Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mancha EE
Mancha EE
FACULTAD DE INGENIERIA
COMUNICACIONES
ISO/IEC 27031/2011.
TESIS
AUTOR(ES)
ASESOR
DEDICATORIA
La presente tesis se lo dedico a mi familia con mucho cariño y amor, en especial a mi querida
madre por su perseverancia, por ser un gran ejemplo en mi vida a mejorar cada día para
conseguir cada uno de los objetivos y metas trazadas.
AGRADECIMIENTOS
A mis padres, familiares y compañero de vida que me ofrecieron su apoyo moralmente, para
seguir estudiando y lograr los objetivos trazados. Los esfuerzos mayores son las actitudes de
una persona que emplea un gran compromiso y determinación obtener algo. Asimismo, siempre
están acompañados de apoyos irreemplazables para lograr concretarlos.
RESUMEN
En primer lugar, se tuvo que realizar un análisis de nuestra problemática de los procesos que se
realizan en el área de archivo, para luego evaluar los servidores y servicios de TI. En segundo
lugar, se brindará de información acerca de conceptos sobre temas relacionados a la continuidad
de procesos en el área de archivo. En tercer lugar, se explicará la definición del problema de
los procesos críticos a través de la elaboración del análisis de impacto al negocio y su posterior
análisis de riesgos. En cuarto lugar, se desarrollará el diseño de la solución y se elaborará la
política de continuidad basados en estrategias de recuperación y alternativas de solución.
Finalmente, se efectuará un plan de pruebas, resultados y validaciones de pruebas para evitar
pérdidas con la información y que puedan afectar al área de archivo de la oficina de sistemas.
Design of an operational continuity plan for the file area process of the systems office for a
state institution based on the ISO / IEC 27031/2011 standard.
ABSTRACT
This thesis project is related to the design of an operational continuity plan for the process of
the file area of the systems office for a State Institution; Likewise, this plan will be designed
based on the standards, recommendations of good practices that allow proposing activities that
approve its recovery in the face of possible threats or disasters.
In the first place, an analysis of our problems of the processes that are carried out in the file
area had to be carried out, in order to later evaluate the servers and IT services. Second,
information will be provided about concepts on issues related to the continuity of processes in
the file area. Thirdly, the definition of the problem of the critical processes will be explained
through the elaboration of the business impact analysis and its subsequent risk analysis. Fourth,
the design of the solution will be developed and the continuity policy based on recovery
strategies and solution alternatives will be elaborated. Finally, a plan of tests, results and test
validations will be carried out to avoid losses with the information and that may affect the file
area of the systems office.
Keywords: Operational Continuity Plan, Business Impact Analysis, Risk Analysis, Recovery
Strategy and Solution Alternatives.
VI
TABLA DE CONTENIDOS
ÍNDICE DE TABLAS
ÍNDICE DE FIGURAS
1.1- Introducción
Para diseñar un plan de continuidad operativa para el área de archivo de la oficina de sistemas
se debe tener en cuenta el proceso continuo que cuente la institución, cabe mencionar que
existen muchas empresas públicas y privadas donde las tecnologías adquiridas suelen ser
obsoletas, el cual no se realizan un aprovechamiento de la tecnología. Por otro lado, el área de
archivo es el lugar donde se almacenan y se tiene mantienen en custodia información
clasificadas de todo su personal; tomando la realidad de caso la Institución Estatal se propone
poner en práctica procedimientos de los procesos para la continuidad operativa que resguarden
el cuidado de los datos personales, las actividades de los procesos, contra eventos de desastres
y de las posibles consecuencias que de ellos deriven, producto de la no disponibilidad de los
recursos de la organización para la prestación de sus servicios en los procesos. Este presente
proyecto, se dirige en resguardar la información de los procesos principales de esta institución
siguiendo la norma ISO/ IEC 27031/2011.
La institución Estatal presenta deficiencias en las áreas de archivos; cuenta con diversas áreas
de archivos, así como libros de legajos.
realiza este proyecto con la finalidad permitir a la Institución Estatal de seguir desempeñando
sus actividades críticas a un nivel aceptable predefinido como analizar los riesgos durante los
proceso de selección del personal, y brindar una solución de mejora de llevar a cabo los
diferentes procesos (ascensos del personal profesional y/o CAS, renovaciones de contratos,
cursos, calificaciones, estudios de capacitación a nivel institucional y/o extra institucional ),
conservación de las documentaciones y la confidencialidad de la información. En efecto, la
posibilidad de realizar la implementación y la certificación de un Plan de Continuidad
Operativa, la institución obtendrá una ventaja respecto a otras entidades, ya que, al asegurar la
continuidad operativa de sus procesos y actividades, incrementa su reputación, prestigio e
imagen frente a los ciudadanos.
COSTO:
- Reducción de costos
- Crecimiento institucional
NORMATIVA:
La oficina de sistemas de la Institución Estatal, cual tiene como objetivo principal de resguardar
el área de archivo donde se encuentra todas las informaciones de forma física del personal y de
velar por la continuidad de negocio de la institución. Además, tiene como objetivo controlar,
verificar y emitir los diferentes certificados y reportes del personal de esta institución.
El área de archivos se encuentra ubicado dentro de la oficina de sistemas, tiene como objetivo
de controlar, verificar y archivar la documentación oficial en cada uno del personal de la
Institución Estatal. Asimismo, el orden cronológico debidamente foliado, firmado, velar por la
seguridad y custodia de dicha información, llevando un control del traslado de los documentos
3
para los diferentes procesos que se realizan anualmente. Los amenazas y vulnerabilidades que
se encuentra en el área de archivo son los siguientes: historial de datos personales y familiares,
tales como: actas de nacimientos, lugar de domicilio, antecedentes policiales, antecedentes
penales, registro de familiares, lugar de origen, sanciones, notas semestrales, felicitaciones,
cursos, calificaciones, informaciones médicas, capacitaciones, traslados, resoluciones, juntas
administra, reconocimiento de goces y derechos, ascensos, condecoraciones. De la misma
forma, el área de archivo se encarga de emitir los certificados de tiempo de servicio del personal
del estado en actividad y personal en retiro. Los certificados que se realizan para el personal
que se encuentra en laborando y a los que se encuentra en la situación de retiro son: constancia
de trabajo, servicios prestados al estado, cese de Funciones, antecedentes laborales.
La Institución Estatal cuenta con una sede operativa que se encuentra localizado en la Lima. La
sede principal ubicada en lima, donde se encuentra los colaboradores con el personal
administrativo y operadores de la tecnología de la información; las cuales hacen participe para
que se lleve a cabo la continuidad operativa de los procesos. Los documentos en el área de
archivo de la oficina Sistemas de la Institución Estatal se encuentra basado con la norma ISO/
IEC 27031/2011. Así mismo se dispone de espacio de uso compartido y exclusivo donde se
lleva el control y administración de los documentos de los datos personales del personal de la
institución. Es en este espacio donde la institución se encarga de recaudar y almacenar las
informaciones de forma física de cada personal de la institución.
4
El área de archivos cuenta con cuatro compartimentos basados a sus respectivos grados del
personal del estado como grado profesional, grado técnico profesional, personal CAS, grado
profesional practicantes.
- Atender los requerimientos de préstamos de los documentos con sus respectivos archivos
personales, debiendo inventariar cada documentación que contenga dicho legajo.
- Llevar el control del envío de la documentación en sus respectivos legajos del personal de
la institución, para su custodia correspondiente.
La Institución Estatal actualmente cuenta con el área de archivo de oficina de Sistemas la cual
tiene como función organizar, distribuir, supervisar, y dirigir las actividades de información
recepcionada; verificar la información de la base de datos del sistema de personal, así como,
mantener y conservar el control físico de los documentos y tarjetas personales, notas
semestrales y conceptos, direcciones domiciliarias y declaraciones juradas de bienes de renta,
7
llevar a cabo el control y de ejecutar las acciones administrativas referentes a las plantas
orgánicas de las unidades.
El área de archivo de la oficina de sistema de la institución Estatal, con el transcurso de los años
ha incrementado considerablemente. Por lo tanto, este incremento ha traído consigo que la
Institución estatal y sus sistemas de Tecnología de información estén expuesto a la
identificación de impacto ante posibles amenazas o desastres. Por consiguiente, en los últimos
diez años el área de archivo de la oficina de sistemas en una Institución Estatal, basado en la
norma ISO/ IEC 22301/2019 ha tenido que enfrontar los siguientes problemas:
- No cuenta con un Plan de Continuidad Operativa que gestione riesgos y eventos que
se incurren continuamente en los procesos sin cumplir los niveles.
- Falta de control y supervisión de los traslados solicitados por el personal y/o su retorno
al área de archivo, durante el proceso de solicitud de información de un personal, esta
solicitud es recepcionada y derivado al personal encargado de archivo para su
ubicación. Esto puede demorar días, semanas, meses e incluso años. Una vez ubicado
el documento del personal esto se deriva a la oficina de atención al usuario en la cual
no es supervisada, controlada su retornó al área de archivo.
- Alta rotación del personal de la institución Estatal a cargo del área de archivo, esto
suele reflejarse por la falta de experiencia y capacitación técnica en el tratado de la
información para el área.
No cuenta con un plan de continuidad operativa para los procesos, como lineamientos basados
a metodologías obsoletas, y/o desactualizada a la necesidad del mismo, para responder
oportunamente ante incidentes que afecten sus procesos y sus recursos.
Diseñar un Plan de Continuidad Operativa para el proceso del área de archivo de la oficina
sistemas para una institución estatal con base en la norma ISO/ IEC 27031/2011, para proponer
actividades que permitan su recuperación ante posibles desastres naturales como la pandemia
actual sobre el coronavirus.
a) Desarrollar un Análisis de Impacto al Negocio (BIA) que permita determinar los procesos y
servicios más relevantes para la organización en base a la norma ISO/ IEC 22317/2015.
b) Elaborar un Análisis de Riesgos que permita determinar los posibles escenarios de amenazas o
desastres que podrían afectar la continuidad operativa de las actividades que realiza el área de
archivos de la oficina de sistemas para una Institución Estatal en base la norma ISO/ IEC
27005/2018.
c) Definir las estrategias de recuperación de desastres que permitirán cumplir con los objetivos de
recuperación establecidos por el área de archivos de la oficina de sistemas para una Institución
Estatal.
d) Determinar las alternativas de solución de recuperación más adecuadas para cada estrategia
establecida para el área de archivo de la oficina de Sistemas de una institución estatal.
e) Propuesta de diseño del plan de continuidad operativa que permita consolidar los procesos,
recursos, tecnología y formación del personal requerido para iniciar el desarrollo e
implementación del plan de continuidad operativa.
1.4.3- Indicadores de Logro de los Objetivos
- Al contar con un análisis de impacto para el negocio permitirá conocer los riesgos de
las instalaciones desde un punto de vista de continuidad operativa (posterior al
incidente).
El análisis del estado de arte que he realizado es sobre un Diseño de un plan de Continuidad
Operativo. Dentro del área de archivo, he revisado diferentes tecnologías empresariales.
del área de sistemas de la Institución Estatal basándose en una guía de metodología para la
gestión de riesgos en los procesos con la continuidad operativa, con la posibilidad de mejorar
la imagen corporativa de la institución tanto interna como externa. Asimismo, ayudara a
maximizar la resiliencia de los servicios de las TIC`s de tal forma que puedan recuperarse a
niveles predeterminados en los plazos requeridos y acordados por la institución. En efecto, el
área de archivo está conformada con un área de registros que facilita la labor de determinar
el impacto de los riesgos de términos económicos, necesitando considerase en la mayoría de
los casos una serie de matrices de los riesgos en términos cualitativos. Es imprescindible que
la Institución Estatal en el área de Archivo de la Oficina de Sistemas registren los incidentes
de impactos de amenazas y vulnerabilidades con el fin de dar mayor confidencialidad y
mejorar los resultados en el ciclo de vida del análisis de riesgos.
1.6.2.1 Historia
La norma ISO 22301 surge como resultado de una evolución de lineamientos, buenas prácticas
y estándares de continuidad de negocio. Continuación en la siguiente tabla se detalla dicha
evolución.
14
Gestión de continuidad del negocio (GCN): Proceso de gestión holístico que identifica las
amenazas potenciales para la organización, así como el impacto en las operaciones del negocio
que dichas amenazas, en caso de materializarse, pueda causar, y que proporcione un marco
para aumentar la capacidad de resistencia o resiliencia de la organización para dar una respuesta
eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la
marca y las actividades de creación de valor (Germain & Lachapelle, 2012).
16
Sistema de Gestión de la Continuidad del Negocio (SGCN): Parte del sistema de gestión global
que establece, implementa, opera, supervisa, revisa, mantiene y mejora la continuidad del
negocio. Plan de Continuidad del Negocio (PCN): Procedimientos documentados que orientan
a las organizaciones a responder, recuperar, reanudar, y restaurar a un nivel predefinido de
funcionamiento tras una interrupción.
La ISO 27031 también se basa en las conclusiones del Análisis de Impacto Empresarial (BIA)
desarrolladas y aprobadas como parte de un plan de continuidad más amplio para una
organización.
1.6.2.8.- ISO/IEC 27001 / 27002 - Relación entre la ISO 27001 y la ISO 22301
Fue un antes y después respecto a la teoría que estableció en Nassim Nicholas taleb si vemos
lo que dice “Un cisne negro es un evento altamente improbable con tres características
principales: es impredecible; es masivo; y, después de que sucedió, es nuestro deseo hacer que
parezca menos aleatorio y más predecible de lo que era. El asombroso éxito de google fue un
cisne negro; el 11 de setiembre también lo fue”
En el 2014 “Barack Obama, presidente de estados Unidos entre 2009 y 2017. Dijo “Puede
ocurrir y probablemente puede que llegue un momento en el que nos tengamos que enfrentar a
una enfermedad mortal dentro de cisco o 10 años.
En el 2015, Bill Gates, cofundador de Microsoft “Si algo va a matar a más de diez millones de
personas en las próximas décadas será un virus muy infeccioso, mucho más que una guerra.
