críticos en el área de archivo de la oficina

de sistemas
388
389
390
391
392
393
394
395
396
Anexo 4: Informe de Análisis de Riesgo
INFORME DE ANALISIS DE RIESGOS DE LOS PROCESOS CODIGO:

Y SERVICIOS CRITICOS DE LA OFICINA DE SISTEMAS EVA - 02
Lugar: Institución Estatal Unidad o Área
Elaborado por Estefhany Mancha 18/07/2021 Tecnologías de la
Espinoza
Información
Revisado por Administrador de 18/07/2021 Tecnologías de la
TI la Oficina de
Información
Sistemas
Aprobado por Alta Dirección 18/07/2021 Tecnologías de la
Información
Objetivo El objetivo del Análisis de Riesgo es poder conocer los factores
de riesgo que pueden impactar a la institución para mitigarlos de
forma oportuna.
Alcance Se tendrá una lista de riesgos clasificados por su nivel de
criticidad permitiendo una mejor gestión sobre los más
prioritarios.
Responsable Administrador de soporte de la Oficina de Sistemas
1.- IDENTIFICACION DE AMENAZAS
Se determinan las amenazas que podrían afectar a los procesos y servicios críticos de la oficina
de sistemas. Se listaron todas las amenazas de la oficina de sistemas y se seleccionaron las que
serán aplicables al alcance del proyecto.
2.- AMENAZAS Y CONTROLES EXISTENTES

El siguiente grafico muestra en qué porcentaje las amenazas cuentan con controles
establecidos. La primera conclusión de este análisis es el porcentaje de amenazas sin controles
existentes están en el 38%. De estos el 14% representan a amenazas con riesgos alto y el 30%
a riesgos medios. Sin embargo, para el caso de las amenazas con controles existentes se debe
revisar los controles y las estrategias de recuperación deberán enfocarse en mitigar este riesgo
al mínimo considerable por la Institución Estatal.
397

3.-MATRIZ DE RIESGOS
El análisis y evaluación de riesgos muestra la concentración de amenazas. Del análisis del
grafico se puede concluir que el 19% y 31% de amenazas tiene una ponderación alta y media
según corresponda. Este será el foco de trabajo para poder proponer estrategias de
recuperación para la continuidad de los procesos y servicios críticos para la oficina de
Sistemas.
4.- LISTA DE ESCENARIOS DE AMENAZAS IDENTIFICADOS: DECLARACION

DE RIESGO
El listado de escenarios de amenazas es el resultado de este análisis de riesgos. Con este listado
se deberán contemplar diversas estrategias de recuperación en caso estos riesgos se activen.
Nº DECLARACIÓN DE SERVICIO Nª DECLARACIÓN SERVICIO
RIESGO: INVOLUCRADO DE RIESGO: INVOLUCRADO
ESCENARIO DE ESCENARIO
AMENAZA DE AMENAZA
IDENTIFICADO IDENTIFICADO
1 Paralización de los Sistema de control 7 Acceso no Servicio de

servicios en los procesos de procesos disponible al conexión remota
de registros , Sistema de VPN
identificación y procesos en el área
evaluación profesional de archivo de
398

del personal de la forma remota en
institución de debido a caso de una
la alta probabilidad pandemia u otro
debido a la perdida de evento que impida
acceso a sistema de del que el personal
área de archivo por falla acuda de forma
en disco duro virtual. presencial
2 Paralización de los Servicio de 8 Suspensión del Modulo

servicios VPN (red conexión remota sistema ERP SAP Planificación para
privada virtual) en los VPN por problemas de los procesos
procesos de registros , suministro
identificación y eléctrico debido a
evaluación profesional que no se cuenta
del personal de la con manteni
institución de debido a miento de UPS.
la alta probabilidad de Por lo tanto, esto
las fallas de hardware en causaría
el servidor paralización de los
servicios del
proceso de
identificación del
Personal de la
Institución Estatal
por el nivel de
Riesgo MEDIO
3 Paralización de los Servicio de 9 El sistema ERP Modulo

servicios VPN (red conexión remota SAP Proceso no se Planificación para
privada virtual) en los VPN encuentra los procesos
procesos de registros , operativo por un
identificación y error en la
evaluación profesional programación en
del personal de la el sistema
institución de debido a
la alta probabilidad
debido a que no son
compatible por ser un
software obsoleto
4 El sistema ERP SAP Modulo 10 Paralización de Modulo

