Está en la página 1de 359

Diseño de un Plan de Continuidad Operativa para el proceso

del Área de archivo de la oficina de Sistemas para una


institución estatal, con base a la norma ISO/IEC 27031/2011

Item Type info:eu-repo/semantics/bachelorThesis

Authors Mancha Espinoza, Estefhany

Publisher Universidad Peruana de Ciencias Aplicadas (UPC)

Rights info:eu-repo/semantics/openAccess; Attribution-


NonCommercial-ShareAlike 4.0 International

Download date 31/07/2023 16:00:39

Item License http://creativecommons.org/licenses/by-nc-sa/4.0/

Link to Item http://hdl.handle.net/10757/659955


UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

FACULTAD DE INGENIERIA

PROGRAMA ACADÉMICO DE INGENIERÍA DE REDES Y

COMUNICACIONES

Diseño de un Plan de Continuidad Operativa para el proceso del Área de archivo

de la oficina de Sistemas para una institución estatal, con base a la norma

ISO/IEC 27031/2011.

TESIS

Para optar el título profesional de Ingeniero de Redes y Comunicaciones

AUTOR(ES)

Mancha Espinoza, Estefhany (código 0000-0001-7563-4372)

ASESOR

Seminario García, Hernán (código 0000-0001-6971-355x)

Lima, 26 de febrero del 2022


II

DEDICATORIA

La presente tesis se lo dedico a mi familia con mucho cariño y amor, en especial a mi querida
madre por su perseverancia, por ser un gran ejemplo en mi vida a mejorar cada día para
conseguir cada uno de los objetivos y metas trazadas.

A mi compañero de vida por estar siempre presente y brindarme su apoyo moral.

A Dios que guía mi camino, para el todo mi esfuerzo y dedicación.


III

AGRADECIMIENTOS

A mis padres, familiares y compañero de vida que me ofrecieron su apoyo moralmente, para
seguir estudiando y lograr los objetivos trazados. Los esfuerzos mayores son las actitudes de
una persona que emplea un gran compromiso y determinación obtener algo. Asimismo, siempre
están acompañados de apoyos irreemplazables para lograr concretarlos.

A la Universidad Peruana de Ciencias Aplicadas, especialmente a la facultad de Ingeniería de


Redes y Comunicación, por brindarme de conocimientos académicos.

Finalmente, agradecer al Ingeniero Hernán Seminario, por su apoyo durante el desarrollo de la


tesis.
IV

RESUMEN

El presente proyecto de tesis está relacionado al diseño de un plan de continuidad operativa


para el proceso del área de archivo de la oficina de sistemas para una Institución Estatal;
asimismo este plan será diseñado en base a los estándares, recomendaciones de las buenas
practicas que permita proponer actividades que aprueben su recuperación ante posibles
amenazas o desastres.

En primer lugar, se tuvo que realizar un análisis de nuestra problemática de los procesos que se
realizan en el área de archivo, para luego evaluar los servidores y servicios de TI. En segundo
lugar, se brindará de información acerca de conceptos sobre temas relacionados a la continuidad
de procesos en el área de archivo. En tercer lugar, se explicará la definición del problema de
los procesos críticos a través de la elaboración del análisis de impacto al negocio y su posterior
análisis de riesgos. En cuarto lugar, se desarrollará el diseño de la solución y se elaborará la
política de continuidad basados en estrategias de recuperación y alternativas de solución.
Finalmente, se efectuará un plan de pruebas, resultados y validaciones de pruebas para evitar
pérdidas con la información y que puedan afectar al área de archivo de la oficina de sistemas.

Palabras claves: Plan de continuidad Operativa, Análisis de Impacto al Negocio, Análisis de


Riesgo, Estrategia de Recuperación y Alternativas de Solución.
V

Design of an operational continuity plan for the file area process of the systems office for a
state institution based on the ISO / IEC 27031/2011 standard.

ABSTRACT

This thesis project is related to the design of an operational continuity plan for the process of
the file area of the systems office for a State Institution; Likewise, this plan will be designed
based on the standards, recommendations of good practices that allow proposing activities that
approve its recovery in the face of possible threats or disasters.

In the first place, an analysis of our problems of the processes that are carried out in the file
area had to be carried out, in order to later evaluate the servers and IT services. Second,
information will be provided about concepts on issues related to the continuity of processes in
the file area. Thirdly, the definition of the problem of the critical processes will be explained
through the elaboration of the business impact analysis and its subsequent risk analysis. Fourth,
the design of the solution will be developed and the continuity policy based on recovery
strategies and solution alternatives will be elaborated. Finally, a plan of tests, results and test
validations will be carried out to avoid losses with the information and that may affect the file
area of the systems office.

Keywords: Operational Continuity Plan, Business Impact Analysis, Risk Analysis, Recovery
Strategy and Solution Alternatives.
VI

TABLA DE CONTENIDOS

1 CAPITULO 1: ASPECTOS INTRODUCTORIOS ........................................................... 1

1.1- INTRODUCCIÓN ....................................................................................................................................... 1


1.2 ORGANIZACIÓN OBJETIVO .................................................................................................................... 2
1.2.1- Campo de acción ....................................................................................................... 3
1.3 IDENTIFICADOR DEL PROBLEMA .......................................................................................................... 6
1.3.1 Situación Problemática............................................................................................... 7
1.3.2 Problema a Resolver .................................................................................................. 9
1.4 OBJETIVOS GENERAL Y OBJETIVOS ESPECÍFICOS ........................................................................... 9
1.4.1.- Objetivo General ...................................................................................................... 9
1.4.2.- Objetivos Específicos .............................................................................................. 9
1.4.3- Indicadores de Logro de los Objetivos ................................................................... 10
1.5.- JUSTIFICACIÓN DEL PROYECTO ....................................................................................................... 12
1.6.- ESTADO DEL ARTE: ............................................................................................................................ 12
1.6.1 Antecedentes de la continuidad del negocio ............................................................ 12
1.6.2.- Antecedente del Sistema de Continuidad de Negocio: .......................................... 13

2 CAPITULO 2: MARCO TEORICO ................................................................................. 39

2.2.- ISO 27031: GESTIÓN DE CONTINUIDAD DE NEGOCIO............................................................... 40


2.4.- NORMA ISO/IEC 22317................................................................................................................. 44
2.5 ANÁLISIS DE IMPACTO DE NEGOCIO (BIA): ................................................................................... 46
2.5.1 Objetivo de un Análisis de Impacto de Negocio (BIA): .......................................... 46
2.5.2 Metodología ............................................................................................................. 46
2.6.- METODOLOGÍA SCRUM ..................................................................................................................... 51

3 CAPITULO 3: ANALISIS DEL PROBLEMA ............................................................... 55

3.1.- ALCANCE .............................................................................................................................................. 55


3.2.- SITUACIÓN ACTUAL:.......................................................................................................................... 56
3.3.- IMPACTO DEL PROBLEMA EN LA INSTITUCIÓN ESTATAL .......................................................... 57
3.3.1.- Impacto Tecnológico ............................................................................................. 58
3.4.- CAUSAS ORIGEN DEL PROBLEMA ................................................................................................... 61
VII

3.5.- CONSECUENCIA DEL PROBLEMA ..................................................................................................... 63


3.6.- SOLUCIÓN AL PROBLEMA: ................................................................................................................ 64
3.7.- PROPUESTAS DE SOLUCIÓN: ............................................................................................................ 64
3.8.- REGISTROS DE INTERESADOS........................................................................................................... 66
3.9.- Cronograma - EDT .................................................................................................. 69
3.10.- EDT - MATRIZ DE REQUERIMIENTO PARA EL DISEÑO DE UN PLAN DE CONTINUIDAD
OPERATIVA .................................................................................................................................................... 72
3.11.- ANÁLISIS DE PROYECTO BIA......................................................................................................... 72
3.12.- ANÁLISIS DE IMPACTO DE NEGOCIO (BIA): .............................................................................. 73
3.13.- METODOLOGÍA .................................................................................................................................. 73
3.13.1.- Procedimiento de la Realización de las Acciones BIA: ..................................... 74
3.13.2.- Determinación de Procesos Críticos .................................................................. 101
3.13.3.- Determinación de los Servicios de TI en los Procesos de Ascensos y sus Recursos
Críticos en el Área de Archivo ............................................................................ 106
3.13.4.- Niveles de Servicio de los Procesos Críticos en el Área de Archivos ............... 108
3.13.5.- Informe del análisis BIA .................................................................................... 111
3.13.6.-Indicador de Logro OE1 ..................................................................................... 111
3.14.- ANÁLISIS DE RIESGO ..................................................................................................................... 114
3.14.1.- Metodología de Análisis y Tratamiento de Riesgos adaptado de ISO 27005: 2018
3.15 DESARROLLO DEL ANÁLISIS DE RIESGO ..................................................................................... 135
3.15.1.- Procesos y Servicios Críticos ............................................................................. 135
3.15.2.-Identificación de Amenazas ................................................................................ 136
3.15.3.- Análisis y Evaluación de Riesgos ...................................................................... 143
3.15.4.-Informe de análisis de riesgo .............................................................................. 160
3.15.5.- Indicador de Logro OE2 .................................................................................... 161
3.16.- MATRIZ DE REQUERIMIENTOS ..................................................................................................... 225

CAPITULO 4: ...................................................................................................................... 230

4.-DISEÑO DE LA SOLUCIÓN ......................................................................................... 230

4.1 INTRODUCCIÓN..................................................................................................................................... 230


4.2 POLÍTICA DE CONTINUIDAD DE NEGOCIO ..................................................................................... 231
4.3 EQUIPO DE TI PARA LA CONTINUIDAD EN LOS SERVICIOS CRÍTICOS DE TI .......................... 232
4.3.1 Estructura del Equipo de TI ................................................................................... 232
VIII

4.3.2 Actividades del Equipo de TI (Antes, Durante y Después) ................................... 234


4.4 ESTRATEGIAS DE RECUPERACIÓN: .................................................................................................. 238
4.4.1 Estrategias de Recuperación para Escenarios de Amenaza ................................... 238
4.4.2 Indicador de Logro OE3......................................................................................... 244
4.5 ALTERNATIVAS DE SOLUCIÓN .......................................................................................................... 245
4.5.1.- Matriz de Alternativas de Solución ..................................................................... 248
4.5.2.- Acciones a Considerar de las Alternativas de Solución ...................................... 253
4.5.3.- Indicador de logro OE4........................................................................................ 259
4.6.- PROPUESTA DE DISEÑO DE PLAN DE CONTINUIDAD ................................................................ 262
4.6.1.- Diseño de la propuesta de un Plan de Continuidad ............................................. 262
4.6.2.- Objetivo del plan de continuidad ......................................................................... 262
4.6.3.- Alcance ................................................................................................................ 263
4.6.4.- Estructura organizacional para afrontar plan de continuidad operativa............... 263
4.6.5.- Roles y responsabilidades .................................................................................... 265
4.6.6.- Plan de invocación de la emergencia ................................................................... 271
4.6.7.- Actividades a realizar antes, durante y después de una emergencia o interrupción de
un proceso y servicio de TI ................................................................................. 271
4.6.9.- Capacitación y entrenamiento de personal .......................................................... 274

CAPITULO 5: ...................................................................................................................... 287

5.1.- FLUJO DE TRABAJO PARA LA EVALUACIÓN Y VALIDACIÓN .................................................. 288


5.1.1 Descripción de los métodos de validación a aplicar: ............................................. 289
5.1.2 Descripción y ejecución de pruebas a realizar: ...................................................... 295
5.2 FASE DEL DESARROLLO DE PRUEBAS: ........................................................................................... 297
5.2.1.- Plan de Prueba Objetivos Específicos 1: ............................................................. 297
5.2.2. Fase de Plan de Pruebas ........................................................................................ 298
5.2.3. Fase de preparación de las pruebas ....................................................................... 301
5.2.4. Fase de ejecución de pruebas ................................................................................ 301
5.2.5. Fase de Evaluación ................................................................................................ 309
5.2.6. Plan de mejora ....................................................................................................... 309
5.3.- PLAN DE PRUEBAS OBJETIVO ESPECIFICO 2 ............................................................................... 310
5.3.1 Fase de planeación de las pruebas .......................................................................... 311
5.3.2 Fase de Preparación de las pruebas ........................................................................ 315
5.3.3 Fase de ejecución de pruebas ................................................................................. 315
IX

5.3.4 Fase de Evaluación ................................................................................................. 317


5.3.5 Plan de mejora ........................................................................................................ 318
5.4 PLAN DE PRUEBA OBJETIVO ESPECIFICO 3 ................................................................................... 318
5.4.1 Fase de planeación de las pruebas .......................................................................... 319
5.4.2 Fase de Preparación de las pruebas ........................................................................ 324
5.4.3 Fase de ejecución de pruebas ................................................................................. 324
5.4.4 Fase de Evaluación ................................................................................................. 328
5.4.5 Plan de mejora ........................................................................................................ 329
5.5 PLAN DE PRUEBA OBJETIVO ESPECIFICO 4 ................................................................................... 330
5.5.1 Fase de planeación de las pruebas .......................................................................... 330
5.5.2 Fase de Preparación de las pruebas ........................................................................ 332
5.5.3 Fase de ejecución de pruebas ................................................................................. 333
5.5.4 Fase de Evaluación ................................................................................................. 336
5.5.5 Mejora Continua..................................................................................................... 336
5.6 PLAN DE PRUEBA OBJETIVO ESPECIFICO 5 ................................................................................... 337
6.5.1 Fase de planeación de las pruebas .......................................................................... 337
6.5.2 Fase de Preparación de las pruebas ........................................................................ 339
6.5.3 Fase de ejecución de pruebas ................................................................................. 340
6.5.4 Fase de Evaluación de los resultados .................................................................. 377
6.5.5 Plan de mejora ........................................................................................................ 377