No habrá misiles sino microbios y no estamos preparados. “la gran conclusión para el mundo
es que simplemente no está listo”, Amigos esta es una epidemia en rápido aumento en
diferentes lugares que tenemos que enfrentar súper rápido para prevenir una pandemia”, dijo
el Dr. Bruce Aylward, médico y experto en salud pública de la organización Mundial dela
salud, pocas horas después de desembarcar en Ginebra de su viaje a china el 25 de febrero de
2020.
- Solo el 18% de las empresas desarrollaron un Plan de Continuidad del Negocio para los
10 principales riesgos.
- El 56% de las empresas que tenía un SGCN no había sido diligente con los ejercicios y
pruebas de sus planes en los últimos 12 meses.
26
- El 60% de las empresas que desarrollaron un Plan de Continuidad del Negocio el mismo
es sostenible solo para el corto plazo.
La ISO 22301 es una normativa internacional para Sistemas de Gestión de la Continuidad del
Negocio (SGCN). Fue establecida después de la gran demanda internacional que obtuvo el
estándar británico BS 25999-2 del año 2007. (Germain & Lachapelle, 2012)
La principal función es proporcionar un marco de actuación para que las empresas puedan
mitigar el daño que una situación de emergencia puede llegar a causar. Las organizaciones que
ya tenían establecida una política de continuidad, han podido prevenir, responder y operar de
nuevo más rápidamente. Un ejemplo muy reciente es la interrupción de la actividad económica
en muchos sectores por culpa del Covid-19.
El negocio de una empresa necesitara de la información y los sistemas que la soportan. Por
ello, hay que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra
información.
Cuando una organización implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es
reducir sus riesgos y evitar posibles incidentes de seguridad.
Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en
materia de seguridad de la información.
- Las fallas eléctricas causan el 90% de los incendios. Los problemas más comunes por
los que se produce este tipo de siniestros son: la utilización de materiales no adecuados,
un cálculo erróneo del sistema o contratar electricistas sin información técnica.
- El 43% de las empresas estadounidense que sufren un desastre, sin contar con un Plan
de Continuidad del Negocio, no se recuperan.
27
La Norma ISO 22301 Continuidad del Negocio, presenta los pasos y pautas a seguir para
determinar el mejor plan de contingencia dentro de cualquier empresa y así, poner en marcha
toda su actividad productiva luego de superar cualquier incidente como lo es el COVID-19 en
la actualidad.
Con independencia del sector económico donde se desarrolle su actividad, lo cierto es que cada
vez son más los agentes externos que pueden llegar a condicionar el correcto funcionamiento
de la operación normal de la compañía y es precisamente ese plan de continuidad del negocio
lo que pretende certificar la normativa ISO 22301.
La gestión de continuidad del negocio a través de una certificación concreta, si bien es muy
importante para cualquier empresa, es una cuestión de carácter imperativo en el caso de
empresas que venden sus servicios o productos a otras corporaciones, siendo la misma un claro
elemento distintivo frente a otros núcleos empresariales de la competencia que operan en el
mismo sector económico que vuestra compañía.
Se recomienda que las empresas definan medidas preventivas frente al coronavirus que
aseguren la seguridad y salud de sus trabajadores, un plan de actuación en caso de que
se materializarse el riesgo por un posible contagio o una situación de alerta pública
28
decretada por las autoridades gubernamentales, así como medidas para restaurar la
situación ha estado anterior de haberse producido la contingencia.
1
https://normaiso27001.es/iso-22301/ ISO 22301 CONTINUIDAD DEL NEGOCIO
29
pág. ; 2017)
- BSG Institute
- BSI
- OFICINAS Y LABS DE SGS PERU: SECTOR PUBLICO
- AENOR en Perú
Con los diversos eventos catastróficos están afectando a nivel mundial. Es por ello para
contribuir con las empresas a determinar los diferentes niveles de impactos, se comenzó a
realizar distintas planeaciones estratégicas e investigar sobre nuevas tendencias tecnológicas
30
que podrían emplearse para realizar planes de contingencia u operacionales con el fin de
minimizar las interrupciones a un nivel tolerable ante eventos o crisis no previstas.
1.6.3.6 Noticias:
Este movimiento, que en una época ‘normal’ podría ser fruto de una estudiada
planificación, debe ser ágil, para poder combatir con la incertidumbre y los cambios
constantes. Por tal motivo, la consultora McKinsey testifica que una de las conclusiones
que se puede sacar del contexto actual es que, si en la vida pre pandemia las
metodologías ágiles eran importantes, ahora se han vuelto imprescindibles.
La gestión de una crisis es parte del ciclo de vida de una empresa, y poder superar con
éxito una emergencia como la que actualmente afecta a organizaciones de todo el
mundo, es lo que va a distinguir a las organizaciones que la puedan superar, de las que
por desgracia no sean capaces de hacerlo.
Las pandemias, el cambio climático, las crisis económicas y las tendencias de consumo
son sólo algunas de las amenazas que actualmente pueden afectar dramáticamente a la
manera en que una organización hace negocios y sobrevive.
- Conclusiones
Un caso de éxito sobre la continuidad del negocio en el argumento de Vodafone hace mención
que la compañía multinacional de telecomunicaciones con sede en Reino Unido, fue la primera
empresa del mundo en lograr la certificación ISO 22301. Roger McLoughlin, Gestor de
Continuidad del Negocio de Vodafone, comentó que el proyecto tuvo una duración de nueve
meses, desde la primera revisión del FDIS (Final Draft International Standard) hasta la
realización de la auditoria formal, y dos meses más para que recibiera la confirmación de
certificación.
Esta certificación hizo proporcionar a los clientes el servicio más uniformemente confiable, sin
importar las circunstancias. También les ofrece una diferenciación del servicio y una ventaja
competitiva, así como también la capacidad de satisfacer los requisitos de contingencias legales
y civiles.
Es muy importante contar con plataformas o software que ayuden a evidenciar las capacidades
de seguir operando con normalidad en caso de alguna ocurrencia.
33
34
35
Las metodologías ágiles permiten adaptar la forma de trabajo a las condiciones de un proyecto
y amoldar este mismo a las circunstancias del entorno. Aprende más en el Programa de Alta.
Característica
Ventajas
- Es fácil de aprender.
- Permite que abarcar proyectos donde los requisitos de negocio están incompletos
Desventajas
Roles:
- ScrumMaster
- ProductOwner
- Teamque
La metodología utilizada en el siguiente proyecto se basa en los procesos del marco Scrum, los
cuales consisten tanto en actividades concretas como en el flujo de un proyecto Scrum. Estos
procesos se agrupan en cinco fases y 19 procesos según lo muestra la Figura 2. Estas fases son:
38
Han pasado 18 años desde que se emitió la primera regulación peruana para gestionar los
riesgos operacionales que incluía algunos aspectos de la gestión de la continuidad del negocio.
En este tiempo, es innegable que la gestión de continuidad ha madurado de manera importante,
y es también evidente que aún queda mucho por hacer ante los nuevos desafíos e importantes
cambios en el contexto operativo.
En este capítulo se realizará los conceptos generales necesarios para el desarrollo del proyecto
y términos vinculados con la continuidad de negocio, continuidad operativa y normas
internacionales y nacionales
40
Se define el “Plan de Continuidad Operativa” como el instrumento que debe formar parte de
las operaciones habituales de la entidad, que incluye la identificación de las actividades y
servicios críticos que requieran ser ejecutados y prestados de manera ininterrumpida, la
determinación de las medidas y acciones que permitan que la entidad de manera eficiente y
eficaz siga cumpliendo con sus objetivos, así como la relación del personal que se encontrará
a cargo de la ejecución de las menciona2das actividades (Gutiérrez Falcón, 2018)
El negocio de una empresa depende de la información y los sistemas que la soportan. Por ello,
hay que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra
información.
Cuando una organización implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es
reducir sus riesgos y evitar posibles incidentes de seguridad. Sin embargo, hay que tener
presente que existen situaciones que son imposibles de evitar. Ya que no es posible proteger al
100% los activos de información. por esas las empresas tienen que planificarse con el fin de
evitar que las actividades de su entidad queden interrumpidas
Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en
materia de seguridad de la información.
Las fallas eléctricas causan el 90% de los incendios. Los problemas más comunes por
los que se produce este tipo de siniestros son: la utilización de materiales no adecuados,
un cálculo erróneo del sistema o contratar electricistas sin formación técnica.
El 43% de las empresas estadunidense que sufren un desastre no se recuperan” sin
contar con un plan de continuidad de Negocio no se recuperan.
El 51% sobrevive, pero tarda un promedio de dos años en reinsertarse en el mercado y
solo el 6 % mantiene su negocio a largo plazo.
2
www.inteco.es – 27031: Gestión de continuidad de Negocio
41
Para evitar estas y otras situaciones es necesario disponer de un Plan de Continuidad del
Negocio. Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo
que le pueden afectar de forma crítica.
En líneas generales podemos decir, que estos planes tienen como objetivo impedir que la
actividad de la empresa se interrumpa y, si no puede evitarse el tiempo de inactividad sea el
mínimo posible.
Mantener el nivel de servicios en los límites por la compañía y que han sido asumido
por la misma.
Establecer un periodo de recuperación mínimo para garantizar la continuidad del
negocio. (algunas compañías pueden parar su actividad, debido a una incidencia,
durante una semana, pero otras no pueden superar unas horas.
Recuperar la situación inicial de servicios y procesos la recuperación no tiene que ser
inmediata y todo al mismo tiempo, ya que puede que existan procesos más críticos que
necesiten recuperarse antes.
Analizar el resultado de la aplicación del plan y los motivos del fallo para optimizar las
acciones a futuro. Es decir, aprender de las incidencias para mejorar en las respuestas.
Cuando desarrollemos el plan de continuidad del negocio tenemos que tener en cuenta que
debe contener los siguientes apartados:
42
El plan debe haber sido probado y mejorado antes de que haya que aplicarlo. De no ser asi,
puede ser que en el momento de producirse el incidente el plan falle y no nos sirva para salir
de la situación, sino que la empeore. Así mismo, el plan debe ser conocido por todo el personal
involucrado directa e indirectamente. El grado de conocimiento del plan por parte de los
diferentes actores dependerá de su involucración dentro del mismo.
Para desarrollar un Plan de Continuidad del Negocio es necesario seguir cuidadosamente las
siguientes fases:
1) Primera fase. Definición del proyecto, donde es necesario establecer los objetivos, el
alcance y el peor de los escenarios.
43
2) Segunda fase. Análisis de impacto en el negocio. Conocido por sus siglas en ingles
BIA (Business Impact Analysis). Debemos realizar un análisis de riesgos, evaluar el
impacto del incidente tanto económico como de cualquier otro tipo, identificar los
procesos y activos críticos, asignar el tiempo objetivo de recuperación y evaluar las
coberturas de los seguros y contratos.
3) Tercera fase. Selección de estrategias. Aquí hay que identificar los recursos
disponibles, evaluar las salvaguardas y estimar si conviene más aportar una solución a
nivel interno o a nivel externo. Con toda la información hay que valorar las ventajas y
desventajas de cada una de las estrategias posibles y escoger la más conveniente para
la organización. Con toda la información hay que valorar las ventajas de cada una de
las estrategias posibles y escoger la más conveniente para la organización.
4) Cuarta Fase: Desarrollo de planes en los que tenemos que implementar diferentes
procedimientos para afrontar las diversas incidencias.
3
www.inteco.es – 27031: Gestión de continuidad de Negocio
44
2.3.1 Riesgo
Por causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes
de una organización son siempre los riesgos mal gestionados. Es ende que existe entonces la
necesidad de gestionar los riesgos y operar en continuidad del negocio ISO 27031:2011 no
requiere evaluaciones de riesgo según algún proceso específico. ISO 27005:2018 Gestión del
riesgo Principios y directrices puede ser una referencia útil para organizaciones que desean o
necesitan un enfoque más formal del riesgo (uso no obligatorio), ayuda a las organizaciones a
desarrollar su propia estrategia para administrar sus riesgos.
- La norma ISO 27005 (Gestión del riesgo – Principios y Guías) El estándar ISO 31000,
proporciona en forma integral a las organizaciones, principios bajo un marco de
proceso, destinado a gestionar cualquier tipo de riesgo de forma: Sistemática, Creíble,
Transparente. Esta norma se complementa con la ISO Guide 73:2018 Gestión del riesgo
Vocabulario.
- Para integrar la gestión del riesgo en ISO 27031: 2011, podemos seguir los criterios de
la norma ISO 27005: 2018.
La ISO 22317 es la primera y única norma que aborda exclusivamente el Análisis del Impacto
en el Negocio. El objetivo de los procesos de Análisis de Impacto en el Negocio es el de
analizar el impacto real de un evento perturbador en la organización.
2.4.1 Nueva ISO 22317: Guía práctica para realizar el BIA – Business Impact Analysis
45
La norma ISO 22317 debe ser utilizada como un documento independiente y/o complementario
a las normas ISO 22301 o ISO 22313 que nos sirva de orientación sobre cómo llevar a cabo el
proceso de BIA.
ISO 22317 nos guía paso a paso a través del proceso de elaboración del BIA en sus tres
secciones principales:
- Pre-requisitos
- Realización de la BIA
- Revisión y Seguimiento
- ISO 22317 nos proporciona una nueva y mejorada definición de BIA, más clara y con
menos jerga, lo que es de agradecer.
46
- Ofrece una propuesta de valor para las organizaciones que luchan por ganar credibilidad
(buy-in).
- Identifica los requisitos previos para una organización antes de comenzar la BIA.
- Propone los resultados del BIA (incluyendo los resultados de cada paso del BIA
- Describe otros usos para los que las organizaciones pueden optar por utilizar la BIA.
En resumen, ISO 22317 ayuda a las organizaciones a llevar a cabo uno de los elementos más
difíciles del ciclo de vida de la continuidad del negocio (BIA), ayudándonos a definir requisitos
precisos y útiles para la continuidad de negocio.