Procesos no se Planificación para sistema ERP SAP Planificación para
encuentra disponible los procesos por falla en los procesos
por motivo de la perdida servidor debido a
de información la falta de
necesaria para la mantenimiento
recuperación del sistema Preventivo.
en caso se genere un
daño parcial o total del
servidor
5 Paralización de los Modulo 11 Baja probabilidad Sistema de Control

servicios de procesos en Planificación para de Paralización de de Procesos
el sistemas de registros, los procesos Sistema de Control
identificación y de Proceso por
evaluación profesional falla de hardware
anual del personal de la en servidor
399

institución por la alta principal debido a
probabilidad de daños la indisponibilidad
en el área de archivos equipos de
debido a un desastres contingencia
natural
6 Paralización total del Sistema de Control
Sistema de Control de de Procesos
Proceso por problemas
de suministro eléctrico
debido a problemas
generados por falta de
mantenimiento de UPS.
fuente 104: Elaboración Propia

400
Anexo 5: Evaluación de Niveles de Impacto BIA

401
Anexo 6: Encuesta de prueba de análisis BIA en la institución estatal
ENCUESTA DE PRUEBA DE ANALISIS BIA EN LA INSTITUCION ESTATAL
*Obligatorio
1. ¿Conoce usted los procesos que rigen las operaciones realizadas en el área de archivos de la
oficina de sistemas para la institución Estatal?
Si
No
2. Dentro de su experiencia ¿Cuáles de estos procesos usted consideraría críticos para la operación
en el área de archivos de la oficina de sistemas para la institución Estatal? (Elija 3 opciones)
Desarrollo la estrategia de negocio

Realizar la gestión de ingresos
Abastecer Materia Prima para los procesos en el área de Archivos
Manejar operaciones de Tesorería
Gestionar relaciones con los empleados
Desarrollar estrategia de producción de los procesos en el área de archivo
Definir el concepto de negocio y la visión a largo plazo
Procesar pagos y adelantos y reembolsar gastos
Gestionar y mantener los activos productivos
Ejecutar y medir las iniciativas estratégicas
Gestionar las proyecciones de la información financiera
Gestionar el negocio de la tecnología de información
Planificar y alinear el abastecimiento, la producción y los despachos
Disponer de los activos productivos y no productivos de la institución
Gestionar las compensaciones y beneficios
Diseñar e instalar activos productivos
Seleccionar y administrar la información del Personal de la Institución
Comunicar internamente al personal de la institución
Generar y definir nuevos productos y mejoras
Planear y adquirir activos no productivos en el área de archivos
402
Aprovisionar suministros, repuestos, equipos y servicios

Planificar estratégicamente el diseño institucional
Administrar actividades de los procesos y almacenamiento
3. ¿Sabe usted que áreas deben establecer procesos de apoyo a su gestión?

Gerencia General
Comercial
Logística
Operaciones
Finanzas
Tecnologías de la Información
4. ¿Conoce usted cuales son los servicios de TI con los que cuenta el área de archivo de la Oficina
de Sistemas?
Si
No
5. ¿Conoce usted los servicios de TI en el área de archivo que apoyan directamente a su área de
gestión?
Si
No
6. ¿Cuáles de estos servicios de TI aplican a su área de gestión?

Servicios básicos de Red
Sistema de control de proceso
Servicio de conexión remota VPN
Modulo Planificación para los procesos
Servicio de comunicación de datos RPV
Software Ofimática: MS Excel
Sistema de asistencia y planillas
Servicio de comunicaciones red en el área de archivo
Software Ofimática: Ms Excel
Plataforma Ofimática
403
7. ¿Cuáles de estos servicios de TI aplican a los procesos críticos?

Servicios básicos de Red
Sistema de control de proceso
Servicio de conexión remota VPN
Modulo Planificación para los procesos
Software Ofimática: MS Excel
Servicio de comunicaciones red en el área de archivo
Software Ofimática: Ms Excel
Plataforma Ofimática
8. ¿Conoce usted las áreas que deben brindar estos servicios de TI?
Si
No
9. ¿Conoce usted que recursos aplican a los servicios de TI?