6 CONCLUSIONES Y RECOMENDACIONES .............................................................. 379

6.1 CONCLUSIONES: ................................................................................................................................... 379


6.2 RECOMENDACIONES ........................................................................................................................... 380

7 REFERENCIAS ................................................................................................................ 382

ANEXOS: .............................................................................................................................. 383


X

ÍNDICE DE TABLAS

Tabla 1: Indicadores o mecanismo del logro de los Objetivos ................................................ 10


Tabla 2: Antecedente de la norma ISO/IEC 22301 .................................................................. 14
Tabla 3: Clausulas de las normas ISO 22301 ........................................................................... 18
Tabla 4: Normas relacionadas en la Implementación de la continuidad del negocio .............. 20
Tabla 5: Normas Técnicas ........................................................................................................ 21
Tabla 6: Instituciones Certificadoras relacionada con la Continuidad de Negocio ................. 21
Tabla 7: Empresas Certificadoras ............................................................................................ 28
Tabla 8: Planeación Estratégica ............................................................................................... 30
Tabla 9: Acciones BIA ............................................................................................................. 47
Tabla 10: Roles y Responsabilidades BIA ............................................................................... 48
Tabla 11: Niveles de proceso .................................................................................................. 50
Tabla 12: Registros de Interesados........................................................................................... 66
Tabla 13: Requisitos de las partes interesadas ......................................................................... 67
Tabla 14: Cronograma EDT ..................................................................................................... 69
Tabla 15:Acciones BIA ............................................................................................................ 73
Tabla 16: Roles y Responsabilidades BIA ............................................................................... 77
Tabla 17: Roles BIA ................................................................................................................. 78
Tabla 18: Niveles de proceso .................................................................................................. 81
Tabla 19: Funciones de Procesos del Área de Archivos de la Oficina de Sistemas ................ 83
Tabla 20: Criterios de evaluación de procesos ......................................................................... 89
Tabla 21: Matriz de determinación de procesos críticos y niveles de impacto ........................ 92
Tabla 22: Procesos Críticos ...................................................................................................... 95
Tabla 23: Recursos y registros vitales ...................................................................................... 96
Tabla 24: Matriz de niveles de servicios de TI y los procesos ................................................. 98
Tabla 25: Procesos de la Organización .................................................................................... 99
Tabla 26: Matriz de determinación de procesos críticos y niveles de impacto ...................... 102
XI

Tabla 27: Procesos Críticos .................................................................................................... 106


Tabla 28: Recursos y registros vitales .................................................................................... 107
Tabla 29: Matriz de niveles de Procesos de Servicios ........................................................... 108
Tabla 30:Fases de la Gestión de Riesgos ............................................................................... 116
Tabla 31: Categorías de activos de Información .................................................................... 119
Tabla 32:. Clasificación de activos de información ............................................................... 120
Tabla 33: Frecuencia de uso de activos de información ........................................................ 120
Tabla 34: Escala de Valor de activos ..................................................................................... 121
Tabla 35: Esquema de Valorización Final de Activos de Información. ................................. 122
Tabla 36: Tipos de Vulnerabilidades ..................................................................................... 126
Tabla 37: Tipos de Amenazas ................................................................................................ 128
Tabla 38:Probabilidad de Ocurrencia del riesgo .................................................................... 130
Tabla 39: Impactos en el riesgo.............................................................................................. 131
Tabla 40: Criterios de Valoración de la magnitud de riesgo .................................................. 134
Tabla 41: Matriz de riesgos .................................................................................................... 135
Tabla 42: Escala de valoración de los Procesos y Servicios críticos ..................................... 136
Tabla 43: Identificación de amenazas .................................................................................... 137
Tabla 44: Vulnerabilidad y Controles actuales ...................................................................... 140
Tabla 45: Análisis y Evaluación de Riesgos .......................................................................... 143
Tabla 46: Clasificación de Riesgos Críticos .......................................................................... 157
Tabla 47: Indicador de Logro 02 ........................................................................................... 161
Tabla 48: Matriz de requerimientos de objetivos específicos ................................................ 225
Tabla 49: Organigrama del Equipo de TI............................................................................... 233
Tabla 50: Equipo de TI para los servicios críticos de TI ....................................................... 234
Tabla 51: Matriz de estrategias de recuperación .................................................................... 239
Tabla 52: Indicador de logro OE3 .......................................................................................... 245
Tabla 53: Tiempo para la implementación de las alternativas de solución ............................ 246
Tabla 54: Niveles de costos para las alternativas de solución ................................................ 246
Tabla 55: Alternativas de Solución ........................................................................................ 248
Tabla 56: Indicador de logro OE4 .......................................................................................... 259
Tabla 57: Niveles de tiempo de implementación requerido ................................................... 260
XII

Tabla 58: Nivel de inversión requerido .................................................................................. 261


Tabla 59: Directorio del Comité de Continuidad de Servicios de TI ..................................... 264
Tabla 60: : Especificación de cumplimiento de la matriz de requerimientos ........................ 278
Tabla 61: Validación de los Objetivos ................................................................................... 291
Tabla 62 Métricas de Indicadores de Logro: .......................................................................... 293
Tabla 63: Plan de Pruebas para Objetivos Específicos 1 ....................................................... 297
Tabla 64: Matriz de un Plan de Pruebas P-OE1-01 ............................................................... 298
Tabla 65: Universo de usuarios para prueba P-OE1-1 ........................................................... 303
Tabla 66: Procesos críticos según encuesta de prueba ........................................................... 308
Tabla 67: Servicios de TI de Soporte a los procesos críticos ................................................. 309
Tabla 68: Indicador de logro y métrica del Objetivo Especifico 2 ....................................... 310
Tabla 69: Matriz de Plan de Pruebas para el Objetivo Especifico 2 ...................................... 313
Tabla 70: Escenarios de amenaza con riesgo alto .................................................................. 316
Tabla 71: Lista de causas, amenazas y vulnerabilidades ....................................................... 317
Tabla 72: Indicador de logro y métrica del Objetivo Especifico 3 ........................................ 318
Tabla 73: Matriz de un Plan de Pruebas P-OEIII-01 ............................................................. 319
Tabla 74: Matriz de Plan de pruebas P-OE3-02 ..................................................................... 322
Tabla 75: Tiempos de recuperación del servicio de TI de prueba P-OE3-01 ........................ 328
Tabla 76: Tiempos de recuperación del servicio de TI de prueba P-OE3-02 ........................ 329
Tabla 77:Indicador de logro y métrica del Objetivo Especifico IV ....................................... 330
Tabla 78: Matriz de un Plan de Pruebas P-OE4-01 ............................................................... 331
Tabla 79: Costos y tiempos de implementación de las alternativas de solución.................... 333
Tabla 80: Análisis costo beneficio de alternativa A04 ........................................................... 333
Tabla 81: Cronograma para el Diseño de continuidad de Negocio. ....................................... 335
Tabla 82:Indicador de logro y métrica del Objetivo Especifico V ........................................ 337
Tabla 83: Matriz de un Plan de Pruebas P-OE5-01 ............................................................... 338
Tabla 84: Servicios básicos de Red ........................................................................................ 341
Tabla 85: Posibles Amenazas en el área de archivo de la Oficina de Sistemas ..................... 343
Tabla 86: Matriz de Vulnerabilidades y controles en general ................................................ 346
Tabla 87: Vulnerabilidad y Controles actuales ...................................................................... 352
Tabla 88: Escenarios de amenazas evaluados ........................................................................ 355
Tabla 89: Nivel de criticidad .................................................................................................. 358
XIII

Tabla 90: Procesos críticos y niveles de impacto: .................................................................. 359


Tabla 91: Procesos Críticos más importante del área de archivo de la oficina de sistemas ... 362
Tabla 92: Niveles de servicios de TI y los procesos (MTPD,RTO,RTO y WRT)................. 363
Tabla 93: Encuesta Solicitada en el Área de Archivo ............................................................ 365
Tabla 94: Matriz de Recursos y Registros Vitales : ............................................................... 366
Tabla 95: Matriz de Alternativa de Solución ......................................................................... 374
XIV

ÍNDICE DE FIGURAS

Figura 1: Organigrama de la Oficina de Sistemas de la Institución Estatal .............................. 5


Figura 2: Organigrama Especifico del Área de Sistemas de la Institución Estatal ................... 5
Figura 4: Ciclo Deming aplicado a la continuidad de Negocio: ............................................. 18
Figura 5: ISO 22301: 2019 Estructura de la cláusula (4-10)................................................... 19
Figura 6: Matriz de Relación entre la ISO 27001 y la ISO 22301 .......................................... 24
Figura 7: Evolución de iniciativas orientadas a fortalecer la gestión del riesgo operacional . 39
Figura 8: Diagrama de proceso BIA ....................................................................................... 48
Figura 9: Flujo de Scrum ......................................................................................................... 54
Figura 10: Tabla de poder – interés ......................................................................................... 69
Figura 11: Proceso de Análisis de Impacto en el Negocio ...................................................... 74
Figura 12: Diagrama de Proceso de Entrada y Salida BIA ..................................................... 75
Figura 13: Matriz FODA ......................................................................................................... 76
Figura 14: Clasificación de los procesos ................................................................................. 81
Figura 15: Mapa de Procesos .................................................................................................. 87
Figura 16: Metodología de riesgo: ISO 27005: 2018 ............................................................ 115
Figura 17: Grafico de Niveles de Riesgos ............................................................................. 162
Figura 18: Matriz de Probabilidad Vs. Impacto ................................................................... 162
Figura 19: Estructura organizacional de Comité de Continuidad ......................................... 263
Figura 20: Encuesta en forma física y por correo electrónico ............................................... 302
Figura 21: Pregunta 1 de encuesta de prueba ........................................................................ 304
Figura 22: Pregunta 2 de encuesta de prueba ........................................................................ 305
Figura 23: Pregunta 3 de encuesta de prueba ........................................................................ 305
Figura 24: Pregunta 10 de encuesta de prueba ...................................................................... 306
Figura 25: Pregunta 11 de encuesta de prueba ...................................................................... 307
Figura 26: Pregunta 12 de encuesta de prueba ...................................................................... 307
Figura 27: Pregunta 13 de encuesta de prueba ...................................................................... 308
Figura 28: Flujo Escenario de amenaza en retrospectiva ...................................................... 311
Figura 29: Propuesta para el análisis de Riesgo .................................................................... 340
Figura 30: Escenarios de amenazas evaluados ...................................................................... 351
XV

Figura 31: Metodología del IBA .......................................................................................... 357


Figura 32: Niveles de Criticidad ........................................................................................... 364
1

1 CAPITULO 1: ASPECTOS INTRODUCTORIOS

1.1- Introducción

La continuidad de negocio es un elemento fundamental en las organizaciones. En la actualidad


la continuidad de negocio se está enfocando principalmente a responder incidentes. Por lo tanto,
la continuidad de negocio tiene como función identificar las posibles mejoras de las tecnologías
de la comunicación e información en las empresas. Asimismo, este plan es de gran importancia
para cumplir con todas las expectativas comerciales. tales como; proporciona las pautas
necesarias para poder reactivar rápidamente la actividad en caso ocurra un evento inesperado
en el ámbito de las TIC. Esta al estar preparada reduce el impacto que tendrá la organización,
tanto económico, como reputacional. El desarrollo del análisis del impacto para el negocio
(BIA) y el análisis de riesgos son la base para el desarrollo de un plan de continuidad del
negocio. Es decir, el BIA permite establecer qué procesos son esenciales para el plan de
continuidad de las operaciones y calcular su posible impacto, mientras que el análisis de riesgos
permite conocer los riesgos a los que está expuesto para su posterior tratamiento.

Para diseñar un plan de continuidad operativa para el área de archivo de la oficina de sistemas
se debe tener en cuenta el proceso continuo que cuente la institución, cabe mencionar que
existen muchas empresas públicas y privadas donde las tecnologías adquiridas suelen ser
obsoletas, el cual no se realizan un aprovechamiento de la tecnología. Por otro lado, el área de
archivo es el lugar donde se almacenan y se tiene mantienen en custodia información
clasificadas de todo su personal; tomando la realidad de caso la Institución Estatal se propone
poner en práctica procedimientos de los procesos para la continuidad operativa que resguarden
el cuidado de los datos personales, las actividades de los procesos, contra eventos de desastres
y de las posibles consecuencias que de ellos deriven, producto de la no disponibilidad de los
recursos de la organización para la prestación de sus servicios en los procesos. Este presente
proyecto, se dirige en resguardar la información de los procesos principales de esta institución
siguiendo la norma ISO/ IEC 27031/2011.

La institución Estatal presenta deficiencias en las áreas de archivos; cuenta con diversas áreas
de archivos, así como libros de legajos.

El problema principal radica con la pérdida de documentación, deterioro de documentos de los


libros de legajo correspondiente de cada personal. Es por ello la razón principal por lo que se
2

realiza este proyecto con la finalidad permitir a la Institución Estatal de seguir desempeñando
sus actividades críticas a un nivel aceptable predefinido como analizar los riesgos durante los
proceso de selección del personal, y brindar una solución de mejora de llevar a cabo los
diferentes procesos (ascensos del personal profesional y/o CAS, renovaciones de contratos,
cursos, calificaciones, estudios de capacitación a nivel institucional y/o extra institucional ),
conservación de las documentaciones y la confidencialidad de la información. En efecto, la
posibilidad de realizar la implementación y la certificación de un Plan de Continuidad
Operativa, la institución obtendrá una ventaja respecto a otras entidades, ya que, al asegurar la
continuidad operativa de sus procesos y actividades, incrementa su reputación, prestigio e
imagen frente a los ciudadanos.