El objetivo del Análisis de Impacto al Negocio es poder medir el impacto generado por una
interrupción u ocurrencia de incidentes. Este análisis se desarrolla con la identificación de los
procesos para el negocio según el impacto y las perdidas monetarias que se podrían generar.
2.5.2 Metodología
La determinación de las dos primeras acciones son pre-requisitos para poder iniciar un análisis
BIA. Estos dos puntos nos brindaran información suficiente y actualizada de la organización
en la que se desarrollada el proyecto.
48
Como siguiente acción se deben determinar los procesos críticos realizando el análisis
estableciendo el peor caso posible ocasionado por una interrupción teniendo en cuenta la
infraestructura actual de la organización. Tal como lo indica la norma ISO 22317 (2015), se
deben definir roles y responsabilidades para la recopilación de información, toma de
decisiones, planificación y gestión, análisis y documentación. En la figura 10 se definen las
responsabilidades para cada rol:
Scrum es una metodología de desarrollo ágil tiene como base la idea de creación de ciclos
breves para el desarrollo, que comúnmente se llaman iteraciones y que en Scrum se llamarán
“Sprints”. Por lo tanto, Scrum es un marco de trabajo iterativo e incremental, rápida, flexible y
eficaz diseñada para ofrecer un valor significativo de forma rápida en todo el proyecto.
Este marco de trabajo se creó para poder desarrollar, entregar y mantener productos complejos.
Según la guía SCRUM (2017), “se basa en la teoría de control de procesos empírico. Scrum
utiliza un enfoque iterativo e incremental para optimizar la predictibilidad y el control del
riesgo”. Las limitaciones en tiempo, cambios en los costos, alcance, calidad, recursos suele ser
en ocasiones un futuro incierto. Los cambios en tecnología, los incrementos directamente
proporcionales de amenazas hacen que se genere incertidumbre en la entrega de los productos.
Trasparencia: Los aspectos deben ser un estándar común para todos los
involucrados. De tal modo que exista una homologación de conceptos. Para
visualizar lo que se está avanzando se crea un tablero de 3 columnas y se definen
las tareas pendientes, en proceso y terminadas. Que los participantes tengan un
entendimiento común de lo que se ve.
52
Para un mejor desenvolvimiento de los pilares, Scrum incorpora valores como el compromiso,
coraje, foco, apertura y respeto. Esto ayuda a fomentar la confianza entre en todo el equipo.
Funciones y cargos que las personas realizan dentro de un equipo Scrum (Scrum Team)
- Product Owner
- Scrum Master
- Development Team
Características
- Auto-organizados y multifuncionales
- Ser cada vez más efectivos en cualquier trabajo así sea complejo
- Cada vez que se entregue un producto no quiere decir que ya termino, siempre se va a
trabajar con la mejora continua, siempre se va a mejorar o adicionar para ser mejor.
53
1. Product Owner:
- Visión global.
2. Scrum Master:
3. Development Team:
- Solo los miembros del Development Team participan en la creación del incremento
4. Stakeholders:
3.1.- Alcance
El diseño de un plan continuidad operativo para el proceso del área de archivo de la oficina
sistemas para una institución estatal con base en la norma ISO/ IEC 27031:2011, para proponer
actividades que permitan su recuperación ante posibles amenazas o desastres con el fin de
contribuir a la modernización de la Institución Estatal.
En el área de archivo de la oficina de sistemas de una Institución Estatal se tiene que establecer
la necesidad de un Sistema de Gestión de Continuidad de Negocios, incorporando estrategias,
planes de continuidad de negocios y plan de gestión de crisis y emergencia, para lo cual es vital
conseguir el respaldo de la Alta Dirección para lograr organizar y comprender políticas, y
procesos críticos para construir el marco del BCM (Gestión de Continuidad de Negocio).
La política del BCM (Business Continuity Management) aprueba establecer el alcance del
programa BCM y refleja las razones del porqué está siendo diseñado este. La política
proporciona el contexto en el cual serán establecidas las capacidades requeridas e identifica los
principios a los que la institución estatal aspira.
56
La institución al no contar con medios de control, esta se encuentra vulnerable ante un desastre
o incidente, es por ello que, la gestión de continuidad de negocios está estrechamente ligadas a
la gestión de seguridad de información y a Institución Estatal y comparten un mismo objetivo
el cual es asegurar la disponibilidad de los procesos críticos y la información según lo
requieran.
Por lo tanto, se utilizará la norma ISO 27005:2018 para gestionar los riesgos y la metodología
PDCA para la elaboración, y control de la propuesta. Esta norma nos presenta un sistema de
gestión basado en el ciclo de Deming: Plan, Do, Check, Act, conocido como PDCA (Planificar,
Hacer, Comprobar y Mejorar). El ciclo PDCA supone la implantación de un sistema de mejora
continua que pretende una constante evolución para adaptarse a los cambios producidos en su
ámbito y para tratar de conseguir la máxima eficacia operativa mediante las cuatro fases que lo
componen. Cada una de estas fases marca los objetivos que describe la norma ISO 27031:2011.
En la actualidad el área de archivo de la Oficina de Sistemas tiene una serie de problemas tales
como; no cuenta con un plan de continuidad operativo para el proceso como lineamientos
fundados a metodologías obsoletas y/o desactualizada a la necesidad del área de archivos de la
oficina de sistemas para una institución estatal para mostrar oportunamente ante incidentes que
afecten sus procesos y sus recursos.
- Carencia de procesos, lineamientos y políticas que propongan cambios a adoptar para evitar
la incorrecta manipulación de información confidencial del personal y propia de la
institución.
El estudio del impacto para resolver la viabilidad del Diseño de un Plan de Continuidad
Operativo en la Institución Estatal, comprende la disponibilidad de los recursos necesarios para
llevar a cabo los objetivos o metas señalados
El diseño de un Plan de Continuidad Operativo propone actividades para las posibles amenazas
o actividades ante cualquier evento disruptivo de forma manual al área de archivo para la
operación de los procesos tiene un periodo de varios años, desde que se establece siguiendo las
órdenes de la Directiva de Continuidad de Negocio, se ha presentado incidentes.
Es decir que los hechos observados, que son la pobre gestión de Continuidad de Negocio frente
a las posibles amenazas o desastres que se presentan almacenados en área de archivo,
probablemente se deba a que el proceso de gestión de continuidad de negocio no se cumpla por
motivos que el personal que labora no hayan sido pasado por una prueba de selección para
tener los criterios de confidencialidad. Además, otro de los problemas es la alta rotación del
personal a cargo del área de archivo, esto suele reflejarse en la falta de experiencia y
58
capacitación técnica en el tratado de la información para el área donde se trabaja con activos
de información de forma física; documentos confidenciales. Así mismo, el personal carece de
conocimiento de regulaciones de normativas sobre los procesos de continuidad Operativo,
riesgos, amenazas en la documentación reservado y clasificadas del personal. Por otro lado, no
se cuenta procesos o documentos que evidencien identificación de riesgos, no se identifican de
los riesgos, ni evaluaciones. Cabe resaltar el riesgo de las posibles amenazas puede ser de gran
pérdida de información.
Dada esta realidad el plan de continuidad Operativo ocasionara grandes amenazas y desastres
para dicha institución estatal.
Realizar una evaluación de las capacidades técnicas requeridas para las alternativas del
diseño.
Analizar el grado de aceptación que genera el Diseño Plan de Continuidad Operativo para
la institución Estatal.
Una vez realizado las actividades anteriores se determina el impacto técnico si el personal
que labora en la institución posee experiencia técnica requerida para el Diseño y la
Infraestructura Tecnológica que posee son las adecuadas para el proyecto.
El impacto reputacional es un análisis que se realiza con los riesgos o incidentes ocurridos.
Para la institución Estatal es de gran importancia ya que al trabajar con documentos reservados
y confidenciales. Por ende, los procesos que se llevan a cabo en el área de archivo para el Plan
de continuidad operativo ante posibles contingencias, sean pequeños incidentes o grandes
catástrofes que interrumpan su actividad. que debe estar solo respaldado internamente. Por lo
tanto, el impacto reputacional se mide por un indicador y grado de escala tales como: indicador
débil el evento o incidente es conocido solo al ámbito de la institución. En el indicador medio
se cuándo el nombre de la institución es citado públicamente. Cuando el indicador en fuerte
con la perdida de reputación colocando en peligro la continuidad operativo institucional,
múltiples citaciones en los medios de comunicación. La institución es cuestionada con respecto
a cómo ha coordinado la situación y más sus valores y sus prácticas, investigación externa.
El Impacto operativo permite especificar si la ruptura del servicio podría afectar todos los
sistemas operativos de la asesoría dejándola inoperante por completo. El impacto operacional,
describe a todos aquellos recursos donde intervienen las actividades o procesos del área de
archivo, durante esta etapa se identifican todas aquellas actividades que son necesarias para
lograr el objetivo y determinar todo lo necesario para llevarla a cabo, siguiendo los siguientes
pasos:
60
Una vez realizado las actividades anteriores se determinará el Impacto operativa, si el personal
se encuentra en la mejor disposición y compromiso para el desarrollo del Diseño del Plan de
Continuidad Operativo para la Institución Estatal.
El impacto legal son perdidas por incumplimiento de leyes, normas, reglamentos, directivas,
practicas prescritas o normas de ética. El impacto legal a la organización es destacado en la
Imagen institucional que es de gran importancia para la Institución Estatal. Para la institución
Estatal cuenta con el área de la contraloría la cual se encarga de averiguar y analizar los
incidentes sucedidos y son los encargados de confirmar si se está cometiendo un caso ilegal.
Esta unidad hace salir a la luz ante los medios al personal que está violando la ley o estén yendo
en contra de las normas establecidas por la institución.
El creciente uso de las nuevas tecnologías ha propiciado la creación de un marco legal y jurídico
que protege a todas las partes interesadas en el uso de estas tecnologías y el intercambio y
tratamiento de la información a través de ellas.
La institución Estatal está formada por directivas internas donde se hace cumplimiento a la ley
de protección de datos. Asimismo, se cuenta con la ley de firma electrónica.
61
El impacto económico es un análisis que se realizara para determinar el costo - beneficio del
Diseño del Plan de Continuidad Operativo para la institución Estatal. Lo que se observa es que
el personal encargado del área de archivo se excusa que debido a los incidentes ocurridos con
las pérdidas de documentos hace que no se cumpla la culminación de los procesos o actividades
en el tiempo estimado, en la cual no permite lograr cumplir con el Plan de Continuidad
Operativo y por ende no se está cumpliendo lo esperado para la institución.
Según (SEEN, 1987), ‘’el desarrollo de un sistema los beneficios financieros deben igualar o
exceder los costos de inversión para la empresa, para poderse considerar factible
económicamente’’, por lo cual permite la utilización de los servicios y sistemas que se dispone
de manera eficaz y eficiente, rendir cuentas en los lapsos previstos, minimizar los tiempos de
respuestas a las peticiones realizadas por los usuarios, tener información actualizada y
consolidada así como control y auditoria de los servicios, sistemas, debido a que la seguridad
de la información juega un papel preponderante y cualquier monto de inversión para establecer
el Diseño de SGCN para la institución Estatal, considerado infimo respecto a los beneficios
que se obtienen.
Las principales causas que ocasionan no llevar un mejor control y registros de las posibles
escenarios y amenazas o desastres que podrían afectar la continuidad operativa de las
actividades que realiza el área de archivo son:
- No existe una estructura formal que atienda incidentes críticos. No tienen detalles
específicos que pueda atender la continuidad de negocio en la Institución Estatal.
c) Normativa insuficiente:
- Por ser una Institución Estatal no cuentan con políticas, que detallen alguna
función del personal.
- La Institución Estatal solo al contar con una directiva interna que no especifica
a detalle el tema de un Plan de Continuidad Operativo.
63
Debido a los problemas en factor del Plan de Continuidad Operativo expuestos al proceso y
servicios de calificación anual del personal que labora en la institución Estatal (ascensos,
méritos), se vio necesario la adopción de algún modelo o sistema existente en el mercado
mundial, que brinde una solución integral y permanente a los problemas presentados. En base
a ello, la institución cree conveniente la adopción de un Diseño de un Plan de Continuidad
Operativo, basado a la norma ISO/IEC 27031:2011. Este Plan de Continuidad Operativo,
dentro de sus procedimientos y lineamientos internos permitirán a la institución:
Determinar la cantidad de riesgos que superan el Nivel de Riesgo Aceptable (NRA) del
Plan de continuidad Operativo a los que se encuentran expuestos los procesos y
servicios críticos asociados a los procesos de calificación profesional anual del personal
en proponer una matriz de alternativas de solución de los mismos en el área de archivo
de la Oficina de Sistemas.
Determinar las estrategias de recuperación de desastres que permitirán cumplir con los
objetivos de recuperación establecidos por el área de archivo de la oficina de sistemas para la
institución Estatal establecida con su indicador de logro matriz de escenarios de amenazas.
El Diseño de un Plan de Continuidad presentado dentro de esta tesis pretende que se siga una
serie de requisitos para que se establezca a través de la fase ¨ Planificar ¨ una vez establecido
el modelo se implementa siguiendo los lineamientos de la fase ¨ Hacer¨. Así mismo cuando el
modelo se ha implantado y está funcionando, se debe ¨monitorear y revisar¨ durante la fase ¨
Verificar ¨ y, por último, se procede a Actuar y tomar correctivos necesarios.
El alcance propuesto será la guía para el diseño de un Plan de Continuidad Operativa, y podrá
ser revisado y actualizado según lo indiquen las directivas de la entidad y/o en la revisión por
parte de la dirección general.
Elaborar un análisis de riesgos que permita determinar los posibles escenarios de amenazas o
desastres que podrían afectar la continuidad operativa de las actividades que se realiza en el
área de archivos.
Determinar las alternativas de solución de recuperación más adecuada para cada estrategia
establecida.