Si
No
10. ¿Conoce usted como se protegen estos recursos ante algún escenario de desastre?
Si
No
11. ¿Sabe usted como continuar su trabajo si no cuenta con el servicio de TI para su proceso?
Si
No
12. ¿Sabe usted cuanto es el tiempo máximo que puede detenerse su proceso en caso exista algún
escenario de desastre?
Si
No
404
13.Ingrese el tiempo que usted crea conveniente según su experiencia para retomar actividades
luego de la ocurrencia de una emergencia
DEBE SER UN NUMERO

Mancha EE

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Mancha EE

Cargado por

Copyright:

Formatos disponibles

Diseño de un Plan de Continuidad Operativa para el proceso

del Área de archivo de la oficina de Sistemas para una

Item Type info:eu-repo/semantics/bachelorThesis

Authors Mancha Espinoza, Estefhany

Publisher Universidad Peruana de Ciencias Aplicadas (UPC)

Rights info:eu-repo/semantics/openAccess; Attribution-

Download date 31/07/2023 16:00:39

Item License http://creativecommons.org/licenses/by-nc-sa/4.0/

Link to Item http://hdl.handle.net/10757/659955

PROGRAMA ACADÉMICO DE INGENIERÍA DE REDES Y

Diseño de un Plan de Continuidad Operativa para el proceso del Área de archivo

de la oficina de Sistemas para una institución estatal, con base a la norma

Para optar el título profesional de Ingeniero de Redes y Comunicaciones

Mancha Espinoza, Estefhany (código 0000-0001-7563-4372)

Seminario García, Hernán (código 0000-0001-6971-355x)

Lima, 26 de febrero del 2022

A mi compañero de vida por estar siempre presente y brindarme su apoyo moral.

A Dios que guía mi camino, para el todo mi esfuerzo y dedicación.

A la Universidad Peruana de Ciencias Aplicadas, especialmente a la facultad de Ingeniería de

Finalmente, agradecer al Ingeniero Hernán Seminario, por su apoyo durante el desarrollo de la

El presente proyecto de tesis está relacionado al diseño de un plan de continuidad operativa

Palabras claves: Plan de continuidad Operativa, Análisis de Impacto al Negocio, Análisis de

1 CAPITULO 1: ASPECTOS INTRODUCTORIOS ........................................................... 1

1.1- INTRODUCCIÓN ....................................................................................................................................... 1

2 CAPITULO 2: MARCO TEORICO ................................................................................. 39

2.2.- ISO 27031: GESTIÓN DE CONTINUIDAD DE NEGOCIO............................................................... 40

3 CAPITULO 3: ANALISIS DEL PROBLEMA ............................................................... 55

3.1.- ALCANCE .............................................................................................................................................. 55

3.5.- CONSECUENCIA DEL PROBLEMA ..................................................................................................... 63

CAPITULO 4: ...................................................................................................................... 230

4.-DISEÑO DE LA SOLUCIÓN ......................................................................................... 230

4.1 INTRODUCCIÓN..................................................................................................................................... 230

4.3.2 Actividades del Equipo de TI (Antes, Durante y Después) ................................... 234

CAPITULO 5: ...................................................................................................................... 287

5.1.- FLUJO DE TRABAJO PARA LA EVALUACIÓN Y VALIDACIÓN .................................................. 288

5.3.4 Fase de Evaluación ................................................................................................. 317

6 CONCLUSIONES Y RECOMENDACIONES .............................................................. 379

6.1 CONCLUSIONES: ................................................................................................................................... 379

7 REFERENCIAS ................................................................................................................ 382

ANEXOS: .............................................................................................................................. 383

Tabla 1: Indicadores o mecanismo del logro de los Objetivos ................................................ 10

Tabla 27: Procesos Críticos .................................................................................................... 106

Tabla 58: Nivel de inversión requerido .................................................................................. 261

Tabla 90: Procesos críticos y niveles de impacto: .................................................................. 359

Figura 1: Organigrama de la Oficina de Sistemas de la Institución Estatal .............................. 5

Figura 31: Metodología del IBA .......................................................................................... 357

1 CAPITULO 1: ASPECTOS INTRODUCTORIOS

La continuidad de negocio es un elemento fundamental en las organizaciones. En la actualidad

El problema principal radica con la pérdida de documentación, deterioro de documentos de los

Riesgos a analizar en el área de archivo:

- Normas legales (orden interna)

- Cumplimiento normativo gubernamental

1.2 Organización Objetivo

El presente proyecto se diseñará un Plan de continuidad Operativa para el proceso en el área de

1.2.1- Campo de acción

Las funciones del área de archivos en la oficina de sistemas son:

- Controlar, archivar y custodiar las documentaciones de los datos personales y

- Apertura de los documentos personales con su respectivo libro de legajo y especialidades

Los procesos que se realizan en el área de archivo de la Oficina de Sistemas son:

- Proceso de registros e identificación del personal de la institución

- Proceso de Evaluación Profesional de ascenso del personal de la Institución

Figura 1: Organigrama de la Oficina de Sistemas de la Institución Estatal

Figura 2: Organigrama Especifico del Área de Sistemas de la Institución Estatal