Riesgos a analizar en el área de archivo:

COSTO:

- Reducción de costos

- Crecimiento institucional

NORMATIVA:

- Normas legales (orden interna)

- Cumplimiento normativo gubernamental

1.2 Organización Objetivo

La oficina de sistemas de la Institución Estatal, cual tiene como objetivo principal de resguardar
el área de archivo donde se encuentra todas las informaciones de forma física del personal y de
velar por la continuidad de negocio de la institución. Además, tiene como objetivo controlar,
verificar y emitir los diferentes certificados y reportes del personal de esta institución.

El área de archivos se encuentra ubicado dentro de la oficina de sistemas, tiene como objetivo
de controlar, verificar y archivar la documentación oficial en cada uno del personal de la
Institución Estatal. Asimismo, el orden cronológico debidamente foliado, firmado, velar por la
seguridad y custodia de dicha información, llevando un control del traslado de los documentos
3

para los diferentes procesos que se realizan anualmente. Los amenazas y vulnerabilidades que
se encuentra en el área de archivo son los siguientes: historial de datos personales y familiares,
tales como: actas de nacimientos, lugar de domicilio, antecedentes policiales, antecedentes
penales, registro de familiares, lugar de origen, sanciones, notas semestrales, felicitaciones,
cursos, calificaciones, informaciones médicas, capacitaciones, traslados, resoluciones, juntas
administra, reconocimiento de goces y derechos, ascensos, condecoraciones. De la misma
forma, el área de archivo se encarga de emitir los certificados de tiempo de servicio del personal
del estado en actividad y personal en retiro. Los certificados que se realizan para el personal
que se encuentra en laborando y a los que se encuentra en la situación de retiro son: constancia
de trabajo, servicios prestados al estado, cese de Funciones, antecedentes laborales.

El presente proyecto se diseñará un Plan de continuidad Operativa para el proceso en el área de


archivo de la oficina de sistemas para realizar el análisis de riesgo en los diferentes procesos
que permitirá la recuperación ante posibles amenazas o desastres naturales como la pandemia
actual sobre el coronavirus entre otros. Basados en la norma ISO/ IEC 27031/2017 se evaluará
el estado actual de los procesos vinculados con la continuidad operativa en los procesos,
realizándose un análisis de riesgo para identificar y llevar a cabo el desarrollo del proyecto a
generar. La norma ISO/ IEC 27031/2011 se realizará con el fin de identificar de impactos ante
las posibles amenazas o desastres que pueden poner en peligro la continuidad y, además,
obtener con una respuesta que asegure la operatividad de dichos procesos para afrontar
situaciones ante las urgencias específicas que se presenten.

1.2.1- Campo de acción

La Institución Estatal cuenta con una sede operativa que se encuentra localizado en la Lima. La
sede principal ubicada en lima, donde se encuentra los colaboradores con el personal
administrativo y operadores de la tecnología de la información; las cuales hacen participe para
que se lleve a cabo la continuidad operativa de los procesos. Los documentos en el área de
archivo de la oficina Sistemas de la Institución Estatal se encuentra basado con la norma ISO/
IEC 27031/2011. Así mismo se dispone de espacio de uso compartido y exclusivo donde se
lleva el control y administración de los documentos de los datos personales del personal de la
institución. Es en este espacio donde la institución se encarga de recaudar y almacenar las
informaciones de forma física de cada personal de la institución.
4

El área de archivos cuenta con cuatro compartimentos basados a sus respectivos grados del
personal del estado como grado profesional, grado técnico profesional, personal CAS, grado
profesional practicantes.

Las funciones del área de archivos en la oficina de sistemas son:

- Controlar, archivar y custodiar las documentaciones de los datos personales y


especialidades del personal integrante de la Institución Estatal en las diferentes áreas de
archivo, en orden cronológico y debidamente firmado.

- Atender los requerimientos de préstamos de los documentos con sus respectivos archivos
personales, debiendo inventariar cada documentación que contenga dicho legajo.

- Llevar el control del envío de la documentación en sus respectivos legajos del personal de
la institución, para su custodia correspondiente.

- Apertura de los documentos personales con su respectivo libro de legajo y especialidades


de los nuevos personales que labora en la Institución Estatal.

Los procesos que se realizan en el área de archivo de la Oficina de Sistemas son:

- Proceso de registros e identificación del personal de la institución

- Proceso de Evaluación Profesional de ascenso del personal de la Institución


5

Figura 1: Organigrama de la Oficina de Sistemas de la Institución Estatal


Fuente : Elaboracion Propia

Figura 2: Organigrama Especifico del Área de Sistemas de la Institución Estatal


Fuente : Elaboracion Propia
6

ARQUITECTURA DE RED SEGURA DE LA INSTITUCION ESTATAL

Figura 3: Arquitectura de Red Segura de la Institución Estatal


Fuente: Elaboración Propia

1.3 Identificador del Problema

La Institución Estatal actualmente cuenta con el área de archivo de oficina de Sistemas la cual
tiene como función organizar, distribuir, supervisar, y dirigir las actividades de información
recepcionada; verificar la información de la base de datos del sistema de personal, así como,
mantener y conservar el control físico de los documentos y tarjetas personales, notas
semestrales y conceptos, direcciones domiciliarias y declaraciones juradas de bienes de renta,
7

llevar a cabo el control y de ejecutar las acciones administrativas referentes a las plantas
orgánicas de las unidades.

La oficina de sistemas es el lugar donde se almacena y custodia los activos de información en


toda los servidores de la Institución Estatal y se encarga de remitir información para llevar a
cabo los diferentes procesos operativos (ascensos del personal de las diferentes sedes) para las
áreas correspondientes, es en esta área donde se custodia los documentos en el área de archivos
del personal, a su vez la oficina de sistemas brinda servicio, procesos, e información física sobre
los requerimientos de las diferentes entidades del estado.

Las funciones del área de archivos es salvaguardar la seguridad de la información y mantener


la privacidad de los datos de usuario, optimizar el rendimiento y sintonía del sistema operativos,
gestionar las cuentas de usuario y asignar de recursos a las mismas, respaldar la información
mediante copias de seguridad periódica, realizar mantenimiento correctivo, preventivo en los
equipos, instalar, configurar y dar mantenimiento a los servicios, tener control del sistemas de
inventario de todos los activos informáticos.

1.3.1 Situación Problemática

El área de archivo de la oficina de sistema de la institución Estatal, con el transcurso de los años
ha incrementado considerablemente. Por lo tanto, este incremento ha traído consigo que la
Institución estatal y sus sistemas de Tecnología de información estén expuesto a la
identificación de impacto ante posibles amenazas o desastres. Por consiguiente, en los últimos
diez años el área de archivo de la oficina de sistemas en una Institución Estatal, basado en la
norma ISO/ IEC 22301/2019 ha tenido que enfrontar los siguientes problemas:

- No cuenta con un Plan de Continuidad Operativa que gestione riesgos y eventos que
se incurren continuamente en los procesos sin cumplir los niveles.

- No cuenta con un registro o acta de incidencia donde le permita se comprometa a


establecer, planificar, diseñar la continuidad de negocio.

- No se evidencia procesos o documentación que evidencien identificación de riesgos,


no se identifican responsables de los riesgos, ni evaluaciones.
8

- Falta de niveles de atención de los servicios en los incidentes de los procesos


operativos; en muchas ocasiones no se cuenta con personal especializado.

- Falta de control y supervisión de los traslados solicitados por el personal y/o su retorno
al área de archivo, durante el proceso de solicitud de información de un personal, esta
solicitud es recepcionada y derivado al personal encargado de archivo para su
ubicación. Esto puede demorar días, semanas, meses e incluso años. Una vez ubicado
el documento del personal esto se deriva a la oficina de atención al usuario en la cual
no es supervisada, controlada su retornó al área de archivo.

- Ausencia de políticas e implementación de controles, medidas necesario para


resguardar los activos de información tales como documentos, personas, imagen y
reputación hace que la información de la institución sea muy vulnerable y sensible
pérdida frente a las diversas amenazas físicas existentes.

- Alta rotación del personal de la institución Estatal a cargo del área de archivo, esto
suele reflejarse por la falta de experiencia y capacitación técnica en el tratado de la
información para el área.

- Desconocimientos de regulaciones de normativas sobre continuidad de negocio,


riesgos, amenazas en los folios de legajos del personal de la institución estatal.

- Deterioro y/o perdida de documentación que se trabaja en la institución, en el proceso


de ascenso del personal de la Institución Estatal, cada año se rotan más de 6 mil libros
de legajos físico para su revisión y verificación de su foja de su trayectoria de vida del
personal de la institución estatal en las áreas correspondiente de llevar a cabo dicho
proceso de ascenso del personal de la Institución Estatal.

- Desastres naturales (Pandemia COVID 19, terremotos, inundaciones, etc.)

- Estructurales (incendios, cortes de electricidad, refrigeración, comunicaciones, etc.)

- Personal (Errores y ataques del personal interno, externo, etc.)

- Riesgo contra el patrimonio (robo, no intencionada de activos)

- Perdida de documentación de los archivos de legajos del personal de la institución.

- Otros riesgos (confianza del personal, imagen de la institución, seguros)


9

1.3.2 Problema a Resolver

No cuenta con un plan de continuidad operativa para los procesos, como lineamientos basados
a metodologías obsoletas, y/o desactualizada a la necesidad del mismo, para responder
oportunamente ante incidentes que afecten sus procesos y sus recursos.

1.4 Objetivos General y Objetivos Específicos

1.4.1.- Objetivo General

Diseñar un Plan de Continuidad Operativa para el proceso del área de archivo de la oficina
sistemas para una institución estatal con base en la norma ISO/ IEC 27031/2011, para proponer
actividades que permitan su recuperación ante posibles desastres naturales como la pandemia
actual sobre el coronavirus.

1.4.2.- Objetivos Específicos

a) Desarrollar un Análisis de Impacto al Negocio (BIA) que permita determinar los procesos y
servicios más relevantes para la organización en base a la norma ISO/ IEC 22317/2015.

b) Elaborar un Análisis de Riesgos que permita determinar los posibles escenarios de amenazas o
desastres que podrían afectar la continuidad operativa de las actividades que realiza el área de
archivos de la oficina de sistemas para una Institución Estatal en base la norma ISO/ IEC
27005/2018.

c) Definir las estrategias de recuperación de desastres que permitirán cumplir con los objetivos de
recuperación establecidos por el área de archivos de la oficina de sistemas para una Institución
Estatal.

d) Determinar las alternativas de solución de recuperación más adecuadas para cada estrategia
establecida para el área de archivo de la oficina de Sistemas de una institución estatal.

e) Propuesta de diseño del plan de continuidad operativa que permita consolidar los procesos,
recursos, tecnología y formación del personal requerido para iniciar el desarrollo e
implementación del plan de continuidad operativa.
1.4.3- Indicadores de Logro de los Objetivos

Tabla 1: Indicadores o mecanismo del logro de los Objetivos


11

Fuente 1: Elaboración Propia


1.5.- Justificación del Proyecto

La justificación de este proyecto se basa en diseñar un Plan de Continuidad Operativa para el


proceso del área de archivo de la Oficina de sistemas para una institución estatal, la cual tiene
como finalidad identificar los impactos antes posibles amenazas o desastres que pueden poner
en peligro la continuidad operativa para los procesos para así afrontar situaciones de urgencias
definidas.

- Este sistema de un plan de continuidad operativa mejorar las líneas estratégicas y


compromiso de la institución para asegurar la continuidad operativa de los procesos a
unos determinados niveles que se consideraran como la recuperación mínima viable.

- Al contar con un análisis de impacto para el negocio permitirá conocer los riesgos de
las instalaciones desde un punto de vista de continuidad operativa (posterior al
incidente).

- Este Plan de continuidad operativa permitirá reducir /minimizar el tiempo de disrupción


de las actividades críticas en los procesos que se realizan en el área de archivo.

- Facilidad de trabajo del personal de TI debido a que estarán preparados y capacitados;


asimismo este plan ayudara a identificar más claramente los riesgos potenciales a los
que pueda ser vulnerable

1.6.- Estado del Arte:

El análisis del estado de arte que he realizado es sobre un Diseño de un plan de Continuidad
Operativo. Dentro del área de archivo, he revisado diferentes tecnologías empresariales.

1.6.1 Antecedentes de la continuidad del negocio

La Continuidad de Negocio es un elemento esencial para la institución estatal ya que


proporciona la identificación de procesos críticos que eventualmente podrían incidir en la
continuidad de la institución. El presente proyecto de investigación ayudara a la Dirección
13

del área de sistemas de la Institución Estatal basándose en una guía de metodología para la
gestión de riesgos en los procesos con la continuidad operativa, con la posibilidad de mejorar
la imagen corporativa de la institución tanto interna como externa. Asimismo, ayudara a
maximizar la resiliencia de los servicios de las TIC`s de tal forma que puedan recuperarse a
niveles predeterminados en los plazos requeridos y acordados por la institución. En efecto, el
área de archivo está conformada con un área de registros que facilita la labor de determinar
el impacto de los riesgos de términos económicos, necesitando considerase en la mayoría de
los casos una serie de matrices de los riesgos en términos cualitativos. Es imprescindible que
la Institución Estatal en el área de Archivo de la Oficina de Sistemas registren los incidentes
de impactos de amenazas y vulnerabilidades con el fin de dar mayor confidencialidad y
mejorar los resultados en el ciclo de vida del análisis de riesgos.