De acuerdo a las encuestas y evaluaciones obtenidas con las partes interesadas, se representa a
continuación, los requisitos para el Plan de Continuidad Operativo de acuerdo a lo requerido
por el estándar, representando sus necesidades y expectativas.
En esta parte se presenta los pasos para realizar un Análisis de Impacto del Negocio (BIA) en
el área de archivo de la Oficina de Sistemas para una Institución Estatal. Seguidamente, se
muestran los aspectos que disponen la norma ISO/IEC 27031:2011 y la Guía de Buenas
Prácticas del BCI para la realización de un BIA. Por último, se describen las acciones
necesarias para efectuarlo en la Institución Estatal.
En tal sentido, se realizó el Análisis de Impacto al negocio (BIA) planificado con anterioridad
en los puntos anteriores de entrevistas y reuniones con la alta dirección y responsable directos
de los procesos. Aquí se identificarán los procesos de la organización, los impactos asociados
a estos y su priorización. Luego, con esta información se determinarán los tiempos de
recuperación de niveles de servicio de los servicios de TI asociados a dichos actividades y
procesos críticos.
Al finalizar el proceso de Análisis BIA, los resultados preliminares deberán ser enviados a los
responsables de los procesos para efectivamente dar conformidad al resultado.
3.13.- Metodología
7 Determinar el RTO
8 Determinar el RPO
9 Establecer el máximo periodo de interrupción (MTPD) que puede soportar cada proceso
Paso 1: En la determinación de las dos primeras acciones son pre- requisitos para poder iniciar
un análisis BIA. Esto dos puntos nos brindaran información suficiente y actualizada de la
organización en la que se desarrolla el proyecto.
75
evaluar.
En primera instancia se debe plantear el objetivo de tal evaluación, este tiene que ser medible,
alcanzable, dentro de un tiempo establecido y definir que se quiere lograr con esta evaluación.
La definición del alcance debe establecerse en términos de procesos, productos y/o actividades
se desean tener como caso de estudio.
Para definir el contexto de la institución Estatal se hará uso de la Matriz FODA, al respecto
David (2013) señala que esta herramienta analiza tanto el contexto interno y externo de la
organización. Este recurso permite establecer 4 análisis: Fortalezas, Oportunidades,
Debilidades y Amenazas (Anexo 1):
- Elaboración de la matriz
Aplicación de la Metodología:
En este trayecto se inicia con el desarrollo de la Matriz FODA conocida como una herramienta
estratégica de análisis de la situación del Área de Archivo del Oficina de Sistemas con el
propósito de planificar una estrategia a Futuro. En la cual va permite identificar tanto las
oportunidades como las amenazas que presentan nuestro mercado, y las fortalezas y debilidades
que muestra nuestra Institución.
Para este análisis se considerará solo el Análisis Interno y Externo de la Matriz FODA, para
obtener la información necesaria del estado actual de la Institución Estatal.
77
Como siguiente acción se deben determinar los procesos críticos realizando el análisis
estableciendo el peor caso posible ocasionado por una interrupción teniendo en cuenta la
infraestructura actual de la organización. Tal como lo indica la norma ISO 22317 (2015), se
deben definir roles y responsabilidades para la recopilación de información, toma de
decisiones, planificación y gestión, análisis y documentación. En la Tabla 6 se definen las
responsabilidades para cada rol:
Tener una comprensión relativamente detallada del proceso en el que representan para
ayudar al director del proyecto a identificar a los expertos en la materia, las unidades
organizativas y los impactos del tiempo de inactividad
78
Propietarios de
procesos
Para casos en que la empresa es más pequeña se pueden combinar los roles. Además, la
organización debe garantizar las competencias necesarias para las responsabilidades antes
descritas en la Tabla 14 para poder así desarrollar un correcto análisis colaboración y
comunicación efectiva. Estas acciones nos brindan visibilidad de la situación actual de la
organización y los responsables que desarrollaran el análisis BIA (Ver Anexo 1).
Aplicación de la Metodología:
En esta etapa antes de llevar a cabo el proceso BIA, la alta dirección del Área de Archivos de
la Oficina de Sistemas debería asegurar que las responsabilidades y autoridades para que los
roles relevantes se asignen y comuniquen dentro de la Institución Estatal. En la cual tabla 15
detalla los Roles BIA de la Institución. Asimismo, se encuentra detallado en el Anexo 1 los Pre
requisitos BIA.
Como un criterio adicional de selección Harrington señala que: “… los procesos críticos son
aquellos que tienen alta importancia, así como altas oportunidades de mejora, y estos son los
que primero deben ser atacados” (p.39). Los procesos y el grado de complejidad de estudio que
se requiera solo dependerá de la complejidad de la corporación y por ende la alta dirección.
Por otra parte, el Ministerio de Economía y Finanzas (2018) nos muestra que para la selección
de procesos y servicios es significativo contar con un esquema, secuencial y ordenado para la
identificación de los procesos y las actividades de la organización. Esto nos brinda una visión
clara del flujo del proceso y producto que se entrega al cliente.
Tal como lo indica el MEF (2018), la elaboración del mapa de procesos se clasifica en 3 grupos:
81
Los niveles de procesos a su vez van en desagregación desde el nivel 0, macroproceso; nivel
1, proceso concreto y nivel 2, sub-proceso o procesos más específicos que forman el proceso
de nivel 1 tal como indica la tabla 15.
Proceso Nivel 0 Macro procesos o Procesos Globales, son un grupo de procesos unidos por
especialidad, tienen como salida un producto/servicio concreto generado por la
totalidad de la organización y que es entregado a usuarios finales. Estos procesos
pueden determinarse de la misión y/o funciones generales de la organización
Proceso Nivel 1 Proceso concreto, que forma parte de un macro proceso o proceso global, en
conjunto agregan valor a los productos y servicios finales. Constituye el primer
nivel de desagregación de los macro procesos.
Proceso Nivel 2 Procesos o actividades que en conjunto forman al proceso de nivel 1. Constituye
el segundo nivel de desagregación del macro proceso, son más específicos que
estos últimos, describen actividades y tareas que explican una cadena que genera
valor.
Aplicación de la Metodología:
En esta acción los procesos de la Institución se muestran hasta la escala de nivel 1 de proceso.
El caso de estudio se enfocará en los procesos de nivel 1 teniendo como entrevistados a los
responsables de cada uno de los procesos de Nivel 0.
Gestión y 3.1 Gestionar los productos del Jefe de Área de Archivo PA-DP-01.3.1
desarrollo de Área de Archivos
3 productos PA-DP-01
3.2 Generar y definir nuevos Líder de mejora PA-DP-01.3.2
productos y mejoras continua
3.13.1.4.- Determinar los procesos críticos y determinar su impacto debido a una interrupción
En la Tabla 18, muestra las escalas de evaluación que se han identificado para cada criterio. De
acuerdo a la norma ISO 22317 (2015), se deben considerar para el análisis de procesos críticos
en un análisis BIA el impacto operacional, imagen o reputacional, contractual y económico.
Para este caso de estudio no se han considerado impactos como financiero, legal y regulatorio
ya que no aplican al negocio de la empresa en cuestión.
Ahora bien, para realizar la ponderación de las escalas el Ministerio de Economía y Finanzas
del Perú a través de la Resolución Ministerial MEF (2018) señala que: “Para su identificación
se les asigna valores que luego son promediados y cuyo resultado es utilizado para obtener la
primera lista de procesos críticos” (028-2015-PCM., 2020, pág. pag. 22)
89
Con estos puntos definidos el nivel de criticidad obtenido sería el promedio de la valoración de
los impactos. Para la definición de los procesos se definen niveles de criticidad los cuales se
muestran en la Tabla 19.
El cálculo del promedio para los 4 impactos descritos anteriormente se detalla en la siguiente
formula.:
Se debe determinar el valor de criticidad a considerar para seleccionar los procesos críticos
resultantes. Por acuerdo con la alta dirección, para este caso de estudio, los procesos que tienen
valorización de criticidad Alto [2.5-3.0] se consideraran procesos críticos. Los valores a
analizar deberán colocarse en el siguiente cuadro:
91
El resultado de este análisis de la Tabla 20, serán los procesos críticos de la organización los
cuales serán objeto de estudio para este proyecto.
Aplicación de la Metodología:
Del análisis realizado en la Tabla anterior de alternativa de solución, se puede determinar que
tres de los procesos son los más críticos para la Institución y que estos ocasionarían un gran
impacto si sufren una interrupción prolongada.
REPUTACIONAL
REGULATORIO
OPERACIONAL
NIVEL 0 PROCESO O+R+L+E/4=
ECONOMICO
LEGAL Y
RESULTADO
REPUTACIONAL
REGULATORIO
NIVEL 0 PROCESO
OPERACIONAL
O+R+L+E/4=
ECONOMICO
LEGAL Y
RESULTADO
REPUTACIONAL
REGULATORIO
OPERACIONAL
NIVEL 0 PROCESO O+R+L+E/4=
ECONOMICO
LEGAL Y
RESULTADO
Se puede determinar que los procesos en el área de archivo son los que están asociados a la
cadena de suministro con acentuación en el proceso productivo. Estos tienen a su vez servicios
de TI que los soportan. En escala de valoración el proceso “Abastecer Materia Prima para los
procesos en el área de archivos” obtuvo el mayor puntaje “2.75” mientras que los dos procesos
restantes obtuvieron el puntaje de “2.5”.
Aplicación de la Metodología:
En esta etapa los procesos de servicios del área de archivos tienen como base recursos de
hardware, software, personal entre otros. Se debe tener en cuenta estos recursos al momento de
determinar las estrategias y alternativas de solución.
96
Sistema de Control de
Proceso - Servidor virtual - Sistema Operativo Analista de
Infraestructura
Procesador Intel Xeon Windows Server
3.0 2012 - Virtualización
RAM: 8 GB
Almacenamiento: 300
GB
Servicio de conexión
remota VPN Firewall Cisco ASA 5510 Licencias
20 licencias disponibles
Modulo Planificación
para los procesos - Servidor Blade HP - Sistema Operativo
Windows Server Encargado de
Procesador: Intel Xeon 4 2016 STD
Ghz Soporte de TI
- Base de datos
RAM: 64 GB Espacio
almacenamiento: 750 SQL Server 2012 -
GB - Storage ERP SAP Business
One v 740
Espacio Almacenamiento
4 TB
En la siguiente acción es determinar los servicios de TI que soportan estos procesos en el área
de archivo. A su vez se desarrollarán entrevistas con cada responsable de proceso crítico de la
97
institución estatal, procurando mostrar de forma sencilla y practica como se realiza esta fase
del proceso de evaluación. En estas entrevistas se consultarán 4 criterios fundamentales para el
análisis de impacto, son los valores de recuperación RTO, RPO, WRT y MTPD (ISO 22317,
2011). A continuación, se definen estos valores según la norma descrita anteriormente:
Para los cálculos de estos valores se deben emplear las siguientes formulas y deberán ser
aplicados a los servicios de TI y recursos en el área de archivo que estén asociados a estos
procesos.
Para esta recopilación de información se deberá plantear un cuestionario con escalas de tiempo
y cada uno de los valores de recuperación. Como ya se indicó estos análisis deben tener en
consideración los recursos e infraestructura contra el impacto de cada proceso.
Aplicación de la Metodología:
98
Como se aprecia en la Tabla 26 los servicios con mayor prioridad de recuperación son aquellos
que soportan a los procesos de producción.
Ahora bien, luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo
tolerable para los servicios de TI de los procesos críticos en el área de archivos.
Tabla 25: Procesos de la Organización
100
101
Del análisis realizado se puede determinar que tres de los procesos son los más críticos para la
organización y que estos ocasionarían un gran impacto si sufren una interrupción prolongada
antes las posibles amenazas.
elaborar
información
financiera
Procesar Gerente de 1 1 2 2 Medio
planillas RRHH
Procesar pagos y Tesorero 1 1 2 2 Medio
adelantos y
reembolsar
gastos
Manejar Tesorero 1 1 2 2 Medio
operaciones de
Tesorería
Gestionar Contador General 1 1 2 2 Medio
control
financiero
Gestionar Contador General 1 1 2 1 Bajo
impuestos
Gestión y Gestionar las Jefe de Sistemas 1 1 1 1 Bajo
desarrollo de actividades de
actividades procesos
Generar y Líder de mejora 1 1 1 1 Bajo
definir nuevas continua
104
actividades y
mejoras
Entrega de Planificar y Gerente de 1 1 1 1 Bajo
actividades alinear las operaciones
de procesos actividades de
procesos
Abastecer Jefe de Logística 3 2 2 3 Severo
Materia Prima
para el área de
procesos
Aprovisionar Jefe de Logística 3 1 2 2 Moderado
suministros,
repuestos,
equipos y
servicios
Producir/ Gerente de Planta 3 1 3 3 Severo
Procesos de
asensos y
servicios críticos
Administrar Gerente de 3 2 2 2 Severo
actividades de Logística
procesos,
almacenamiento.
Planificar Gerente RRHH 1 1 2 1 Bajo
estratégicamente
105
Gestión de el diseño
las Personas organizacional
Seleccionar y Supervisor 1 1 2 1 Bajo
administrar la RRHH
información del
Personal
Desarrollar y Gerente de 1 2 1 1 Bajo
orientar a los RRHH
empleados
Gestionar Asistente Social 1 1 1 1 Bajo
relaciones con
los empleados
Gestionar las Gerente de 1 1 2 1 Bajo
compensaciones RRHH
y beneficios
Reubicar o Asistente Social 1 1 2 1 Bajo
retirar al
personal
Comunicar Asistente de 1 1 1 1 Bajo
internamente RRHH
Fuente 33: Elaboración Propia
Luego del análisis realizado los procesos críticos resultantes son los que se observan en la tabla
siguiente.
Los procesos en el área de archivos tienen como base recursos de hardware, software, personal
entre otros. Se debe tener en cuenta estos recursos al momento de determinar las estrategias y
alternativas de solución.
107
Recursos
PROCESOS DE
SERVICIOS EN (HW/SW/PERSONAL/EQUIPOS)
AREA DE
SISTEMAS
Hardware Software Personal
Sistema central del Servidor Dell PowerEdge - Sistema Operativo
área de archivo T320 Windows Server 2008 R2
- Procesador: Intel - Base de Datos
Xeon 2.8 GHz Analista de
SQL Server 2012
- RAM: 8 GB Infraestructura
- Espacio
almacenamiento:
750 GB
Sistema de Control - Servidor virtual - Sistema Operativo
de Proceso Procesador Intel Windows Server 2012 - Virtualización Analista de
Xeon 3.0 Microsoft Hyper-V Infraestructura
RAM: 8 GB
Almacenamiento:
300 GB
Servicio de Firewall Cisco
conexión remota ASA 5510 20 Licencias
VPN licencias
disponibles
Sistema para - Estación de trabajo - Sistema Operativo
estación de trabajo Procesador Core Windows 7 Pro
i7 Analista de
RAM: 8 GB Infraestructura
Almacenamiento:
300 GB
Modulo - Servidor Blade - Sistema Operativo Windows Server 2016
Planificación para HP STD
los procesos Procesador: Intel - Base de datos
Xeon 4 Ghz SQL Server 2012 - ERP SAP Business One
RAM: 64 GB v 740 Encargado de
Espacio
almacenamiento: Soporte de TI
750 GB - Storage
Espacio
Almacenamiento
4 TB
Procesador 2 six-
cpre 1.8 Ghz
Fuente 35: Elaboración Propia
108
Los servicios con mayor prioridad de recuperación son aquellos que soportan a procesos de
producción.
Tiempo Tiempo
SERVICIOS Máxima Tiempo requerido Máximo de
EN ELAREA pérdida de máximo para inactividad
DE ARCHIVO Datos tolerable de recuperar que puede Prioridad de
Tolerable paralización Datos tolerar el Recuperación
(RPO) Horas del Servicio Perdidos Servicio
(RTO) Horas (WRT) Horas (MTPD =
RTO + WRT)
Horas
Sistema de 12 12 1 13 Medio
Control de
Proceso
Servicio de 12 8 1 9 Medio
conexión
remota VPN
Modulo 6 4 1 5 Alto
Planificación
para los
procesos
Servicio de 12 8 1 9 Medio
comunicación
de datos RPV
Software 24 24 2 26 Bajo
Ofimática:
MS Excel
Fuente 36: Elaboración Propia
Ahora bien, luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo
tolerable para los servicios críticos de los procesos críticos.
109
En el cálculo del RTO se deberá hacer una sumatoria de los tiempos de iniciación del sistema
operativo, aplicaciones, tiempo de restauración de datos y configuración, y otros parámetros que
se crea relevante para realizar el cálculo.
El valor RPO muestra la cantidad de información que la organización está dispuesta a perder desde
el ultimo backup realizado. Para la obtención de este dato es necesario contar con el cronograma
de backup relacionados al proceso critico en cuestión.
El valor WRT es el tiempo máximo tolerable que se necesita para verificar el sistema y/o la
integridad de los datos asociados a los servicios. Este valor tiene que contemplar todos los factores
para que el servicio vuelva a tener una normal continuidad.
3.13.1.9.- Establecer el máximo periodo de interrupción (MTPD) que puede soportar cada
proceso
El valor MTPD, según Sikdar (2017), es el tiempo máximo tolerable que un servicio puede quedar
inoperativo debido a una interrupción La suma de los valores de RTO y WRT definen este valor
(p.57).
Al igual que para el desarrollo de la evaluación de impactos para este caso se deberá desarrollar
un cuestionario. Este se deberá realizar a los responsables o principales representantes de negocio
de cada proceso de la organización, llamados también integrantes de la alta dirección de la
empresa, para definir los valores de los niveles de servicio para cada servicio de TI de procesos
críticos obtenidos (Ver Anexo 3).
110
El informe de análisis BIA es un documento que muestra los resultados de las evaluaciones de
procesos en el área de archivos que estos los integran. Este informe nos da una visión de qué
servicios soportan a las actividades de los procesos y así brindar un mayor enfoque a la continuidad
de dichos procesos.
Como resultado de la ejecución del Análisis de Impacto al Negocio (BIA), se tiene la relación de
procesos críticos de Nivel 1 con su clasificación de criticidad.
112
De los procesos analizados se obtiene como resultado que el 4% se ha clasificado con nivel de
criticidad SEVERO por los responsables del proceso, el 12% con criticidad MODERADO, el 20%
con criticidad MEDIO y 64% con criticidad BAJO.
113
12%
4%
BAJO
MEDIO
20% SEVERO
64% MODERADO
Los niveles de impacto se desarrollaron en el punto 3.13.1.4 Como métrica se han utilizado los
niveles de impacto operacional, reputacional, regulatorio y económico (Ver Tabla 21).
Los niveles de servicio se desarrollaron en el punto 3.13.1.6. Como métrica se han utilizado los
niveles de servicio RTO, RPO, WRT y MTPD (Ver Tabla 25).
Los recursos y registros vitales se desarrollaron en el punto 3.13.1.4. Como métrica se planteó que
los recursos y registros vitales críticos son los que están asociados a los servicios del área de
archivo de la oficina de sistema de los procesos críticos del punto 3.13.1.3. (Ver Tabla 24).
114
En esta fase se manifiesta lo elaborado para cumplir con el requisito de la norma 27031:2011. Esta
metodología de evaluación de riesgos y el enfoque realizado, se llevaron a cabo siguiendo las
directrices del estándar ISO 27005:2018 que brinda recomendaciones y lineamientos de métodos
y técnicas de evaluación de riesgos del Plan de Continuidad Operativo. La evaluación es de
extenso alcance y evalúa las vulnerabilidades de la continuidad operativo que perjudican a las
posibles o amenazas.
Cualquier organización, ya sea pública o privada, tiene múltiples objetivos que debe cumplir al
mismo tiempo. Consiguiendo ser tanto de alto nivel estratégico, como una buena disposición de
calidad para una organización estatal para concretar las metas operacionales. Estos objetivos
diferentes alcanzan a menudo causar conflictos internos y externos para la institución estatal que
intenta mantener una postura segura en nuestra dinámica sociedad.
Hoy en día la mayoría de las organizaciones son conscientes de que estos sistemas de información
están expuestos a diferentes amenazas, tanto interno como externo de la organización. Como el
valor de un sistema de TI tiene que ser considerado desde una perspectiva empresarial del mismo
valor que para la seguridad de los sistemas informáticos. Conseguiremos observar las diferentes
fases de nuestra metodología en la siguiente figura:
115
De acuerdo a la figura la norma menciona que la hora de planificar nuestro sistema de gestión
debemos considerar los asuntos que ha hemos tratado previamente en este documento. Es por
ello, que a continuación detallaremos nuestra gestión de riesgos que se desarrollará de acuerdo
a la metodología señalada en la figura 16 de la siguiente manera:
116
- Se ha tomado en cuenta la Declaración del Alcance del Diseño del plan de Continuidad
operativo, a bienes de conocer el principal proceso estratégico de la institución.
- Se ha determinado, gracias a los informes anteriores, que los parámetros establecidos son
idóneos para nuestra gestión de riesgos. Dicha verificación se encuentra en el Informe de
gestión de riesgos.
117
A los riesgos que se identifiquen como Altos al concluir la fase de Evaluación de Riesgos, se ha
definido que podrán ser aceptados y no pasar a ser tratados solo en los siguientes casos:
- Cuando el costo de tratar el riesgo se estime como mayor a la pérdida o impacto económico
generado por la ocurrencia del mismo.
En esta fase se iniciará con la elaboración del inventario de activos de información para los
procesos considerados dentro del alcance del Diseño del Plan de Continuidad Operativo en los
procesos. Los activos de información identificados serán valorados en base a los criterios de las
posibles amenazas o desastres sobre los mismos. La decisión de utilizar una escala cuantitativa a
una cualitativa es netamente de preferencia organizacional, pues ambos tipos de valoración
podrían ser utilizados para el mismo activo.
118
Su objetivo es determinar y comprender qué podría suceder que cause una pérdida potencial a la
institución. Para ello, se siguen los siguientes pasos:
- Para nuestro proceso del área de archivo, se ha preparado la lista de los activos de
información con los siguientes atributos: (Inventario de Activos de Información):
Valorización de activos
121
Se estima el valor del activo del promedio de sumar los valores del nivel de relevancia respecto a
la confidencialidad, integridad y disponibilidad de acuerdo a la siguiente formula:
Los activos que se han seleccionado son aquellos que tienen un valor crítico (Medio, Alto y Muy
Alto) para pasar a la siguiente etapa, Análisis de Riesgos.
Se han examinado cada uno de los atributos inherentes a los riesgos identificados:
- Se detallan las amenazas detectadas conjuntamente con las vulnerabilidades que podrían
explotar.
- Se realiza un cálculo del nivel de riesgo con los datos obtenidos previamente y se
documenta en el Informe de la gestión de riesgos.
124
El proceso de gestión de riesgos de continuidad de negocio puede ser iterativo para la evaluación
de riesgos y/o actividades de riesgo. Si la evaluación de riesgos proporciona elementos suficientes
para determinar realmente las acciones necesarias para reducir el riesgo a un nivel aceptable, se
va directamente a la aplicación de las opciones de tratamiento de riesgos. Si no hay suficiente
información para determinar el nivel de riesgo o el nivel de riesgo después que el tratamiento
previsto es inaceptable, una nueva iteración de la evaluación de riesgos se llevará a cabo en
algunos o todos los elementos del dominio de aplicación. Si el tratamiento de riesgos no es
satisfactorio y el establecimiento del contexto es correcto, una nueva iteración de tratamiento de
riesgos se llevará a cabo, de lo contrario, se llevará a cabo el establecimiento de una nueva
iteración del contexto.
125
Vulnerabilidades
A raíz del análisis realizado, la entidad puede identificar las vulnerabilidades que detonantes que
tiene el área de archivo de la Oficina de Sistemas para la institución Estatal. Se ha determinado
detallar un Catálogo de Vulnerabilidades en la tabla siguiente.
126
Amenazas
Tomando en cuenta la lista de activos que han sido identificados como relevantes, se realizará la
identificación de las amenazas asociadas a cada uno de ellos en la siguiente tabla.
De esta forma se ha seleccionado aquellos riesgos cuya probabilidad es Media, Alta y Muy Alta,
para pasar a la siguiente etapa: Evaluación con un total riesgos.
El riesgo residual es el riesgo que queda después de que el riesgo ha sido tratado. La noción de
riesgo residual puede ser definida como el riesgo que queda después de la aplicación de los
controles con el objetivo de reducir el riesgo inherente, y puede resumirse de la siguiente manera:
131
Una opción es identificar otras opciones de tratamiento de riesgo tales como compartir el riesgo
(aseguradoras o tercerización) para reducir el riesgo a un nivel aceptable. Incluso si bien es una
buena práctica no tolerar ningún riesgo para los que el nivel está por encima de los criterios de
riesgo definidos por la Institución, no siempre es posible reducir todos los riesgos a un nivel
aceptable.
Para cada amenaza identificada se valorizará los impactos que estas tendrán sobre los activos de
información. Para la determinación de este nivel se tienen la siguiente tabla de Escala de Valor de
Activos.
El nivel de exposición al riesgo deviene del producto de los valores obtenidos en los pasos
anteriores:
- Nivel de Impacto
- Probabilidad de Ocurrencia
133
En la siguiente tabla se brinda una definición de los niveles de riesgo. Estos niveles representan el
grado o nivel de riesgo al que un sistema informático, instalación o procedimiento podría estar
expuesto si una vulnerabilidad dada se ejerce La tabla anteriormente mencionada de esquema de
valorización Final de Activos de Información.
Tolerancia:
Impacto
Probabilidad
Se ha establecido seleccionar aquellos riesgos cuyo valor es Moderado, Alto y Extremo para pasar
a la siguiente etapa: Tratamiento. Por ello, debe considerarse también la aplicación de los Criterios
de Aceptación de Riesgos, que se define en (Declaración de la Política de Continuidad de
Negocio).
En la siguiente matriz de calor (ver tabla 21) fases de la Gestión de Riesgos que se presentará una
relación de Impacto en el negocio frente a la Probabilidad de un escenario de incidente. El riesgo
resultante podrá ser medido en una escala de 0 a16 que se podrá evaluar frente a los criterios de
aceptación del riesgo.
Al concluir esta fase se han evaluado los riesgos identificados, siendo los principales los que se
detallan a continuación.
Para el análisis de riesgos, primero se identificarán todos los proceso y servicios críticos que brinda
el área de archivo de la oficina de sistemas en la que se encuentra definidos los tres servicios
críticos que se priorizarán para la continuidad del negocio.
Consiste en analizar y determinar las posibles amenazas que este expuesto la organización con la
posibilidad de llevar a efecto cada punto y el impacto si llegan a realizar las amenazas.
En este sentido, en la Tabla 3 se muestra la lista general de servicios que brinda el área de archivo
de la oficina de sistemas en la institución Estatal. considerando la siguiente escala de valoración
de la tabla 2:
3.15.2.-Identificación de Amenazas
Para este punto se determinan las amenazas que podrían afectar a los procesos y servicios críticos.
Se listaron todas las amenazas del área de archivo de la oficina de Sistemas y se seleccionaron las
que serán aplicables al alcance del proyecto.
Se le ha identificado como “No aplica” a amenazas con muy poca probabilidad que se afecten a
los procesos y servicios de TI del área de archivo de la oficina de sistemas y sus recursos, sin
embargo, se toma en consideración para próximos análisis de amenazas ya sea en otra sede o para
otra organización.