1.6.2.- Antecedente del Sistema de Continuidad de Negocio:

1.6.2.1 Historia

La norma ISO 22301 surge como resultado de una evolución de lineamientos, buenas prácticas
y estándares de continuidad de negocio. Continuación en la siguiente tabla se detalla dicha
evolución.
14

Tabla 2: Antecedente de la norma ISO/IEC 22301


15

Fuente 2: Elaboración Propia

1.6.2.2 Definiciones de la norma ISO 22301

Gestión de continuidad del negocio (GCN): Proceso de gestión holístico que identifica las
amenazas potenciales para la organización, así como el impacto en las operaciones del negocio
que dichas amenazas, en caso de materializarse, pueda causar, y que proporcione un marco
para aumentar la capacidad de resistencia o resiliencia de la organización para dar una respuesta
eficaz que salvaguarde los intereses de sus principales partes interesadas, la reputación, la
marca y las actividades de creación de valor (Germain & Lachapelle, 2012).
16

Sistema de Gestión de la Continuidad del Negocio (SGCN): Parte del sistema de gestión global
que establece, implementa, opera, supervisa, revisa, mantiene y mejora la continuidad del
negocio. Plan de Continuidad del Negocio (PCN): Procedimientos documentados que orientan
a las organizaciones a responder, recuperar, reanudar, y restaurar a un nivel predefinido de
funcionamiento tras una interrupción.

1.6.2.3 Familia de Normas ISO/IEC 22301

La serie de normas ISO 22300 están conformados por:

Fuente 31: Elaboración Propia


17

1.6.2.4 Sistema de Gestión de PDCA del Plan de Continuidad de Negocio

La ISO 27031 también se basa en las conclusiones del Análisis de Impacto Empresarial (BIA)
desarrolladas y aprobadas como parte de un plan de continuidad más amplio para una
organización.

En el plan de continuidad de negocio, el sistema de gestión de PDCA, se detalla de la siguiente


manera.

Fuente 4: Elaboración Propia

Ciclo del PDCA (Plan, Do, Checa, Act)

Es un modelo para la planificación, establecimiento, implementación, operación,


supervisión, revisión y mantenimiento de la mejora continua de la eficacia de un BCMS
de la organización. En la figura 4 se visualiza los componentes y procesos de sus
acciones
18

Figura 3: Ciclo Deming aplicado a la continuidad de Negocio:


Fuente 5:Norma ISO 22301

1.6.2.5 ISO 22301: 2019 Estructura de la cláusula (4-10)

Tabla 3: Clausulas de las normas ISO 22301


19

Fuente 6: Elaboración Propia

Figura 4: ISO 22301: 2019 Estructura de la cláusula (4-10)


20

Fuente 7: Norma ISO 22301:2019

1.6.2.6 Normas relacionadas con la Continuidad del Negocio

Tabla 4: Normas relacionadas en la Implementación de la continuidad del negocio

Fuente 8: Elaboración Propia


21

1.6.2.7.- Normas Técnicas

Tabla 5: Normas Técnicas

1.6.2.7.- Instituciones de la Continuidad del Negocio

Tabla 6: Instituciones Certificadoras relacionada con la Continuidad de Negocio


22
23
24

Fuente 9:Elaboración Propia

1.6.2.8.- ISO/IEC 27001 / 27002 - Relación entre la ISO 27001 y la ISO 22301

Es la norma internacionalmente reconocida para la Gestión de Seguridad de la Información


(ISO 27001) y su Código de Práctica (ISO 27002), los dos contemplan la continuidad de
negocio como un elemento clave dentro de la gestión de la seguridad de la información. Tiene
como fin, contrarrestar interrupciones en las actividades empresariales y en los procesos
críticos de negocio derivados de fallos importantes en los sistemas de información y garantizar
su reanudación.

En la siguiente figura se muestra la relación entre la gestión de Riesgos de la ISO27001 y la


Gestión de Continuidad de Negocio de la ISO/IEC 22301.

Figura 5: Matriz de Relación entre la ISO 27001 y la ISO 22301


Fuente: http://normaiso22301.com/integracion-iso-22301-con-iso-27001/
25

1.6.2.9.- Continuidad del Negocio en Épocas de Coronavirus:

En estos momentos de crisis algunos procedimientos de contingencia pasaron a ocupar el


primer lugar reemplazaron a los procesos estándar y que al reemplazaron aparecen nuevos
riesgos y aparecen distintos impactos los administradores ricos se ven bastante atareados en
lograr mantener la gestión tanto del sistema de continuidad como el sistema de gestión de
riesgos para poder mantener los estándares de calidad eficiencia seguridad y protección de sus
actividades. (coronavirus., pág. 2020)

Fue un antes y después respecto a la teoría que estableció en Nassim Nicholas taleb si vemos
lo que dice “Un cisne negro es un evento altamente improbable con tres características
principales: es impredecible; es masivo; y, después de que sucedió, es nuestro deseo hacer que
parezca menos aleatorio y más predecible de lo que era. El asombroso éxito de google fue un
cisne negro; el 11 de setiembre también lo fue”

En el 2014 “Barack Obama, presidente de estados Unidos entre 2009 y 2017. Dijo “Puede
ocurrir y probablemente puede que llegue un momento en el que nos tengamos que enfrentar a
una enfermedad mortal dentro de cisco o 10 años.

En el 2015, Bill Gates, cofundador de Microsoft “Si algo va a matar a más de diez millones de
personas en las próximas décadas será un virus muy infeccioso, mucho más que una guerra.
No habrá misiles sino microbios y no estamos preparados. “la gran conclusión para el mundo
es que simplemente no está listo”, Amigos esta es una epidemia en rápido aumento en
diferentes lugares que tenemos que enfrentar súper rápido para prevenir una pandemia”, dijo
el Dr. Bruce Aylward, médico y experto en salud pública de la organización Mundial dela
salud, pocas horas después de desembarcar en Ginebra de su viaje a china el 25 de febrero de
2020.

- Al inicio de la crisis solo el 40% de las empresas consultadas habían desarrollado un


plan de Continuidad del Negocio.

- Solo el 18% de las empresas desarrollaron un Plan de Continuidad del Negocio para los
10 principales riesgos.

- El 56% de las empresas que tenía un SGCN no había sido diligente con los ejercicios y
pruebas de sus planes en los últimos 12 meses.
26

- El 60% de las empresas que desarrollaron un Plan de Continuidad del Negocio el mismo
es sostenible solo para el corto plazo.

1.6.3.0 La norma ISO 22301:2019 y la Interrupción de la actividad económica en muchos

sectores a causa del COVID-19

La ISO 22301 es una normativa internacional para Sistemas de Gestión de la Continuidad del
Negocio (SGCN). Fue establecida después de la gran demanda internacional que obtuvo el
estándar británico BS 25999-2 del año 2007. (Germain & Lachapelle, 2012)

La principal función es proporcionar un marco de actuación para que las empresas puedan
mitigar el daño que una situación de emergencia puede llegar a causar. Las organizaciones que
ya tenían establecida una política de continuidad, han podido prevenir, responder y operar de
nuevo más rápidamente. Un ejemplo muy reciente es la interrupción de la actividad económica
en muchos sectores por culpa del Covid-19.

1.6.3.1 SGSI Gestión de Continuidad de Negocio - INTECO

El negocio de una empresa necesitara de la información y los sistemas que la soportan. Por
ello, hay que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra
información.

Cuando una organización implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es
reducir sus riesgos y evitar posibles incidentes de seguridad.

Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en
materia de seguridad de la información.

- Las fallas eléctricas causan el 90% de los incendios. Los problemas más comunes por
los que se produce este tipo de siniestros son: la utilización de materiales no adecuados,
un cálculo erróneo del sistema o contratar electricistas sin información técnica.

- El 43% de las empresas estadounidense que sufren un desastre, sin contar con un Plan
de Continuidad del Negocio, no se recuperan.
27

- El 51% sobrevive, pero todo un promedio de dos años en reinsertarse en el mercado y


solo el 6 % mantiene su negocio a largo plazo.

- El 30% de las copias de seguridad y el 50% de las restauraciones fallan, según un


informe de Enterprise Strategy Group.

Durante este estudio muchos departamentos de tecnología de la información reconocían no


estar seguros de ser capaces de recuperar los datos críticos del negocio y si podrían hacerlo en
un tiempo razonable.

1.6.3.2 ISO 22301 Continuidad del Negocio frente al COVID – 19

La Norma ISO 22301 Continuidad del Negocio, presenta los pasos y pautas a seguir para
determinar el mejor plan de contingencia dentro de cualquier empresa y así, poner en marcha
toda su actividad productiva luego de superar cualquier incidente como lo es el COVID-19 en
la actualidad.

Con independencia del sector económico donde se desarrolle su actividad, lo cierto es que cada
vez son más los agentes externos que pueden llegar a condicionar el correcto funcionamiento
de la operación normal de la compañía y es precisamente ese plan de continuidad del negocio
lo que pretende certificar la normativa ISO 22301.

La gestión de continuidad del negocio a través de una certificación concreta, si bien es muy
importante para cualquier empresa, es una cuestión de carácter imperativo en el caso de
empresas que venden sus servicios o productos a otras corporaciones, siendo la misma un claro
elemento distintivo frente a otros núcleos empresariales de la competencia que operan en el
mismo sector económico que vuestra compañía.

a) Plan de contingencia frente al COVID – 19:

Se recomienda que las empresas definan medidas preventivas frente al coronavirus que
aseguren la seguridad y salud de sus trabajadores, un plan de actuación en caso de que
se materializarse el riesgo por un posible contagio o una situación de alerta pública
28

decretada por las autoridades gubernamentales, así como medidas para restaurar la
situación ha estado anterior de haberse producido la contingencia.

según información del Portal Ingertec en su artículo: “Planes de contingencia frente al


Coronavirus”, algunas de las medidas que se recomiendan y que pueden incluirse en el
Plan de Contingencia son:

b) Medidas Preventivas Frente al coronavirus

- Organizar el trabajo minimizando el número de personas expuestas: limitar


visitas, reducir reuniones presenciales, suspender viajes, no asistir a eventos o
convenciones, fomentar el teletrabajo…1

- Medidas de higiene básicas: lavado de manos, cubrirse la boca y nariz con


pañuelos desechables al toser o estornudar…

- Disponer de soluciones hidroalcohólicas desinfectantes y repartirlas en los


lugares de atención al público como uso para trabajadores y clientes.

- Incluir mascarillas quirúrgicas dentro de los botiquines de la empresa, por si


fuera necesario utilizarlas en caso de declararse pandemia.

1.6.3.3 Empresas se han Certificado con la ISO 22301 a nivel mundial

Tabla 7: Empresas Certificadoras

1
https://normaiso27001.es/iso-22301/ ISO 22301 CONTINUIDAD DEL NEGOCIO
29

Fuente 10: Elaboración Propia

1.6.3.4 Instituciones Certificadas en la Gestión de Continuidad de Negocio: (22301, 2017,

pág. ; 2017)

- BSG Institute
- BSI
- OFICINAS Y LABS DE SGS PERU: SECTOR PUBLICO
- AENOR en Perú

1.6.3.5 Tendencias emergente frente a la pandemia COVID 19

Con los diversos eventos catastróficos están afectando a nivel mundial. Es por ello para
contribuir con las empresas a determinar los diferentes niveles de impactos, se comenzó a
realizar distintas planeaciones estratégicas e investigar sobre nuevas tendencias tecnológicas
30

que podrían emplearse para realizar planes de contingencia u operacionales con el fin de
minimizar las interrupciones a un nivel tolerable ante eventos o crisis no previstas.

Tabla 8: Planeación Estratégica


31

1.6.3.6 Noticias:

a) La pandemia demanda agilidad: Cómo puede la metodología agile salvar a las


empresas

En la actualidad se han visto abocadas las compañías a desarrollar y realizar a su toma


de decisiones, así como a mejorar su productividad al tiempo que incorporaban nuevas
tecnologías a marchas forzadas.

Este movimiento, que en una época ‘normal’ podría ser fruto de una estudiada
planificación, debe ser ágil, para poder combatir con la incertidumbre y los cambios
constantes. Por tal motivo, la consultora McKinsey testifica que una de las conclusiones
que se puede sacar del contexto actual es que, si en la vida pre pandemia las
metodologías ágiles eran importantes, ahora se han vuelto imprescindibles.

b) Ccontinuidad de Negocio y Resiliencia organizacional para la supervivencia del


negocio

La gestión de una crisis es parte del ciclo de vida de una empresa, y poder superar con
éxito una emergencia como la que actualmente afecta a organizaciones de todo el
mundo, es lo que va a distinguir a las organizaciones que la puedan superar, de las que
por desgracia no sean capaces de hacerlo.

Las pandemias, el cambio climático, las crisis económicas y las tendencias de consumo
son sólo algunas de las amenazas que actualmente pueden afectar dramáticamente a la
manera en que una organización hace negocios y sobrevive.