Tabla 44: Vulnerabilidad y Controles actuales
Código Amenazas Aplicabilidad Vulnerabilidad Detectada Controles Actuales
A03 Falla de equipos por contaminación (Polvo humedad, Aplica Ambiente con polvo y humedad Cronograma de
etc.) mantenimientos
preventivos
A05 Falla en suministro de energía eléctrica Aplica No contar con UPS ni fuente de Ninguno
energía alterna
A06 Falla por saturación y agotamiento de recursos de Aplica Alta carga de procesamiento Ninguno
sistemas de TI
Inadecuada programación y/o Ninguno
configuración de software
mantenimiento antes de
que se realice
A11 Inundación por tubería de agua Aplica Exposición a daños físicos debido a la Drenaje correctamente
ubicación ubicado
B02 Error mantenimiento de Hardware Aplica Personal técnico inexperto y/o falta de Supervisión de TI para
conocimiento trabajos complejos
Mantenimientos predictivos o
correctivos inadecuados
B05 Indisponibilidad de personal / Pandemia Aplica Dependencia de personal Clave Respaldo de funciones por
parte del personal del área
competente
B06 Ingeniería social / Espionaje / Suplantación Identidad Aplica Controles inadecuados de acceso Concientización a personal
lógico de la organización en
142
cuestiones de seguridad de
la información
B08 Robo de información Aplica Personal desconoce los tipos de Políticas de seguridad y
amenazas actuales como Phishing e programas de
ingeniería social concientización a todo el
personal en el manejo de
información
B09 Vandalismo / Intrusión física / Sabotaje a sistemas Aplica Controles inadecuados de acceso
físico
C01 Ciclón tropical No Aplica No Aplica No Aplica
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
variaciones de
corriente.
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
2 Servicio de Servidor VPN y AD Sistema Operativo Analista de Fallas de No existe Ninguno 1 10 10 A R Paralización de los
conexión (SERVLIM01) Infraestructura hardware: servidor de L T servicios VPN (red
* Windows Server
remota VPN ProLiant DL180 Servidor no contingencia T - privada virtual) de los
2016 STD
Gen9 disponible O 04 procesos en la área de
* Microsoft TMG por fallas en archivo como en los
* Intel Xeon CPU E5-
Forefront Threat componentes registros ,
2620 v4
Management internos de identificación y
Gateway (TMG) hardware evaluación
profesional del
147
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
No se cuenta con
acceso remoto
para control y
administración
de sistemas de
procesos
150
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
3 Modulo Supervisor TI Falla en Equipos de UPS Contar con 0.5 10 50 M R Paralización del
Servidor Blade HP Sistema Operativo
Planificación suministro antiguos y UPS de 0 E T sistema ERP SAP
Windows Server 2016
para los de energía deteriorados. respaldo de 30 D - para los procesos en el
Procesador: STD
procesos eléctrica minutos. I 07 área de archivo por el
Intel Xeon
O nivel de riesgo
Base de datos Tener un plan
RAM: 64 MEDIO en
adecuado de
GB Espacio SQL Server 2012 - probabilidad con los
mantenimiento
almacenami ERP SAP Business problemas de
en las
ento: 750 One v 740 suministro eléctrico
subestaciones
GB - Storage por la falta de
del sistema
mantenimiento de
eléctrico
UPS.
151
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
Probabilidad (0.1/0.5/1)
Impacto (10/50/100)
Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles
Cód. Riesgo
Humano es Existentes
parte del
contratista.
El informe de análisis de riesgo es un documento que muestra los resultados del análisis de las
condiciones positivas y negativas en las que se encuentran los procesos y servicios críticos en
el área de archivo de la oficina de sistemas. La importancia de este informe nos sirve para
disgregar los procesos y servicios críticos en el área de archivos de la oficina de sistemas
tomando en consideración la probabilidad de ejecución de una amenaza y el impacto que
generaría a la institución estatal. Todo ello nos ayudará a elaborar mejores controles y
estrategias para salvaguardar la continuidad de los procesos y servicios críticos de la oficina de
sistemas de la institución estatal. El detalle del informe se encuentra en el Anexo 4.
3.15.5.- Indicador de Logro OE2
Como resultado de la ejecución del análisis de riesgos se determinó una matriz de riesgos cuyo
análisis deriva en la detección de los riesgos críticos de acuerdo con la norma ISO/IEC 27005.
Entonces según el análisis se tiene un 19% de riesgos críticos que sobrepasan el nivel de
tolerancia.
162
Niveles de Riesgos
9%
46% ALTO
45% MEDIO
BAJO
En el presente capítulo se desarrollará los elementos básicos para llevar a cabo un Plan de
Continuidad Operativa; tales como el programa de capacitación y entrenamiento, donde se
fomenta la formación y concientización en la Continuidad de Negocio y el manual del SGCN
donde se podrá ubicar las políticas específicas de un Plan de continuidad Operativo basados a
lineamientos de Continuidad de negocio y los principales procedimientos de gestión del SGCN
para el área de archivos de la Oficina de Sistemas de la Institución Estatal, de acorde con la
norma ISO 27031:2011.
4.1 Introducción
- La Institución Estatal tiene el compromiso de ofrecer soporte para asegurar que todos
los procesos críticos del negocio estén funcionando correctamente y constantemente,
por medio de la elaboración del diseño del plan de continuidad operativa en los
principales servicios de TI.
- La Institución Estatal deberá de localizar los incidentes de la manera más rápida posible
para reducir los impactos en los servicios críticos de TI para preservar la calidad del
servicio.
232
- La Institución Estatal tiene como función resguardar los servicios críticos de TI ante las
amenazas mencionadas en la tabla 43 para contar con el constante funcionamiento de
los sistemas.
La Institución Estatal debe garantizar que a todas las personas involucradas que se le asignen
roles y responsabilidades para el plan de continuidad operativo para los procesos del área de
archivo y de los servicios críticos de TI, deberán ser capacitados, comprometidos, preparados
y eficientes para ejecutar cada actividad encomendada.
La alta dirección es quién determina las actividades, roles y responsabilidades del equipo de
TI. Este gabinete de asesores son los encargados de la implementación y la mejora continua
del proyecto. Cada encargado cuenta con roles del marco de trabajo con el fin de desarrollar
las estrategias de recuperación y alternativas de solución. El equipo se hará cargo de la
evaluación de las estrategias y alternativas de solución, la planificación, reuniones, cuáles son
las ventajas y desventajas, duración de la implementación y el control del proyecto. En la
siguiente tabla se muestra el equipo de TI:
234
Se realizan las actividades del equipo de TI de la Institución Estatal bajo los lineamientos de la
tesis de Marco Ochoa, donde plantea las actividades del antes, durante y después del equipo de
responsables de TI. Se tomará cómo guía sus actividades del plan que se debe de realizar.
Se detallan a continuación:
235
a) Actividades del plan que se deben de desarrollar antes de una interrupción en los servicios
críticos de TI
Antes que pueda ocurrir alguna interrupción en los servicios críticos de TI a causa de un evento,
el equipo de TI del Plan de continuidad operativa deberá garantizar que todos los recursos y
registros vitales deben estar íntegros y aptos dentro y fuera de la Institución Estatal. Se
considera lo siguiente:
- Debe encontrarse realizado la lista del personal interno y externo aquel que se le
notificara determinado percance.
- Al realizar las pruebas adecuadamente para saber si el plan ha salido exitoso tal y como
se suponía; habría que estudiarlo para reforzarlo mediante anotaciones, sugerencias,
conclusiones y recomendaciones que ayuden a perfeccionarlo, acoplándose a las nuevas
necesidades.
b) Actividades del plan que se deben de desarrollar durante de una interrupción en los servicios
críticos de TI. Durante la ocurrencia de alguna interrupción de alguna interrupción en los
servicios críticos de TI a causa de un evento, el equipo de TI de la continuidad operativa deberá
garantizar que todos los recursos y registros vitales deben estar íntegros y aptos dentro y fuera
de la entidad. Se considera lo siguiente:
- Una vez ocurrida la emergencia, se debe avisar a los encargados de cada servicio crítico
de TI, quienes son los integrantes del equipo de TI responsable.
- Utilizar los registros del plan, incluyendo todos los recursos necesarios para el
restablecimiento de la entidad o del centro de datos alternativo.
- Poner en práctica a todos los integrantes del equipo de TI capacitados y preparados para
la permanencia en los roles y tareas a desempeñar para que tengan las habilidades
necesarias de restaurar los servicios críticos de TI empleando los procedimientos
determinados en la lista de revisión del plan.
- Poner en marcha el procesamiento del Centro de Datos alterno durante el tiempo que
dura la emergencia.
- Que se realice las pruebas adecuadas para garantizar que el plan de continuidad
operativo de los servicios críticos de TI haya funcionado correctamente.
c) Actividades del plan que se deben de desarrollar después de una interrupción en los servicios
críticos de TI.
237
Garantizar que se hayan almacenado todos los registros realizados durante el tiempo
de emergencia, si en caso faltaría alguno, determinar los pasos a seguir para
procesarla y recuperarla.
- Se debe manifestar por concluido la emergencia por parte de los encargados de los
servicios críticos de TI restaurados.
- Se debe dar visto bueno con una firma a las actas del regreso a la normalidad de la
continuidad operativa.
Para establecer las estrategias de recuperación del negocio, se debe realizar en base a los
hallazgos del BIA y del análisis del riesgo. De una u otra forma, se deberá cumplir con los
objetivos del plan de continuidad operativa para los procesos en el área de archivo de la
institución estatal.
La Institución Estatal debe establecer las opciones de estrategia con el fin de:
Las estrategias se trabajaron tomando cada uno de los escenarios de amenaza anteriormente
expuestos en la tabla anterior. Para el presente proyecto se trabajarán con los niveles de riesgo
“Alto” y “Medio”. Siguiendo los elementos anteriormente expuestos en la tabla, se propondrán
estrategias de continuidad más adecuadas a los posibles escenarios que generan interrupción
del servicio del área de archivos y así contar con una mejor disponibilidad.
Definir las estrategias de recuperación de desastres que permitirán cumplir con los objetivos
de recuperación establecidos por el área de archivos de la oficina de sistemas para una
Institución Estatal. Por lo tanto, la ejecución del análisis de riesgos se determinó una matriz de
estrategias de recuperación para cada escenario de amenaza bajo el enfoque de lo indicado por
la norma ISO/IEC 27031:2011.
245
Para lograr este indicador se utilizó la lista de consideraciones necesarias de las estrategias de
continuidad de la norma. Al respecto la norma ISO 27031:2011 menciona que “las opciones
[de estrategias] deben tener en cuenta los diversos componentes necesarios para garantizar la
continuidad y recuperación de servicios de TIC críticos “.
De estas opciones se considerarán las mejores opciones de estrategias para su desarrollo más
óptimo y propuesta de alternativas de solución.
En esta parte se detallarán las alternativas de solución que se han considerado dentro de las
estrategias de recuperación para cada uno de los escenarios de amenaza. Los términos
siguientes nos brindaran información acerca de las escalas de evaluación de la matriz anterior.
Tiempo de Implementación:
246
La estimación del tiempo de implementación para las alternativas de solución sería la siguiente:
La estimación de los niveles de costo para las alternativas de solución para implementar la
función de recuperación propuesta sería la siguiente:
2 De $2,000 a $7,000
3 De $7,000 a $12,000
4 De $12,000 a más
Estimación del tiempo en base al MTPD de la tabla 36. Matriz de niveles de servicio de TI.
Siempre y cuando el tiempo de recuperación ofrecido por la alternativa de solución sea menor
entonces se dirá que la alternativa de solución cumple.
Decisión:
Se proponen las siguientes alternativas de solución para las estrategias antes mencionadas.
b) Instalaciones. Los usuarios deberán contar con la conexión a internet y otros requerimientos
para trabajos fuera de la organización.
La alternativa debe contar con la capacidad suficiente para la conexión de sus usuarios
externos.
conversan entre sí. Para esto se configura el switch core con las VLAN de cada una de
sus puertas de enlace y así lograr la comunicación entre redes.
c) Procesos. Establecer un nuevo proceso en el cual como medida de continuidad se utilice una
conexión VPN para luego conectarse de forma remota a las estaciones de trabajo de áreas de
la Institución Estatal.
a) Habilidades y conocimientos.
b) Tecnología.
d) Proveedores.
Proveer del licenciamiento necesario del software Factory Talk SE Client, así como el
soporte, instalación, implementación y puesta en marcha del mismo.
257
1) RT -07: Paralización de sistema ERP SAP de hechos vitales por falla en el servidor
principal debido a la falta de mantenimiento Preventivo.
Se debe realizar las siguientes acciones inmediatas si ocurre un incidente respecto a la falla en
el servidor principal que almacena los datos de todo el personal de la Institución Estatal.
Servidor físico anfitrión. Sera el encargado de brindar alojamiento del servidor virtual
que brindará continuidad al servicio ERP SAP en caso el equipo principal falle. Los
requerimientos de hardware de un servidor virtual se basan en la capacidad de
procesamiento y memoria necesario para su óptimo funcionamiento. Para ello deberá
contar con lo siguiente tomando como referencia la actual instalación de servidor físico
principal:
- Procesador: 2v CPU
- Procesador: 2v CPU
c) Datos. Los datos serán importados y sincronizados desde el servidor de base de datos
del sistema ERP SAP de hechos vitales. Los datos se replicarán de un servidor principal a
uno secundario de backup. Se utilizará el método de “Publicación transaccional” en la que el
servidor principal tomará el rol de publicador y el secundario tendrá el rol de distribuidor y
suscriptor. Esta replicación se deberá programar para que sea ejecutada a diario cada 10
minutos o un tiempo menor al RPO del servicio.
e) Proveedores.
Brindar las facilidades para la adquisición de las recomendaciones dentro de los plazos
establecidos en la cotización.
La alta dirección opto por la alternativa de solución A12 debido a que es menos compleja y
costosa, y además pronto la organización realizara la migración a la plataforma Dynamics 365.
Como resultado de logro para el cuarto objetivo específico, se evaluó la matriz de alternativas
de solución y se realizó un comparativo del punto 4.4.1 y las acciones a considerar en las
alternativas de solución del punto 4.4.2. De ellas se desprende el nivel de inversión requerida
por cada alternativa de solución y los niveles de tiempo de implementación de cada uno.
Se observa según la tabla 49, que las alternativas de solución propuestas tienen un corto plazo
de implementación.
Una entidad y/o Institución puede tener uno o muchos planes de continuidad según sea su
transcendencia. Cada uno de ellos debe tener la suficiente información y el detalle requerido
para la recuperación y continuidad del proceso y servicio. Los planes deben ser concisos y
accesibles por quienes tienes roles y responsabilidades definidas dentro del plan. Los elementos
del plan se describen a continuación.
En esta etapa del proyecto tiene como propósito desarrollar un plan que permita la continuidad
Operativo de los procesos críticos de la Institución Estatal desarrollando alternativas de
solución para los escenarios de amenazas identificados y evaluados, y así evitar o mitigar
263
4.6.3.- Alcance
Este plan aplica para los procesos y servicios de TI críticos en el área de archivo de la
institución Estatal y de conocimiento de todo el personal que labore en una entidad estatal con
la finalidad de garantizar la continuidad operativo para el proceso en el área de archivo en caso
estos sufran un evento que afecte su normal operatividad.
El coordinador de TI deberá asignar un personal titular y uno alterno como responsable de cada
equipo anteriormente detallado en la Figura 21. Asimismo, los responsables de cada equipo
deberán mantener siempre operativo el equipo móvil asignado por la institución al igual que la
disponibilidad a los correos electrónicos. La relación del personal debe ser actualizada de forma
permanente y compartida con el personal involucrado. Para tal efecto se ha dispuesto un
directorio con la información y disponibilidad de cada uno de los integrantes del comité de
continuidad.
Cada uno de los integrantes del comité de continuidad tienen roles y responsabilidad
específicos para desarrollar el Plan de Continuidad Operativo para el proceso y servicio de TI
en el área de archivo. A continuación, se describe cada uno de ellos.
1. Coordinador de Continuidad
- Mantener informados a los integrantes de los equipos del comité de continuidad acerca
del evento de inicio del incidente o crisis, desarrollo y recuperación, así como los
posibles eventos inesperados durante la ejecución del plan.
2. Equipo de Prevención
Administrador de TI
3. Equipo de Emergencia
Es el equipo encargado de ejecutar las acciones necesarias durante la incidencia con la finalidad
de mitigar el impacto del riesgo que ejerzan sobre los procesos y servicios críticos de TI en el
área de archivos. El responsable del Equipo de Emergencia es el Administrador de TI.
Administrador de TI
- Solicitar los registros (logs) de los equipos y/o recursos de los sistemas de información
involucrados.
- Notificar al Responsable del Equipo de Emergencia las acciones ejecutadas para los
casos críticos registrados.
- Realizar una evaluación del estado actual de los equipos informáticos afectados
Técnico de Soporte TI
- Notificar los casos críticos al Supervisor de Soporte Técnico que afecten a los recursos
informáticos evaluados
- Realizar una evaluación del estado actual de las condiciones de los datos e información
ubicada en los equipos de bases de datos
4. Equipo de Restauración
269
- Realizar un informe de las acciones realizadas para recuperar los equipos de red e
infraestructura del centro de datos.
Administrador de TI
Técnico de Soporte TI
- Iniciar con la restauración de las copias de respaldo de las bases de datos en caso sea
requerido
- Elaborar un informe de evaluación del estado de las bases de datos luego de las acciones
de recuperación
271
Para contar con un plan de invocación efectivo, este debe ser rápidamente implementado y su
funcionamiento debe darse en las primeras horas de la interrupción. Los pasos para determinar
si se necesita activar el plan son los siguientes:
A. Paso 1: Notificación
El personal de la institución que hace uso de los procesos y servicios de TI son los encargados
de identificar y reportar los incidentes de interrupción a través de los medios de comunicación
como una llamada telefónica, correo, radio o mensaje de texto, o también de forma presencial
al equipo de emergencia. Es decir, se evaluarán el incidente y brindar las indicaciones
respectivas para su solución. En caso de no poder solucionarlo se ejecutará el plan de
invocación notificando al coordinador de continuidad. Este informara a la alta dirección sobre
la actual situación y a los otros miembros del comité de continuidad.
B. Paso 2: Evaluación
C. Paso 3: Anticipación
Una vez declarado el plan de invocación se deben definir las actividades a realizar. La
información de la activación del plan de invocación debe ser compartida con el personal de la
institución.
de un proceso y servicio de TI
Coordinador de continuidad:
- Distribuir los planes de continuidad de cada servicio de TI entre todos los miembros
del comité de continuidad.
Equipo de continuidad:
Coordinador de continuidad:
- Se notifica a los integrantes de la alta dirección los cuales deciden si se activa el plan
de continuidad, en caso de que ninguno de los integrantes está disponible, la
responsabilidad de la toma de decisión correspondería al Coordinador General.
Equipo de continuidad:
Coordinador continuidad:
- Declarar el cierre del plan de continuidad y notificar a los integrantes del comité de
continuidad y la alta dirección, así como al responsable de cada servicio de TI.
Equipo de continuidad:
El propósito que se cumple en este punto es brindar un conjunto de actividades que le permitan
a la institución a realizar la capacitación y entrenamiento de su personal frente a diversos
eventos que afecten la continuidad de los procesos y servicios de TI en el área de archivos.
Según se describe en la norma ISO 27031 (2011): “Se debe implementar un programa
coordinado para asegurar que los procesos estén en su lugar para promover regularmente la
conciencia
Para la efectividad del entrenamiento y capacitación del personal se deberán definir roles:
275
Las competencias del instructor deberán estar relacionadas al conocimiento del caso y su
desenvolvimiento, entre las principales están:
El plan de continuidad operativa para los proceso y servicio crítico TI en el área de archivo de
la Oficina de Sistemas juega un rol muy importante para la Institución Estatal debido a que
permite brindar recursos para los procesos críticos y así evitando interrupciones.
Por ende, no se puede esperar a la ocurrencia de un evento que interrumpa los servicios sino
más bien debe efectuarse las pruebas con anticipación. Según lo señala (Alexander., 2007, pág.
2007) en su artículo, las pruebas “son el único medio para demostrar que se tiene un plan de
reanudación de operaciones listo para funcionar en cualquier momento. Por consiguiente, el
objetivo de este plan de pruebas es validar el cumplimiento de los objetivos específicos, debido
a que está íntimamente relacionado al éxito de este proyecto.
288
Fases:
El motivo por el cual se ha escogido este tipo de prueba, es porque la Institución Estatal
hasta el momento nunca ha efectuado una prueba completa de un escenario real debido
289
- Alta Dirección
- Gerencia General
Plan de Mejoras del Diseño de SGCN: En esta fase, la cual realimenta a la fase de
Plan de Pruebas ya que puede ser usado como un ciclo de mejora continua para las
pruebas y validación, se proponen mejoras respecto a los objetivos específicos
analizados (de aplicarse).
Estos indicadores serán aplicados para medir la efectividad de cada uno de los indicadores de
logro detallados en el CAPÍTULO 1 del presente trabajo, a efectos de validar su desarrollo,
cumplimiento y efectividad. A continuación, podremos observar a detalle en la siguiente tabla
los objetivos y su respectivo indicador de éxito, los cuales se presentan a continuación:
291
De este modo, con el objetivo de poder evaluar la planificación realizada, se vio necesario la
identificación de cinco indicadores que ayuden a evaluar el cumplimiento de las políticas y
controles definidos, tales como las siguientes:
293
En los indicadores detallados en la tabla anterior contará con los siguientes elementos en su
descripción:
- Frecuencia: Con qué frecuencia se deben recopilar e informar los datos obtenidos.
295
Es importante definir este tipo de medidas a fin que se puedan recopilar los datos y utilizarlos
para múltiples propósitos. Estos mismos datos podrían respaldar una variedad de medidas que
pueden responder a las necesidades de información de las diferentes partes interesadas de la
organización.
Para demostrar los resultados y validaciones de los objetivos específicos se procedió a realizar
una evaluación de encuesta virtual que podremos visualizarlo en el anexo posterior. Dicha
encuesta consistió en un conjunto de preguntas, que nos permite medir opiniones y el estado
básico de un Plan de continuidad Operativa para los procesos del área de archivo, con la
finalidad de corroborar el estado de la continuidad Operativa.
Objetivo:
Desarrollar pruebas que permitan demostrar la validez del desarrollo del modelo para gestionar
las incidencias y problemas del área TI propuesto para la Institución del área de archivo de la
oficina de sistemas para la Institución Estatal
Alcance:
Procedimientos:
Fase de Planificación:
296
En esta fase se debe someter a una evaluación a tus sistemas e infraestructura. Tu plan de
continuidad operativa siempre dependerá de los niveles críticos y en similar medida; del
modelo de infraestructura con la que cuentas. Este diagnóstico te indicará la etapa y las medidas
correctivas a tomar para corregir para darle paso a la implementación del Plan de Continuidad
Operativa bajo estándares ISO 27031:2011.
La institución Estatal debe determinar sus requisitos para el plan de continuidad operativa y la
continuidad de la gestión de continuidad de negocio en situaciones adversas, por ejemplos,
durante una crisis o desastre.
Se revisan los resultados obtenidos de las pruebas realizadas, validando con los indicadores de
logro y los objetivos trazados.
- Coordinador de Continuidad
- Administrador de TI.
Restricciones de la prueba
En esta sección deberían anticiparse las restricciones que afectan al proceso de pruebas como
la escasez de personal
Para la prueba se asignan los roles del análisis BIA y Responsabilidades BIA.
Encuesta
La encuesta se realizará a través de forma física y por correo de la institución. Esta encuesta ha
sido realizada en base a las consultas hechas en las entrevistas realizadas en el Análisis BIA
del presente trabajo.
En esta fase se ejecutará cada actividad detallada en el documento de Plan de Pruebas P-OE1-
01.
302
Actividad 1: Envío de encuesta a una muestra del personal del área de archivo de la
oficina de sistemas para la institución en forma física y/o por correo interno de la
institución Estatal.
La siguiente figura muestra las vistas de la encuesta enviada. El universo a una muestra
de personal del área de archivo de la oficina de sistemas para la institución en forma
física y/o correo interno de la institución personas de todas las áreas de la institución.
Luego de finalizada la encuesta a una muestra de personas de la muestra, la cual arroja los
siguientes resultados.
En la figura 23, se determina que el 100% de los encuestados conocen los procesos que rigen
las operaciones del área de archivos de la oficina de sistemas para la institución.
305
En la figura 24, se determina que para las encuestas los 3 procesos críticos más importantes
para la empresa son: Desarrollar estrategia de producción de los procesos en el área de archivo
de la oficina de sistemas, Gestionar y mantener los activos productivos de los procesos,
Aprovisionar suministro, repuesto y equipos de servicios.
De la figura 25, se determina que las 3 áreas más importantes que brinda apoyo son: Logística,
Tecnologías de la información y Operaciones.
De la figura 27, se observa que previo al proyecto se determina que el 80% de la muestra del
personal no conoce cómo se protegen los recursos que se utilizan para mitigar los escenarios
de desastre.
307
De la figura 27, se determina que el 100% de la muestra de personal tiene conocimiento de que
procedimientos seguir en caso no cuenta con el servicio de TI para realizar su proceso.
De la figura 28, se determina que el 100% de una muestra del personal encuestado conoce el
tiempo en el que deberían retomarse las actividades de su proceso en caso ocurra una
emergencia o escenario de desastre.
De la figura 30, los encuestados de una muestra del personal del área de archivo opinan que el
tiempo de restauración de los servicios de TI para retomar sus actividades es, en su mayoría,
de 6 horas que representan el 67% del total de encuestados. En segundo lugar, consideran que
12 horas debería ser el tiempo de restauración, este número representa el 13% del total.
En esta fase de evaluación podemos concluir que las entrevistas realizadas en el proceso de
solución de la propuesta a los responsables de cada proceso confirman lo obtenido en los
resultados de las encuestas a una muestra de 15 personas de la población total de colaboradores
de la Institución Estatal. Todos los resultados obtenidos confirman el correcto desarrollo de la
solución propuesta en el análisis BIA y la identificación correcta de los procesos críticos a
tratar.
Debido a que el trabajo no incluye la implementación del SGCN, sino su diseño, no se incluye
mejoras de implementación. Sin embargo, dentro de las pruebas de encuesta realizadas,
mientras la institución no decida implementar el SGCN,
310
métrica asociada.
Previo al Plan de Pruebas ejecutado el comité de continuidad procederá un análisis de las causas
que generan la activación de los escenarios de amenazas con nivel de riesgo “Alto”. Para la
prueba se asume la activación del escenario de amenaza descrito como declaración de riesgo.
Para obtener los análisis de riesgos se va a realizar un análisis retrospectivo para identificar si
realmente son riesgos altos críticos para la el área de archivo de la Institución Estatal. Además,
dar inicio a la validación si realmente esos riesgos altos que se han identificados son reales o
no y si es que realmente el nivel de ponderación que se ha colocado. Por lo tanto, se va validar
las amenazas y vulnerabilidades a través de una especie de auditoria interna en la cual se va ser
requerimientos en los siguientes detalles:
- Realizar entrevista con las personas que están relacionados con riesgos altos que se han
identificados.
Para identificar y conocer más sobre los riesgos de las amenazas y vulnerabilidades se toma en
consideración lo siguiente:
313
En esta fase se ejecutará cada actividad detallada en el documento de Plan de Pruebas P-OE-
01.
En la siguiente tabla muestra la declaración del riesgo y el escenario de amenaza con el cual se
Para que esta actividad se lleve a realizar se hará uso del diagrama causa-efecto a través de una
tabla. Esta tabla nos ayudara a conocer las causas que han originado la activación de amenaza
que han originado la activación del escenario de amenaza que ha ocasionado el servicio de
conexión remota.
317
Actividad 4. Realizar comparación del resultado de las encuestas con análisis de riesgo
propuesto y se valida si se ha llegado al mismo resultado en el presente trabajo
En esta fase de evaluación logramos concluir que la matriz de análisis y evaluación de riesgos
propuesto en el proyecto muestra con efectividad los escenarios de amenaza identificados en
base a el análisis de las amenazas y vulnerabilidades recopiladas durante el proceso de
investigación y levantamiento de información del presente trabajo.