La resiliencia organizacional es la capacidad de una empresa para absorber y adaptarse


a la imprevisibilidad sin dejar de cumplir con los objetivos que hay que alcanzar. Por
otro lado, el tener bien definida y probada en la organización una estrategia de
Continuidad de Negocio, es clave para que la empresa pueda enfrentarse con éxito a las
amenazas que la acechan continuamente. En este webinar, vamos a plantear como
implementar con éxito una estrategia de continuidad de Negocio según la ISO 22301,
integrada con la gestión de resiliencia organizacional, según la ISO 22316.
32

- El COVID-2019 un antes y un después para las organizaciones

- Ciberamenazas en situación de Teletrabajo

- Diseño de una eficaz gestión de riesgos de la organización

- Resiliencia Organizacional, ISO 22316

- El plan de Continuidad de Negocio, como elemento vertebrador. ISO 22301

- Conclusiones

1.6.3.7 Casos de éxito sobre la continuidad de negocio en organizaciones

Un caso de éxito sobre la continuidad del negocio en el argumento de Vodafone hace mención
que la compañía multinacional de telecomunicaciones con sede en Reino Unido, fue la primera
empresa del mundo en lograr la certificación ISO 22301. Roger McLoughlin, Gestor de
Continuidad del Negocio de Vodafone, comentó que el proyecto tuvo una duración de nueve
meses, desde la primera revisión del FDIS (Final Draft International Standard) hasta la
realización de la auditoria formal, y dos meses más para que recibiera la confirmación de
certificación.

Esta certificación hizo proporcionar a los clientes el servicio más uniformemente confiable, sin
importar las circunstancias. También les ofrece una diferenciación del servicio y una ventaja
competitiva, así como también la capacidad de satisfacer los requisitos de contingencias legales
y civiles.

1.6.3.8 Herramientas Tecnológicas Licenciada

Es muy importante contar con plataformas o software que ayuden a evidenciar las capacidades
de seguir operando con normalidad en caso de alguna ocurrencia.
33
34
35

1.6.3.9 Metodologías Agiles

Las metodologías ágiles permiten adaptar la forma de trabajo a las condiciones de un proyecto
y amoldar este mismo a las circunstancias del entorno. Aprende más en el Programa de Alta.

En el escenario actual en el que los cambios se producen de manera increíblemente rápida,


diversos autores comentan que las guías tradicionales de gestión de proyectos intentan ver el
futuro. Actualmente es necesario modelos que nos ayuden a adaptarnos a los cambios.

Actualmente tenemos los siguientes tipos más comunes de metodologías ágiles:


36

Fuente 11: Elaboración Propia

Metodología más recomendada Scrum:

Característica

- Es un modelo de referencia que define un conjunto de prácticas y roles.

- El equipo crea un incremento de software potencialmente Entregable.

- Divide un proyecto en iteraciones y antes de que comience una carrera se define la


funcionalidad requerida para esa carrera y entonces se deja al equipo para que la
entregue.

- Se enfoca principalmente en la planeación iterativa y el seguimiento

Ventajas

- Es fácil de aprender.

- Requiere muy poco esfuerzo para comenzar a utilizar.

- Permite que abarcar proyectos donde los requisitos de negocio están incompletos

- Permite el desarrollo, testeo y correcciones rápido

- Mediante las reuniones diarias se ven claramente los avances y problemas


37

- Como toda metodología ágil, obtiene mucho feedback del cliente.

- Facilita la entrega de productos de calidad a tiempo

Desventajas

- Si no se define una fecha de fin, los stakeholders siempre pedirán nuevas


funcionalidades.

- Si una tarea no está bien definida puede incrementar costes y tiempos.

- Si el equipo no se compromete hay mucha probabilidad de fracasar.

- Solo funciona bien en equipos pequeños y ágiles.

- Se requieren miembros del equipo experimentados.

- Solo funciona cuando el Scrum Manager confía en su equipo.

- Que un miembro abandone el equipo durante el desarrollo puede conllevar grandes


problemas.

Roles:

- ScrumMaster

- ProductOwner

- Teamque

1.6.4.0 Desarrollo de la Metodología Scrum

La metodología utilizada en el siguiente proyecto se basa en los procesos del marco Scrum, los
cuales consisten tanto en actividades concretas como en el flujo de un proyecto Scrum. Estos
procesos se agrupan en cinco fases y 19 procesos según lo muestra la Figura 2. Estas fases son:
38

Resumen de los Procesos de Scrum:

Figura 1:Scrum Body of Knowledge


Fuente 12: Elaboración Propio
39

1.6.4.1 Regulaciones de la S.B.S para continuidad de negocio

El Reglamento, aprobado mediante Resolución SBS N° 877-2020, consolida las Circulares


SBS N° 139-2009, N° 164-2012 y N° 180-2015 e incorpora nuevos requerimientos
desarrollados en base a las lecciones aprendidas resultado de las labores de supervisión y de
los ejercicios sectoriales de continuidad del negocio, así como de los estándares y buenas
prácticas internacionales, entre los que se encuentran la norma ISO 22301:2012 -sobre los
sistemas de gestión de la continuidad del negocio- y la Guía de Buenas Prácticas de The
Business Continuity Institute.

Figura 6: Evolución de iniciativas orientadas a fortalecer la gestión del riesgo operacional

Han pasado 18 años desde que se emitió la primera regulación peruana para gestionar los
riesgos operacionales que incluía algunos aspectos de la gestión de la continuidad del negocio.
En este tiempo, es innegable que la gestión de continuidad ha madurado de manera importante,
y es también evidente que aún queda mucho por hacer ante los nuevos desafíos e importantes
cambios en el contexto operativo.

2 CAPITULO 2: MARCO TEORICO

En este capítulo se realizará los conceptos generales necesarios para el desarrollo del proyecto
y términos vinculados con la continuidad de negocio, continuidad operativa y normas
internacionales y nacionales
40

2.1 Plan de Continuidad operativa

Se define el “Plan de Continuidad Operativa” como el instrumento que debe formar parte de
las operaciones habituales de la entidad, que incluye la identificación de las actividades y
servicios críticos que requieran ser ejecutados y prestados de manera ininterrumpida, la
determinación de las medidas y acciones que permitan que la entidad de manera eficiente y
eficaz siga cumpliendo con sus objetivos, así como la relación del personal que se encontrará
a cargo de la ejecución de las menciona2das actividades (Gutiérrez Falcón, 2018)

2.2.- ISO 27031: Gestión de Continuidad de Negocio

El negocio de una empresa depende de la información y los sistemas que la soportan. Por ello,
hay que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra
información.

Cuando una organización implanta la norma UNE-ISO/IEC 27001 lo que quiere conseguir es
reducir sus riesgos y evitar posibles incidentes de seguridad. Sin embargo, hay que tener
presente que existen situaciones que son imposibles de evitar. Ya que no es posible proteger al
100% los activos de información. por esas las empresas tienen que planificarse con el fin de
evitar que las actividades de su entidad queden interrumpidas

Estos son algunos de los ejemplos que hemos encontrado en la prensa sobre los riesgos en
materia de seguridad de la información.

 Las fallas eléctricas causan el 90% de los incendios. Los problemas más comunes por
los que se produce este tipo de siniestros son: la utilización de materiales no adecuados,
un cálculo erróneo del sistema o contratar electricistas sin formación técnica.
 El 43% de las empresas estadunidense que sufren un desastre no se recuperan” sin
contar con un plan de continuidad de Negocio no se recuperan.
 El 51% sobrevive, pero tarda un promedio de dos años en reinsertarse en el mercado y
solo el 6 % mantiene su negocio a largo plazo.

2
www.inteco.es – 27031: Gestión de continuidad de Negocio
41

 el 30% de las copias de seguridad y el 50 % de las restauraciones fallan, según un


informe de Enterprise Strategy Group.

Durante este estudio muchos departamentos de tecnología de la información reconocían no


estar seguros de ser capaces de recuperar los datos críticos del negocio y si podrían hacerlo en
tiempo razonable.

Para evitar estas y otras situaciones es necesario disponer de un Plan de Continuidad del
Negocio. Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo
que le pueden afectar de forma crítica.

No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda


organización necesita un Plan de continuidad del Negocio, ya que tarde o temprano se
encontrará con una incidencia de seguridad.

En líneas generales podemos decir, que estos planes tienen como objetivo impedir que la
actividad de la empresa se interrumpa y, si no puede evitarse el tiempo de inactividad sea el
mínimo posible.

Pero, además, tienen que intentar lo siguiente:

 Mantener el nivel de servicios en los límites por la compañía y que han sido asumido
por la misma.
 Establecer un periodo de recuperación mínimo para garantizar la continuidad del
negocio. (algunas compañías pueden parar su actividad, debido a una incidencia,
durante una semana, pero otras no pueden superar unas horas.
 Recuperar la situación inicial de servicios y procesos la recuperación no tiene que ser
inmediata y todo al mismo tiempo, ya que puede que existan procesos más críticos que
necesiten recuperarse antes.
 Analizar el resultado de la aplicación del plan y los motivos del fallo para optimizar las
acciones a futuro. Es decir, aprender de las incidencias para mejorar en las respuestas.

Cuando desarrollemos el plan de continuidad del negocio tenemos que tener en cuenta que
debe contener los siguientes apartados:
42

 Establecimiento y definición de las situaciones críticas. para ellos se han de


identificar, entre los riesgos analizados, aquellos que no podrán ser evitados a través
de las diversas medidas implantadas
 Establecimiento de un Comité de Emergencia que será el encargado de gestionar la
situación de crisis ante una incidencia. Es el responsable de organizar al resto de
personal y de que la empresa pueda recuperarse de un incidente.
 Definición de las diversas situaciones posibles, elaborando procedimientos para
cada una de las incidencias que se podrían dar en una organización. Estos
procedimientos recogerán: En primer lugar, la situación que provocara una
incidencia determinada. Al producirse esta situación se deben comenzar las
acciones para evitar que el daño vaya a más y para comenzar la recuperación. En
segundo lugar, todas las acciones y las secuencias que deben llevarse a cabo ante
un incidente de seguridad. Las prisas y las situaciones de estrés, provocadas por este
tipo de incidencias, pueden hacer que no se lleven a cabo las acciones como se
deberían. Por ello, es importante tener por escrito todo el procedimiento detallado
y este debe ser conocido por las personas implicadas. Y, por último, contener los
registros que es necesario recoger durante la incidencia para su posterior análisis y
realización de acciones de mejora.

El plan debe haber sido probado y mejorado antes de que haya que aplicarlo. De no ser asi,
puede ser que en el momento de producirse el incidente el plan falle y no nos sirva para salir
de la situación, sino que la empeore. Así mismo, el plan debe ser conocido por todo el personal
involucrado directa e indirectamente. El grado de conocimiento del plan por parte de los
diferentes actores dependerá de su involucración dentro del mismo.

2.2.1 Fases del Plan de Continuidad:

Para desarrollar un Plan de Continuidad del Negocio es necesario seguir cuidadosamente las
siguientes fases:

1) Primera fase. Definición del proyecto, donde es necesario establecer los objetivos, el
alcance y el peor de los escenarios.
43

2) Segunda fase. Análisis de impacto en el negocio. Conocido por sus siglas en ingles
BIA (Business Impact Analysis). Debemos realizar un análisis de riesgos, evaluar el
impacto del incidente tanto económico como de cualquier otro tipo, identificar los
procesos y activos críticos, asignar el tiempo objetivo de recuperación y evaluar las
coberturas de los seguros y contratos.

3) Tercera fase. Selección de estrategias. Aquí hay que identificar los recursos
disponibles, evaluar las salvaguardas y estimar si conviene más aportar una solución a
nivel interno o a nivel externo. Con toda la información hay que valorar las ventajas y
desventajas de cada una de las estrategias posibles y escoger la más conveniente para
la organización. Con toda la información hay que valorar las ventajas de cada una de
las estrategias posibles y escoger la más conveniente para la organización.

4) Cuarta Fase: Desarrollo de planes en los que tenemos que implementar diferentes
procedimientos para afrontar las diversas incidencias.

5) Quinta fase: Pruebas y mantenimiento del plan de continuidad. Es imprescindible


probar el plan para garantizar que cuando haya que usarlo todo funcione como está
previsto. El plan debe ser probado periódicamente para identificar y corregir posibles
deficiencias e incluir actualizaciones del sistema. Estas Pruebas deben incluir, al menos
la restauración de las copias de seguridad, la coordinación del personal y departamentos
involucrados, la verificación de las conectividades de los datos y del rendimiento de los
sistemas alternativos, y la verificación del procedimiento para la notificación de las
incidencias y la vuelta a la situación inicial de normalidad.3

IRBC=ICT Readiness for Business Continuity) – (ICT – Information and Comunication


Technology)- Capacidad de una organización para soportar sus operaciones de negocio a través
de la prevención, detección y respuesta a interrupciones y recuperación de servicios de
Tecnología de información y comunicaciones Ticos).

3
www.inteco.es – 27031: Gestión de continuidad de Negocio
44

2.3 Norma ISO 27005 (Gestión de Riesgos):

La norma ISO 27005 alcanza el tratamiento de riesgos, la aceptación del riesgo, la


comunicación y consulta, el monitoreo y revisión. ISO 27005 se puede aplicar en todas las
empresas, independientemente del tipo de organización que sea o de su tamaño.

2.3.1 Riesgo

Por causa de los incidentes, que derivan en una pérdida de operatividad, aumentando los costes
de una organización son siempre los riesgos mal gestionados. Es ende que existe entonces la
necesidad de gestionar los riesgos y operar en continuidad del negocio ISO 27031:2011 no
requiere evaluaciones de riesgo según algún proceso específico. ISO 27005:2018 Gestión del
riesgo Principios y directrices puede ser una referencia útil para organizaciones que desean o
necesitan un enfoque más formal del riesgo (uso no obligatorio), ayuda a las organizaciones a
desarrollar su propia estrategia para administrar sus riesgos.