318
En el análisis en retrospectiva nos ayudó a poder revisar los controles existentes y observar
desde otra perspectiva los elementos de un análisis de riesgos. En consecuencia, como resultado
del análisis de riesgos se debe comprobar la efectividad de los controles existentes, con esto
aseguramos una mejor lectura de los niveles de riesgo de los escenarios de amenaza.
En la siguiente tabla se describen los objetivos, así como sus indicadores de logro y las métricas
asociadas.
Para el caso del plan de pruebas con código P-OE3-01, la información confidencial solicitada
deberá ser aprobada por la gerencia general junto con la firma de la carta de confidencialidad.
Después de saber cuáles son los servicios TI de la institución, se identifican riesgos y amenazas
a los que la institución se enfrenta. Es por eso, se debe determinar estrategias de continuidad
que se usarán para poder tener un mejor control de los riesgos cuyo valor exceda el máximo
tolerable por la Institución Estatal.
En esta prueba se llevará a cabo conectando el servicio de VPN Azure Client con una cuenta
de prueba asociada al Active Directory de la institución Estatal. A partir de esta actividad se
procederá a analizar los niveles de servicio.
- El encargado muestra que proceda con la activación del plan de continuidad VPN (8:32
a. m.).
- A las 10:30 a. m., la gerencia de Planta Lima brinda conformidad para que proceda la
activación del servidor de contingencia del plan de continuidad del servicio del area de
archivo.
En este caso de la prueba P-OE3-02, se puede dar a relucir que los tiempos de recuperación
antes considerados para el servicio del sistema del área de archivo era de 4 horas, sin embargo,
luego de la prueba se ha concluido que en ese mismo escenario el tiempo de recuperación sería
de 2 horas. Por lo tanto, como resultado de las pruebas se logra demostrar la eficacia de la
propuesta de alternativa de solución brindada.
329
Para el caso de la prueba P-OE3-02, como opción de mejora luego de haber realizado
la prueba se propone que el cambio de sistema de control de proceso sea de forma
automática en vez de ser manual, como se ha establecido en la alternativa de solución.
Con esto se obtiene una mayor disponibilidad y un tiempo de recuperación menor al
establecido
330
En la siguiente tabla se describen los objetivos, así como sus indicadores de logro y las métricas
asociadas.
En esta fase el comité procederá a realizar el análisis de los niveles de inversión de las
alternativas de solución en base a cotizaciones obtenidas por parte de los proveedores y pruebas
de escritorio para validar la información de tiempos de implementación de las alternativas de
solución que figuran en las cotizaciones.
Se tomará como muestra las estrategias y alternativas de solución con escenarios de amenaza
con nivel de riesgo “Alto”.
331
La efectividad que se busca está en base a la incorporación de una alternativa de solución que
brinde continuidad dentro de los tiempos establecido para cada proceso.
De esta manera según la cotización de costo mensual por el servicio de Azure VPN es de $
1700. Obteniendo como calculo final de la solución es anual debido al presupuesto otorgado
por la Alta dirección al gasto de los servicios de TI para el área de archivo.
- Se revisó el nivel de inversión y los beneficios de estos para la continuidad del servicio
de conexión remota VPN.
- Se validaron las actividades por parte del proveedor acerca del tiempo de
implementación requerido para la solución.
Se plantea como plan de mejoras realizar pruebas en alto tráfico de usuarios conectados a través
de la red e internet y confirmar si existe latencia en sus conexiones. En caso se requiera es
posible realizar el incremento del ancho de banda de la alternativa propuesta ya que la solución
contempla posibles modificaciones en su configuración con variación en el nivel de inversión.
337
En esta fase se realizará una prueba total o completa para la elaboración del plan de continuidad
operativa para los procesos y servicios críticos de TI. Luego se da por concluido todo el trabajo
mediante actividades.
1. Análisis de riesgo
En esta parte se tomó como referencia la norma ISO 27005:2018 reducirá el riesgo de brecha
en la seguridad informática, ya que ambos proponen una metodología para una buena gestión
de riesgos.
Aparte de los servicios básicos, existen servicios críticos que generan valor al área archivo de
la oficina de sistemas y no pueden parar de funcionar y deben de seguir con su operación. Los
servicios principales se identifican analizando el impacto al negocio.
Como se detalla en la tabla anterior se muestran distintos escenarios amenazas, pero sólo se
tomaron dos escenarios (RT 03, y RT 11) que son los más comunes que suceden en la institución
en un evento real.
Para Finalizar con un buen análisis de riesgo, se debe realizar un informe donde reducir todo lo
realizado para tener un registro documentado, el informe debe contener como mínimo los servicios
357
En el Análisis de Impacto al Negocio (BIA), se tomó como referencia la norma ISO 22317:2015,
ya que plantea una metodología para una buena gestión de impacto al negocio y nos establece
niveles de servicios (MTPD, RTO, RPO y WRT) que serían los tiempos de recuperación
aceptables para los servicios críticos de TI. El método que se propuso es el siguiente:
En esta etapa, se debe listar los procesos más relevantes del área de archivo de la oficina de
sistemas, cabe recalcar que de toda la lista que se aprecia en la siguiente tabla se identificará sólo
lo más críticos junto a sus servicios de TI.
358
Aplicación de la Metodología:
- Tal como se aprecia en la Tabla 91 los servicios críticos con mayor prioridad de
recuperación son aquellos que soportan en el área de archivo a los procesos de producción
en los procesos de registros e identificación y Evaluación Profesional de ascenso del
personal de la Institución Estatal.
Impacto operacional:
Impacto Económico:
Luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo tolerable para
los servicios de TI de los procesos críticos en el área de archivos.
364
12%
4%
BAJO
MEDIO
20% SEVERO
64% MODERADO
Para concluir con un buen análisis de impacto al negocio, se debe elaborar un informe donde
resuma todo lo realizado para tener un registro documentado, el informe debe contener como
mínimo los servicios críticos de TI, los impactos organizacionales (económico y operacional), Los
niveles de servicio; es decir los tiempos de recuperación, estadísticas, recursos y registros vitales
del área de archivo de la oficina de sistemas.
Luego de identificar los escenarios de amenazas y los impactos del negocio con sus tiempos de
recuperación, se debe de elaborar estrategias y alternativas de solución para los principales
procesos y servicios de TI para que estos no tengan interrupción en continúen funcionando. A
367
En este caso la alternativa debe contar con la capacidad suficiente al personal involucrado para la
conexión de sus usuarios externos.
- Servicio VPN: Servicio en marcha dentro de los servicios que brinda la Institución
Estatal y el área de Soporte de TI de la Oficina de Sistemas.
c) Procesos. Proponer un nuevo proceso en el cual como medida de continuidad se utilice una
conexión VPN para luego conectarse de forma remota a las estaciones de trabajo de áreas
de la Institución Estatal.
369
a) Experiencias y conocimientos.
- Contar con el personal de mantenimiento delegado para ejecutar y llevar a cabo el plan
de continuidad durante las 24 horas en los 3 diferentes turnos.
b) Tecnología.
Estación de trabajo. La solución plantea tener una estación configurada de respaldo ante
una casual falla de hardware en el equipo.
d) Proveedores.
La decisión se efectuó en base a la facilidad en el cambio del equipo de respaldo en vez de cambiar
de estación de trabajo y conectarse a un equipo virtual.
Se debe realizar las siguientes acciones inmediatas si ocurre un incidente respecto a la falla
en el servidor principal que almacena los datos de todo el personal de la Institución Estatal.
Servidor físico. Sera el delegado de brindar alojamiento del servidor virtual que brindará
continuidad al servicio ERP SAP en caso el equipo principal falle. Se recomienda el siguiente
producto.
c) Datos. Los datos serán importados y sincronizados desde el servidor de base de datos del
sistema ERP SAP de hechos vitales. Los datos se replicarán de un servidor principal a uno
secundario de backup.
La alta dirección selecciono por la alternativa de solución A10 debido a que es menos compleja
y costosa, y además pronto la institución realizara la migración a la plataforma 365.
5) RT 03: Paralización de los servicios de los procesos en el área de archivo como en los
(registros, identificación y evaluación profesional del personal de la institución) debido a
la alta probabilidad debido a la perdida de acceso a sistema de del área de archivo por falla
en disco duro virtual.
Alternativa de solución: A1 y A2
b) Tecnología. Con el fin de garantizar la integridad de los equipos del centro de datos y
continuidad de los servicios de TI que estos soportan se propone adquirir lo siguiente:
En esta fase de evaluación cabe resaltar, en el presente proyecto, se enfoca mayormente en las
mediciones de tiempo, debido a que en el objetivo específicos V se establecieron tiempos
correctos que son tolerables por el área de área de archivo de la oficina de sistemas para
permanecer con los servicios críticos de TI. Así mismo como resultado se realizó un plan de
continuidad operativa de acuerdo sólo a los escenarios establecidos, este plan se puede aplicar
para para cualquier institución estatal o privada con el fin de mantener la continuidad en sus
operaciones y mitigar las posibles interrupciones que podrían ocurrir.
Acciones correctivas
El área de archivo de la oficina de sistemas debe considerar las acciones correctivas ante
algún incidente o falla en los servicios críticos de TI y los demás recursos del ATCN
378
b. Identificación de las causas de las fallas e incidencias en los procesos del área de
archivos y de los servicios críticos de TI.
Acciones preventivas
El área de archivos de la oficina de sistemas debe reducir las posibles debilidades de los
elementos la ATCN (Adecuación de TIC para la Continuidad de Negocio) y determinar
actividades documentadas para lo siguiente:
a. Identificación de las posibles fallas e incidentes en los procesos del área de archivos
y de los servicios críticos de TI.
b. Identificación de las causas de las fallas e incidencias en los procesos del área de
archivos y de los servicios críticos de TI.
6 CONCLUSIONES Y RECOMENDACIONES:
6.1 Conclusiones:
A continuación, se muestran las conclusiones a las que se han llegado luego del trabajo
realizado.
Luego de realizar las pruebas y validaciones se obtiene que el Diseño de un Plan de continuidad
operativo para procesos del área de archivos se pudo establecer acciones y controles para su
recuperación ante la presencia de amenazas y vulnerabilidades a través de la estrategia y
alternativa de solución capaces de mitigar los escenarios de amenazas identificados en el
proyecto dentro de los tiempos establecidos.
1. Con la elaboración del análisis de Impacto al negocio (BIA), nos permitió identificar
los procesos que son críticos para los objetivos del negocio y los impactos que
acarrearía su interrupción parcial o definitiva. Por ejemplo, se identificó que el área de
archivo de la oficina de sistemas no cuenta con una matriz actualizada de los impactos
organizacionales y de los niveles de servicio. Por lo tanto, esto hace parte importante al
plan de continuidad operativa porque podemos contar con métodos cuantificables y no
cuantificables para el impacto económico y operacional de la institución Estatal,
además al contar con los tiempos de recuperación u su priorización con una serie de
componentes establecidos actualizados, se podrá restaurar procesos y los servicios de
TI del área de archivo de la Oficina de sistemas en tiempos tolerables según el impacto
de la magnitud de la eventualidad o desastres no previstos. En conclusión, podemos
decir que el BIA reduce significativamente el impacto disponiendo más recursos a los
procesos vitales para la continuidad operativo de la institución.
5. Se demuestra que el diseño de un plan de continuidad operativa para el proceso del área
de archivo de la oficina sistemas, ha creado una mejora en la efectividad de sus
actividades de continuidad al negocio. Con estos procedimientos se irá mejorando cada
vez que se implementen las acciones de mejora definidas dentro del plan de mejora
continua.
6.2 Recomendaciones
7 REFERENCIAS:
ANEXOS:
4.2.2 Alcance El alcance de este análisis de impacto al negocio es para los servicios de TI
del programa relacionados al proceso o procesos más críticos de la institución.
4.3 Roles del programa
4.3.2 Roles BIA
Observaciones:
6. Recursos
Recursos mínimos para que pueda operar el proceso de la entidad en caso suceda algún evento.
Colaboradores
Computadoras de
escritorio.
Teléfonos celulares
Software
Terceros o
proveedores
Sitio alternativos
Trabajos Manuales
Describir si habría algún método de respaldo o alterno para poder llevar a cabo este proceso y
que cantidad de tiempo sería capaz de operar.
Nombres y Apellidos:
DNI Nº:
387
3.-MATRIZ DE RIESGOS
El análisis y evaluación de riesgos muestra la concentración de amenazas. Del análisis del
grafico se puede concluir que el 19% y 31% de amenazas tiene una ponderación alta y media
según corresponda. Este será el foco de trabajo para poder proponer estrategias de
recuperación para la continuidad de los procesos y servicios críticos para la oficina de
Sistemas.
*Obligatorio
1. ¿Conoce usted los procesos que rigen las operaciones realizadas en el área de archivos de la
oficina de sistemas para la institución Estatal?
Si
No
2. Dentro de su experiencia ¿Cuáles de estos procesos usted consideraría críticos para la operación
en el área de archivos de la oficina de sistemas para la institución Estatal? (Elija 3 opciones)
4. ¿Conoce usted cuales son los servicios de TI con los que cuenta el área de archivo de la Oficina
de Sistemas?
Si
No
5. ¿Conoce usted los servicios de TI en el área de archivo que apoyan directamente a su área de
gestión?
Si
No
8. ¿Conoce usted las áreas que deben brindar estos servicios de TI?
Si
No
10. ¿Conoce usted como se protegen estos recursos ante algún escenario de desastre?
Si
No
11. ¿Sabe usted como continuar su trabajo si no cuenta con el servicio de TI para su proceso?
Si
No
12. ¿Sabe usted cuanto es el tiempo máximo que puede detenerse su proceso en caso exista algún
escenario de desastre?
Si
No
404
13.Ingrese el tiempo que usted crea conveniente según su experiencia para retomar actividades
luego de la ocurrencia de una emergencia