- La norma ISO 27005 (Gestión del riesgo – Principios y Guías) El estándar ISO 31000,
proporciona en forma integral a las organizaciones, principios bajo un marco de
proceso, destinado a gestionar cualquier tipo de riesgo de forma: Sistemática, Creíble,
Transparente. Esta norma se complementa con la ISO Guide 73:2018 Gestión del riesgo
Vocabulario.

- El estándar ISO 27005, proporciona técnicas sistemáticas de apoyo

- Para integrar la gestión del riesgo en ISO 27031: 2011, podemos seguir los criterios de
la norma ISO 27005: 2018.

2.4.- NORMA ISO/IEC 22317

La ISO 22317 es la primera y única norma que aborda exclusivamente el Análisis del Impacto
en el Negocio. El objetivo de los procesos de Análisis de Impacto en el Negocio es el de
analizar el impacto real de un evento perturbador en la organización.

2.4.1 Nueva ISO 22317: Guía práctica para realizar el BIA – Business Impact Analysis
45

La Organización Internacional de Normalización (ISO) a través de la comisión para la


redacción de las normas de seguridad, resilencia y continuidad del negocio, ha publicado la
norma ISO 22317 – Business Impact Análisis, la primera norma internacional enfocada
únicamente a abordar la elaboración de un Plan de análisis de impacto en el negocio (BIA).

La norma ISO 22317 debe ser utilizada como un documento independiente y/o complementario
a las normas ISO 22301 o ISO 22313 que nos sirva de orientación sobre cómo llevar a cabo el
proceso de BIA.

ISO 22317 nos guía paso a paso a través del proceso de elaboración del BIA en sus tres
secciones principales:

- Pre-requisitos

- Realización de la BIA

- Revisión y Seguimiento

En términos prácticos, la guía nos ayuda a la vinculación de un registro de riesgos con la


predicción de escenarios y elaboración de estrategias alineadas al BIA. Esto nos asegura que
todo riesgo con alto potencial de impacto es considerado por el plan de continuidad del negocio.
La norma ISO 22301 nos aporta los siguientes beneficios:

- ISO 22317 nos proporciona una nueva y mejorada definición de BIA, más clara y con
menos jerga, lo que es de agradecer.
46

- Ofrece una propuesta de valor para las organizaciones que luchan por ganar credibilidad
(buy-in).

- Identifica los requisitos previos para una organización antes de comenzar la BIA.

- Describe el proceso detallado de cómo llevar a cabo con eficacia el BIA.

- Propone los resultados del BIA (incluyendo los resultados de cada paso del BIA

- Proporciona opciones para la recolección de información de los diferentes métodos,


junto con el análisis de ventajas y desventajas de cada método.

- Describe otros usos para los que las organizaciones pueden optar por utilizar la BIA.

En resumen, ISO 22317 ayuda a las organizaciones a llevar a cabo uno de los elementos más
difíciles del ciclo de vida de la continuidad del negocio (BIA), ayudándonos a definir requisitos
precisos y útiles para la continuidad de negocio.

2.5 Análisis de Impacto de Negocio (BIA):

2.5.1 Objetivo de un Análisis de Impacto de Negocio (BIA):

El objetivo del Análisis de Impacto al Negocio es poder medir el impacto generado por una
interrupción u ocurrencia de incidentes. Este análisis se desarrolla con la identificación de los
procesos para el negocio según el impacto y las perdidas monetarias que se podrían generar.

- Identificar los impactos derivados de posibles incidentes disruptivos.

- Identificar las actividades críticas de la organización, facilidades, recurso humano


mínimo necesario para garantizar las operaciones del negocio.

- Establecer los tiempos objetivos para la recuperación (RTO) y el punto de recuperación


objetivo(RPO).

2.5.2 Metodología

El presente Análisis de Impacto al Negocio (BIA) está orientado principalmente en la norma


ISO/IEC 22317:2015. A través de su metodología se pueden identificar niveles de impacto,
47

niveles de servicio, productos, procesos y actividades críticas de negocio, y la priorización de


cada uno de ellos.

Para ello se consideran las siguientes acciones:

Tabla 9: Acciones BIA

Fuente 13: Elaboración Propia

La determinación de las dos primeras acciones son pre-requisitos para poder iniciar un análisis
BIA. Estos dos puntos nos brindaran información suficiente y actualizada de la organización
en la que se desarrollada el proyecto.
48

Figura 7: Diagrama de proceso BIA


Fuente: Elaboración Propia

Como siguiente acción se deben determinar los procesos críticos realizando el análisis
estableciendo el peor caso posible ocasionado por una interrupción teniendo en cuenta la
infraestructura actual de la organización. Tal como lo indica la norma ISO 22317 (2015), se
deben definir roles y responsabilidades para la recopilación de información, toma de
decisiones, planificación y gestión, análisis y documentación. En la figura 10 se definen las
responsabilidades para cada rol:

Tabla 10: Roles y Responsabilidades BIA


49
50

Fuente 14: Elaboración Propia


Los niveles de procesos a su vez van en desagregación desde el nivel 0, macroproceso; nivel
1, proceso concreto y nivel 2, sub-proceso o procesos más específicos que forman el proceso
de nivel 1.

Tabla 11: Niveles de proceso

Fuente 15: Resolución Ministerial MEF, 2018.


51

2.6.- Metodología Scrum

La metodología ágil es un desarrollo de software basadas en el desarrollo iterativo e


incremental, en contraposición a las metodologías tradicionales. Esto promueven respuestas
rápidas y flexibles al cambio mediante la promoción de la planificación adaptativa, la
identificación de requisitos colaborativos y la formación de un equipo internacional y auto
organizado, así como el desarrollo gradual de soluciones.

Scrum es una metodología de desarrollo ágil tiene como base la idea de creación de ciclos
breves para el desarrollo, que comúnmente se llaman iteraciones y que en Scrum se llamarán
“Sprints”. Por lo tanto, Scrum es un marco de trabajo iterativo e incremental, rápida, flexible y
eficaz diseñada para ofrecer un valor significativo de forma rápida en todo el proyecto.

Los eventos dentro del marco Scrum son los siguientes:

- Sprint Planning: Planificación de lo que se va a hacer

- Daily Scrum: Reunión diaria

- Sprint Revises: Revisión del producto

- Sprint Retrospective: Mejoras

Este marco de trabajo se creó para poder desarrollar, entregar y mantener productos complejos.
Según la guía SCRUM (2017), “se basa en la teoría de control de procesos empírico. Scrum
utiliza un enfoque iterativo e incremental para optimizar la predictibilidad y el control del
riesgo”. Las limitaciones en tiempo, cambios en los costos, alcance, calidad, recursos suele ser
en ocasiones un futuro incierto. Los cambios en tecnología, los incrementos directamente
proporcionales de amenazas hacen que se genere incertidumbre en la entrega de los productos.

Toda la implementación de control del proceso empírico se basa en tres pilares:

 Trasparencia: Los aspectos deben ser un estándar común para todos los
involucrados. De tal modo que exista una homologación de conceptos. Para
visualizar lo que se está avanzando se crea un tablero de 3 columnas y se definen
las tareas pendientes, en proceso y terminadas. Que los participantes tengan un
entendimiento común de lo que se ve.
52

 Inspección: Inspección frecuente para detectar variaciones

 Adaptación: Si se desvían aspectos de un proceso deben alinearse para evitar un


resultado inaceptable. Adaptar a lo que el cliente diga en la retroalimentación al
producto.

En Scrum opera bajo 4 eventos formales SCRUM (2017):

 Planificación de sprint (Sprint Planning)

 Scrum diario (Daily Scrum)

 Revisión del sprint (Sprint Review)

 Retrospectiva del sprint (Sprint Retrospective)

Para un mejor desenvolvimiento de los pilares, Scrum incorpora valores como el compromiso,
coraje, foco, apertura y respeto. Esto ayuda a fomentar la confianza entre en todo el equipo.

Roles del Scrum

Funciones y cargos que las personas realizan dentro de un equipo Scrum (Scrum Team)

- Product Owner

- Scrum Master

- Development Team

Características

- Auto-organizados y multifuncionales

- Diseñado para optimizar la flexibilidad, creatividad y productividad

- Ser cada vez más efectivos en cualquier trabajo así sea complejo

- Cada vez que se entregue un producto no quiere decir que ya termino, siempre se va a
trabajar con la mejora continua, siempre se va a mejorar o adicionar para ser mejor.
53

1. Product Owner:

- Representa la voz del cliente, maximizar el valor del producto.

- Visión global.

- Velar por los intereses de los stakeholders.

- Encargado de contactar con el cliente

- Comprender las necesidades del cliente y

- Gestionar Product Backlog (Lista de producto)

2. Scrum Master:

- Dar a entender los valores del Scrum

- Ser útil y estar al servicio del equipo

3. Development Team:

- Entregar un incremento de producto DONE que potencialmente se pueda poner en

- producción al final de cada Sprint. Potencialmente porque el producto va


mejorando

- según las necesidades del cliente.

- Un incremento DONE es obligatorio en un Sprint Review

- Solo los miembros del Development Team participan en la creación del incremento

- Tamaño del Development Team debe ser de 3-9 miembros.

4. Stakeholders:

- Cliente que adquiere un producto resultado del proyecto o servicio

- Usuario: el que usara el producto


54

- Patrocinador, provee los recursos. Capitalista.

Para la continuidad de negocio se utilizarán siempre los Backlog de riesgos y Backlog de


continuidad. Cada uno mostrara requisitos para analizar los riesgos prioritarios a atacar y el
según los planes de continuidad que sean más acordes a lo que la organización requiere. Cada
uno de estos desarrollada requisitos que serán integrados a los sprint y los equipos de desarrollo
trabajarán para conseguir el objetivo.

Figura 8: Flujo de Scrum


Fuente 16: Flujo de Scrum
55

3 CAPITULO 3: ANALISIS DEL PROBLEMA

En este presente capítulo se da relucir el ciclo para realizar un Sistema de Gestión de


Continuidad de Negocio, incluyendo lo mencionado en cada punto por la norma ISO
27031:2011, cómo diseñar un Plan de Continuidad Operativa para el proceso y el entregable
correspondiente a cada apartado.

En el análisis se establecen los principios del inicio de la Gestión de Continuidad de Negocios


para lograr comprender detalladamente esta práctica profesional. A continuación, se muestran
los aspectos que disponen la norma ISO/IEC 27031:2011 y la Guía de Buenas Prácticas del
BCI para iniciar el BCM. Por último, se describen las acciones necesarias para llevar a cabo en
la Institución Estatal.

3.1.- Alcance

El diseño de un plan continuidad operativo para el proceso del área de archivo de la oficina
sistemas para una institución estatal con base en la norma ISO/ IEC 27031:2011, para proponer
actividades que permitan su recuperación ante posibles amenazas o desastres con el fin de
contribuir a la modernización de la Institución Estatal.

En el área de archivo de la oficina de sistemas de una Institución Estatal se tiene que establecer
la necesidad de un Sistema de Gestión de Continuidad de Negocios, incorporando estrategias,
planes de continuidad de negocios y plan de gestión de crisis y emergencia, para lo cual es vital
conseguir el respaldo de la Alta Dirección para lograr organizar y comprender políticas, y
procesos críticos para construir el marco del BCM (Gestión de Continuidad de Negocio).

La política del BCM (Business Continuity Management) aprueba establecer el alcance del
programa BCM y refleja las razones del porqué está siendo diseñado este. La política
proporciona el contexto en el cual serán establecidas las capacidades requeridas e identifica los
principios a los que la institución estatal aspira.
56

La Norma ISO/IEC 27031:2011 define a la continuidad de negocios como “la capacidad


estratégica de la institución para permitir la continuidad de la entrega de productos o servicios
a niveles aceptables, previamente definidos”.

La institución al no contar con medios de control, esta se encuentra vulnerable ante un desastre
o incidente, es por ello que, la gestión de continuidad de negocios está estrechamente ligadas a
la gestión de seguridad de información y a Institución Estatal y comparten un mismo objetivo
el cual es asegurar la disponibilidad de los procesos críticos y la información según lo
requieran.

Por lo tanto, se utilizará la norma ISO 27005:2018 para gestionar los riesgos y la metodología
PDCA para la elaboración, y control de la propuesta. Esta norma nos presenta un sistema de
gestión basado en el ciclo de Deming: Plan, Do, Check, Act, conocido como PDCA (Planificar,
Hacer, Comprobar y Mejorar). El ciclo PDCA supone la implantación de un sistema de mejora
continua que pretende una constante evolución para adaptarse a los cambios producidos en su
ámbito y para tratar de conseguir la máxima eficacia operativa mediante las cuatro fases que lo
componen. Cada una de estas fases marca los objetivos que describe la norma ISO 27031:2011.

El proyecto estará enfocado en realizar un análisis del estado actual de la institución,


identificando las posibles amenazas o desastre y dándole una valoración según el nivel de
importancia para el proceso.

3.2.- Situación Actual:

En la actualidad el área de archivo de la Oficina de Sistemas tiene una serie de problemas tales
como; no cuenta con un plan de continuidad operativo para el proceso como lineamientos
fundados a metodologías obsoletas y/o desactualizada a la necesidad del área de archivos de la
oficina de sistemas para una institución estatal para mostrar oportunamente ante incidentes que
afecten sus procesos y sus recursos.

Comentada en la situación problemática para la institución estatal en el ámbito de proceso de


estudio y partiendo desde el desconocimiento de la propia información que se maneja en el
área de archivos y los propios activos que la soportan. Se han evidenciado los siguientes
problemas:
57

- Falta de una estructura organizacional de un Plan de Continuidad de Operativa a quien le


recaiga la responsabilidad y la obligación de los procesos de seguridad sobre los activos de
información del servicio y procesos de ascenso del personal en actividad.

- Carencia de procesos, lineamientos y políticas que propongan cambios a adoptar para evitar
la incorrecta manipulación de información confidencial del personal y propia de la
institución.

- Ausencia de Inventario de activos de a información asociados a los procesos de servicio


brindado y ascensos al personal de la Institución Estatal. Por consiguiente, no será posible
realizar un análisis de los riesgos a los que se encuentra expuesto, minimizando la
materialización de una amenaza sobre los mismos.

De acuerdo a los problemas comentados, se ha considerado necesaria la adopción de un diseño


de un Plan de Continuidad Operativo, teniendo como base de la norma ISO/ IEC 27031/2011
para la Institución Estatal. Debido a lo cual dentro de sus procedimientos y lineamientos
internos permitan asegurar la confidencialidad de la información de la misma.

3.3.- Impacto del Problema en la Institución Estatal

El estudio del impacto para resolver la viabilidad del Diseño de un Plan de Continuidad
Operativo en la Institución Estatal, comprende la disponibilidad de los recursos necesarios para
llevar a cabo los objetivos o metas señalados

El diseño de un Plan de Continuidad Operativo propone actividades para las posibles amenazas
o actividades ante cualquier evento disruptivo de forma manual al área de archivo para la
operación de los procesos tiene un periodo de varios años, desde que se establece siguiendo las
órdenes de la Directiva de Continuidad de Negocio, se ha presentado incidentes.

Es decir que los hechos observados, que son la pobre gestión de Continuidad de Negocio frente
a las posibles amenazas o desastres que se presentan almacenados en área de archivo,
probablemente se deba a que el proceso de gestión de continuidad de negocio no se cumpla por
motivos que el personal que labora no hayan sido pasado por una prueba de selección para
tener los criterios de confidencialidad. Además, otro de los problemas es la alta rotación del
personal a cargo del área de archivo, esto suele reflejarse en la falta de experiencia y
58

capacitación técnica en el tratado de la información para el área donde se trabaja con activos
de información de forma física; documentos confidenciales. Así mismo, el personal carece de
conocimiento de regulaciones de normativas sobre los procesos de continuidad Operativo,
riesgos, amenazas en la documentación reservado y clasificadas del personal. Por otro lado, no
se cuenta procesos o documentos que evidencien identificación de riesgos, no se identifican de
los riesgos, ni evaluaciones. Cabe resaltar el riesgo de las posibles amenazas puede ser de gran
pérdida de información.

Dada esta realidad el plan de continuidad Operativo ocasionara grandes amenazas y desastres
para dicha institución estatal.

Carencia de un documento formal de políticas de un Plan de Continuidad operativo

 Falta de estándares y normativas.

 Inexistencia de un sistema de gestión de calidad para tratamiento de los activos críticos


y su seguridad.

3.3.1.- Impacto Tecnológico

En la actualidad la tecnología de la información nos ofrece distintas soluciones de sistemas de


información basados en las buenas prácticas; para ello debemos analizar cómo se viene
trabajando el Plan de continuidad Operativo y estimar qué soluciones basadas en buenas
prácticas se les propone, adecuándoles a las necesidades de la institución. Esta implementación
pueda tener una buena acogida, pero esta va depender de acuerdo con la explicación y
familiarización de todo el equipo institucional, con el uso de este, esto elevaría el nivel
tecnológico como área ya que son nuevas propuestas en busca de mejores de la institución.

 Realizar una evaluación de las capacidades técnicas requeridas para las alternativas del
diseño.

 Verificar si el personal la experiencia técnica para establecer el diseño de un Plan de


Continuidad Operativo para la institución Estatal.

 Verificar que el personal con experiencia suficiente en el área de Continuidad Operativo


que será la encargada de supervisar el Diseño de un Plan de Continuidad Operativo para la
institución Estatal.
59

 Determinar la evaluación de la infraestructura Tecnológica que posee la institución y las


requeridas para el Diseño.

 Analizar el grado de aceptación que genera el Diseño Plan de Continuidad Operativo para
la institución Estatal.

 Una vez realizado las actividades anteriores se determina el impacto técnico si el personal
que labora en la institución posee experiencia técnica requerida para el Diseño y la
Infraestructura Tecnológica que posee son las adecuadas para el proyecto.

3.3.2.- Impacto Reputacional:

El impacto reputacional es un análisis que se realiza con los riesgos o incidentes ocurridos.
Para la institución Estatal es de gran importancia ya que al trabajar con documentos reservados
y confidenciales. Por ende, los procesos que se llevan a cabo en el área de archivo para el Plan
de continuidad operativo ante posibles contingencias, sean pequeños incidentes o grandes
catástrofes que interrumpan su actividad. que debe estar solo respaldado internamente. Por lo
tanto, el impacto reputacional se mide por un indicador y grado de escala tales como: indicador
débil el evento o incidente es conocido solo al ámbito de la institución. En el indicador medio
se cuándo el nombre de la institución es citado públicamente. Cuando el indicador en fuerte
con la perdida de reputación colocando en peligro la continuidad operativo institucional,
múltiples citaciones en los medios de comunicación. La institución es cuestionada con respecto
a cómo ha coordinado la situación y más sus valores y sus prácticas, investigación externa.

3.3.3.- Impacto Operacional:

El Impacto operativo permite especificar si la ruptura del servicio podría afectar todos los
sistemas operativos de la asesoría dejándola inoperante por completo. El impacto operacional,
describe a todos aquellos recursos donde intervienen las actividades o procesos del área de
archivo, durante esta etapa se identifican todas aquellas actividades que son necesarias para
lograr el objetivo y determinar todo lo necesario para llevarla a cabo, siguiendo los siguientes
pasos:
60

 Establecer el compromiso y el reconocimiento de la Dirección sobre las


responsabilidades del Diseño del Plan de Continuidad Operativo.

 Verificar si existe el presupuesto necesario para capacitación del personal involucrado


en el Diseño del Plan de Continuidad Operativo para la Institución Estatal.

 Establecer el compromiso necesario de la Dirección para el establecimiento del Diseño


del Plan de Continuidad Operativo para la Institución Estatal.

 Realizar la capacitación sobre las normas básicas de Continuidad Operativo, Políticas


de Continuidad operacional en la institución Estatal.

Una vez realizado las actividades anteriores se determinará el Impacto operativa, si el personal
se encuentra en la mejor disposición y compromiso para el desarrollo del Diseño del Plan de
Continuidad Operativo para la Institución Estatal.

3.3.4.- Impacto legal

El Impacto legal permite especificar el impacto legal regulatorio (demandas, multas,


investigación disciplinaria, investigación fiscal o intervenciones) en caso de la ruptura del
servicio o con la entrega de estos.

El impacto legal son perdidas por incumplimiento de leyes, normas, reglamentos, directivas,
practicas prescritas o normas de ética. El impacto legal a la organización es destacado en la
Imagen institucional que es de gran importancia para la Institución Estatal. Para la institución
Estatal cuenta con el área de la contraloría la cual se encarga de averiguar y analizar los
incidentes sucedidos y son los encargados de confirmar si se está cometiendo un caso ilegal.
Esta unidad hace salir a la luz ante los medios al personal que está violando la ley o estén yendo
en contra de las normas establecidas por la institución.

El creciente uso de las nuevas tecnologías ha propiciado la creación de un marco legal y jurídico
que protege a todas las partes interesadas en el uso de estas tecnologías y el intercambio y
tratamiento de la información a través de ellas.

La institución Estatal está formada por directivas internas donde se hace cumplimiento a la ley
de protección de datos. Asimismo, se cuenta con la ley de firma electrónica.
61

3.3.5.- Impacto económico

El impacto económico es un análisis que se realizara para determinar el costo - beneficio del
Diseño del Plan de Continuidad Operativo para la institución Estatal. Lo que se observa es que
el personal encargado del área de archivo se excusa que debido a los incidentes ocurridos con
las pérdidas de documentos hace que no se cumpla la culminación de los procesos o actividades
en el tiempo estimado, en la cual no permite lograr cumplir con el Plan de Continuidad
Operativo y por ende no se está cumpliendo lo esperado para la institución.

Según (SEEN, 1987), ‘’el desarrollo de un sistema los beneficios financieros deben igualar o
exceder los costos de inversión para la empresa, para poderse considerar factible
económicamente’’, por lo cual permite la utilización de los servicios y sistemas que se dispone
de manera eficaz y eficiente, rendir cuentas en los lapsos previstos, minimizar los tiempos de
respuestas a las peticiones realizadas por los usuarios, tener información actualizada y
consolidada así como control y auditoria de los servicios, sistemas, debido a que la seguridad
de la información juega un papel preponderante y cualquier monto de inversión para establecer
el Diseño de SGCN para la institución Estatal, considerado infimo respecto a los beneficios
que se obtienen.

Al analizar el impacto tecnológico, reputacional, operativo, y económica se determinará si el


diseño de un Plan de Continuidad Operativa para la institución Estatal, basado en las normas
(ISO/IEC 27031: 2011) es viable.

3.4.- Causas Origen del Problema

Las principales causas que ocasionan no llevar un mejor control y registros de las posibles
escenarios y amenazas o desastres que podrían afectar la continuidad operativa de las
actividades que realiza el área de archivo son:

a) Cultura mínima en Continuidad Operativo:

- La Institución Estatal no cuenta con un Diseño de un Plan de Continuidad


Operativo, controles para la continuidad de Negocio.

b) Organización no formal de Continuidad Operativo. -


62

- No existe una estructura formal que atienda incidentes críticos. No tienen detalles
específicos que pueda atender la continuidad de negocio en la Institución Estatal.

c) Normativa insuficiente:

- La Institución Estatal cuenta con solo con directiva en la cual no detalla la


especificación de la norma basado a la Continuidad de Negocio.

- No cuenta con controles de accesos a Sistemas de Información para la


verificación de las actividades o procesos en la organización, tales como
servidores de archivos, entre otros.

d) Clasificación de actividades, procesos e inventario de activos críticos:

- El área de archivo donde se guardan la documentación o historial de todo el


personal que labora para la institución estatal, se verifica que no está
cumpliendo en clasificar y tener un matriz de escenarios de amenazas.

- No existe un informe de Análisis de Impacto de Negocio (BIA) que estén


asociados e involucrados al proceso y servicios de calificación del personal
anual (ascensos, méritos) de la Institución Estatal.

- No cuenta con una matriz de escenarios de amenazas a lo que estas actividades


o procesos pueden estar expuestos. Asimismo, los riesgos asociados a la
concretización de una amenaza sobre los activos mencionados.

e) Competencia limitada para proteger las actividades y procesos de los activos


críticos:

- Por ser una Institución Estatal no cuentan con políticas, que detallen alguna
función del personal.

f) No existe un proceso de gestión definido:

- La Institución Estatal solo al contar con una directiva interna que no especifica
a detalle el tema de un Plan de Continuidad Operativo.
63

- Ausencia de un Plan de continuidad Operativo en donde se estipulen políticas y


procedimientos en relación a los escenarios de amenazas o más relevantes.

g) No se documentan adecuadamente los incidentes de las actividades y procesos


críticos:

- El área de archivo no cuenta con ningún libro de registro de incidentes


ocasionados de escenarios de amenazas. Es por ende que suceden la perdidas e
incidentes de la documentación reservada y confidencial del personal naval de
la institución.

3.5.- Consecuencia del Problema

a) Eliminación accidental de las actividades de los procesos: Perdida accidental de


información. Esta amenaza solo se identifica sobre datos generales, pues cuando la
información está expuesta. Riesgo está en la eliminación de la información.
Consecuencia - PÉRDIDA TOTAL DE LA INFORMACION.

b) Abuso de privilegios de acceso: Cada personal/usuario disfruta de un nivel de


privilegios para un determinado propósito; cuando el personal/usuario abusa de su nivel
de privilegios para realizar tareas que no son de su competencia, hay problemas. Riesgo
es el abuso de privilegios para realizar tareas que no son de su competencia.

c) Destrucción deliberada de la información: eliminación de información, con ánimo


de obtener un beneficio o causar un perjuicio. Riesgo la eliminación intencional de la
información. Consecuencia: INFORMACION NO DISPONIBLE.

d) Condiciones inadecuadas de temperatura o humedad: Deficiencia en la


aclimatación de los locales, excediendo los márgenes de trabajo de los personales:
excesivo calor, excesivo frio, exceso de humedad, etc. Riesgo Deterioro de los
documentos.

e) Error del Administrador: Falta de Capacitación, mala segregación de funciones,


desmotivación del personal. Riesgo en la equivocación de los administradores.
Consecuencia – ESTIMACION DE RIESGO EN LA DISPONIBILIDAD EL ALTO
64

3.6.- Solución al Problema:

Debido a los problemas en factor del Plan de Continuidad Operativo expuestos al proceso y
servicios de calificación anual del personal que labora en la institución Estatal (ascensos,
méritos), se vio necesario la adopción de algún modelo o sistema existente en el mercado
mundial, que brinde una solución integral y permanente a los problemas presentados. En base
a ello, la institución cree conveniente la adopción de un Diseño de un Plan de Continuidad
Operativo, basado a la norma ISO/IEC 27031:2011. Este Plan de Continuidad Operativo,
dentro de sus procedimientos y lineamientos internos permitirán a la institución:

Clasificar lo principales sistema de información involucrados en el proceso y servicios en el


área de archivo de la Institución.

 Determinar la cantidad de riesgos que superan el Nivel de Riesgo Aceptable (NRA) del
Plan de continuidad Operativo a los que se encuentran expuestos los procesos y
servicios críticos asociados a los procesos de calificación profesional anual del personal
en proponer una matriz de alternativas de solución de los mismos en el área de archivo
de la Oficina de Sistemas.

 Definir la Estructura Organizacional de un Plan de Continuidad Operativa,


estableciendo roles y responsabilidades en el manejo de la Continuidad de los activos
de información que integran el proceso de calificación anual del área de archivos de la
Oficina de Sistemas de la institución Estatal, proponer un plan de continuidad operativa
que permita consolidar los procesos, recursos, tecnología y formación del personal
requerido para iniciar el desarrollo e implementación del Plan de Continuidad
Operativo.

3.7.- Propuestas de Solución:

Para realizar el Diseño de un Plan de Continuidad Operativa para el área de archivos de la


oficina de Sistemas de la Institución Estatal, se empleará la norma ISO/IEC 27031:2011, el
cual adopta el enfoque de Procesos basados en el ciclo Deming ¨Planificar – Hacer –Verificar
– Actuar¨ (PHVA).
65

La propuesta de solución de este proyecto enfoca las actividades y procesos de servicios


gestionados por la Gerencia de la Oficina de Sistemas y Registros que se utilizan en los
procesos críticos de la institución estatal. Estas actividades para los procesos y servicios, para
este caso específicos, deberá contar con un plan de recuperación en caso ocurra alguna
interrupción y aun así continuar operativo con la alternativa de solución más óptima
considerando las variables de costos, tiempos de implementación e inversión.

Determinar las estrategias de recuperación de desastres que permitirán cumplir con los
objetivos de recuperación establecidos por el área de archivo de la oficina de sistemas para la
institución Estatal establecida con su indicador de logro matriz de escenarios de amenazas.

Es decir, para obtener un ambiente de Continuidad Operativo integral en estas instituciones, es


fundamental trabajar en conjunto desde el alto mando jerárquico hasta el menor componente
operativo adoptando marcos de referencias que garantice la correcta ejecución y control de los
procesos.

El Diseño de un Plan de Continuidad presentado dentro de esta tesis pretende que se siga una
serie de requisitos para que se establezca a través de la fase ¨ Planificar ¨ una vez establecido
el modelo se implementa siguiendo los lineamientos de la fase ¨ Hacer¨. Así mismo cuando el
modelo se ha implantado y está funcionando, se debe ¨monitorear y revisar¨ durante la fase ¨
Verificar ¨ y, por último, se procede a Actuar y tomar correctivos necesarios.

El alcance propuesto será la guía para el diseño de un Plan de Continuidad Operativa, y podrá
ser revisado y actualizado según lo indiquen las directivas de la entidad y/o en la revisión por
parte de la dirección general.

Al concluir el Diseño, se espera obtener los siguientes entregables:

Elaborar un análisis de riesgos que permita determinar los posibles escenarios de amenazas o
desastres que podrían afectar la continuidad operativa de las actividades que se realiza en el
área de archivos.

Determinar las alternativas de solución de recuperación más adecuada para cada estrategia
establecida.

- Análisis de Impacto de Negocio (BIA)

- Política del Sistema de Gestión de Continuidad de Negocio.


66

- Manual de Continuidad de Negocio.

- Conformidad del cliente.

3.8.- Registros de Interesados

El Director de Proyecto se apoyará en una serie de herramientas y técnicas para realizar su


análisis de interesados según su influencia, interés e impacto en el proyecto.

Tabla 12: Registros de Interesados

Fuente 17: Elaboración Propia

3.8.1.- Requisitos por Partes Interesadas


67

De acuerdo a las encuestas y evaluaciones obtenidas con las partes interesadas, se representa a
continuación, los requisitos para el Plan de Continuidad Operativo de acuerdo a lo requerido
por el estándar, representando sus necesidades y expectativas.

Tabla 13: Requisitos de las partes interesadas


68

Fuente 18: Elaboración Propia


69

Figura 9: Tabla de poder – interés


Fuente 19: Elaboración Propia

De manera se muestra en la tabla, en este se encuentra un listado en donde se registran los a


más detalle cada uno de los interesados, la categoría a la que pertenecen y el nivel de interés e
influencia que impactan sobre el proyecto.

3.9.- Cronograma - EDT

Tabla 14: Cronograma EDT

EDT Actividades Duración Fin %


(días) Completo
Total de Días proyectados 70 21/10/2021 100%
1 Inicio del Proyecto 1 Mie 30 -Junio 100%
Semana 1 1 Mie 30 -Jun 100%
1 Planificación 8 Mie 07 - jul 100%
Semana 1 2 Lun 05 - jul 100%
1.1 Acta de constitución 1 Vie 02 -jul 100%
1.2 Registros de Interesados 1 Lun 05 - jul 100%
Semana 2 1 Mar 06 - jul 100%
1.3 Cronograma 1 Mar 06 - jul 100%
Semana 3 2 Mie 07 - jul 100%
70

EDT Actividades Duración Fin %


(días) Completo
Total de Días proyectados 70 21/10/2021 100%
1.4 Plan de Proyecto 2 Mie 07 - jul 100%
2 Análisis 21 Lun 02 - Agos 100%
Semana 4 2 Vie 09 - jul 100%
2.1 Documento para el análisis del 2 Vie 09 - jul 100%
problema
Semana 5 5 Lun 19 - jul 100%
2.2 Documento para el análisis de 2 Mie 14 - jul 100%
Impacto al negocio (BIA)
2.2.1 Reunión con Gerente de General 1 Jue 15 - jul 100%
para que defina los niveles de las
actividades de los procesos
críticos
2.2.2 Reunión con el Gerente 1 Vie 16 - jul 100%
Financiero para definir los niveles
de las actividades de los procesos
críticos
2.2.3 Reunión con el Gerente Logística 1 Lun 19 - jul 100
para definir los niveles de las
actividades de los procesos
críticos
2.2.4 Identificación de procesos críticos 1 Lun 19 - jul 100%
con la Alta Dirección
Semana 6 2 Mar 20 - jul 100%
2.3 Documentación para los riesgos 2 Jue 22 - jul 100%
identificados
Semana 7 1 Vie 23 - jul 100%
2.4 Documento de Matriz de 1 Vie 23 - jul 100%
Requerimientos
Semana 8 7 Jue 05 - Agos 100%
2.5 Informes de Resultados de la 2 Vie 30 -jul 100%
Identificación de procesos
críticos
2.6 Informe de Resultados de Análisis 1 Lun 02 - Agos 100%
de impacto al negocio BIA
2.7 Informe de resultados de la 2 Jue 05 - Agos 100%
identificación de los escenarios de
amenazas identificados
3 Diseño del Proyecto 4 Lun 30 - Agos 100%
Semana 09 2 Vie 06 - Agos 100%
3.1 Informe del resultado de la 2 Vie 06- Agos 100%
evaluación y selección de la
estrategia de recuperación
Semana 10 2 Mie 11 - Agos 100%
3.2 Documento para la Evaluación de 1 Vie 13 - Agos 100%
las alternativas de Solución
71

EDT Actividades Duración Fin %


(días) Completo
Total de Días proyectados 70 21/10/2021 100%
3.2.1 Definición de Roles y 1 Lun 16 - Agos 100%
responsabilidades
3.2.2 Informe de resultados de mejores 1 Jue 26 - Agos 100%
opciones de alternativas de
solución
Semana 11 8 Jue 02 - Set 100%
3.3 Plan de Entrenamiento y 1 Vie 27 - Agos 100%
Capacitación
3.3.1 Talleres de capacitación y 3 Mar 31 - Agos 100%
concientización al personal
usuario
3.3.2 Talleres de entrenamiento para el 2 Mie 01 - Agos 100%
equipo de continuidad
3.3.3 Informe de resultados del plan de 1 Jue 02 - Set 100%
entrenamiento y capacitación
Semana 12 1 Vie 03 – Set 100%
3.4 Propuesta de diseño de plan de 1 Vie 03 – Set 100%
continuidad operativa
3.5 Especificaciones de 1 Vie 03 – Set 100%
Cumplimiento de la matriz de
requerimientos
4 Pruebas de un Plan de Mejoras 12 Mar 21 - Set 100%
Semana 13 4 Jue 09 - Set 100%
4.1 Diseño de un Plan de Pruebas 4 Jue 09 - Set 100%
Semana 14 4 Mie 15 - Set 100%
4.2 Ejecución de un Plan de Pruebas 4 Mie 15 - Set 100%
Semana 15 2 Vie 17 - Set 100%
4.3 Revisión de un plan de Resultados 2 Vie 17 - Set 100%
Semana 16 1 Lun 20 - Set 100%
4.4. Plan de Mejoras 1 Lun 20 - Set 100%
Semana 17 1 Mar 21 - Set 100%
4.5 Presentación del Final Proyecto 1 Mar 21 - Set 100%
Fuente 20: Elaboración Propia
72

3.10.- EDT - Matriz de Requerimiento para el Diseño de un Plan de Continuidad Operativa

Figura 2: EDT - Matriz de Requerimientos para el Diseño de un Plan de Continuidad Operativa.

Fuente 21: Elaboración Propia

3.11.- Análisis de proyecto BIA

Con el fin de desarrollar satisfactoriamente el presente proyecto se ha contemplado cuatro fases


vitales las cuales, a su vez, permitirán el diseño de un Plan de continuidad operativa basado en
la norma ISO/IEC 27031-2011 para el área de archivos de la Oficina de Sistemas de la
Institución Estatal, a saber.
73

3.12.- Análisis de Impacto de Negocio (BIA):

En esta parte se presenta los pasos para realizar un Análisis de Impacto del Negocio (BIA) en
el área de archivo de la Oficina de Sistemas para una Institución Estatal. Seguidamente, se
muestran los aspectos que disponen la norma ISO/IEC 27031:2011 y la Guía de Buenas
Prácticas del BCI para la realización de un BIA. Por último, se describen las acciones
necesarias para efectuarlo en la Institución Estatal.

En tal sentido, se realizó el Análisis de Impacto al negocio (BIA) planificado con anterioridad
en los puntos anteriores de entrevistas y reuniones con la alta dirección y responsable directos
de los procesos. Aquí se identificarán los procesos de la organización, los impactos asociados
a estos y su priorización. Luego, con esta información se determinarán los tiempos de
recuperación de niveles de servicio de los servicios de TI asociados a dichos actividades y
procesos críticos.

Al finalizar el proceso de Análisis BIA, los resultados preliminares deberán ser enviados a los
responsables de los procesos para efectivamente dar conformidad al resultado.

3.13.- Metodología

El presente Análisis de Impacto al Negocio (BIA) está orientado principalmente en la norma

ISO/IEC 22317:2015. A través de su metodología se pueden identificar niveles de impacto,


niveles de servicio, productos, procesos y actividades críticas de negocio, y la priorización de
cada uno de ellos (ISO 22317, 2015).

Tabla 15:Acciones BIA


Nª ACCIONES BIA

1 Determinar los objetivos y alcance para establecer el contexto de la organización a evaluar.

2 Roles y responsabilidades del comité que realizará la evaluación

3 Identificar los procesos de las áreas de negocio

4 Determinar los procesos críticos y determinar su impacto debido a una interrupción


74

5 Identificar los servicios de TI asociados a estos proceso críticos


6 Identificar los recursos asociados a estos servicios

7 Determinar el RTO

8 Determinar el RPO
9 Establecer el máximo periodo de interrupción (MTPD) que puede soportar cada proceso

10 Categorizar los servicios de TI con la prioridad de recuperación

Fuente: 1 Elaboración Propia

Figura 10: Proceso de Análisis de Impacto en el Negocio


Fuente 22: ETP-ISO/TS 22317:2019 Especificación Técnica Peruana, ISO:2015 -
INACAL: 2019

3.13.1.- Procedimiento de la Realización de las Acciones BIA:

Paso 1: En la determinación de las dos primeras acciones son pre- requisitos para poder iniciar
un análisis BIA. Esto dos puntos nos brindaran información suficiente y actualizada de la
organización en la que se desarrolla el proyecto.
75

Figura 11: Diagrama de Proceso de Entrada y Salida BIA


Fuente: 2 Elaboración Propia

3.13.1.1.- Determinar los objetivos y alcance para establecer el contexto de la organización a

evaluar.

En primera instancia se debe plantear el objetivo de tal evaluación, este tiene que ser medible,
alcanzable, dentro de un tiempo establecido y definir que se quiere lograr con esta evaluación.
La definición del alcance debe establecerse en términos de procesos, productos y/o actividades
se desean tener como caso de estudio.

Para definir el contexto de la institución Estatal se hará uso de la Matriz FODA, al respecto
David (2013) señala que esta herramienta analiza tanto el contexto interno y externo de la
organización. Este recurso permite establecer 4 análisis: Fortalezas, Oportunidades,
Debilidades y Amenazas (Anexo 1):

- Análisis Interno (Fortalezas y Debilidades)


76

- Análisis Externo (Oportunidades y Amenazas)

- Elaboración de la matriz

Aplicación de la Metodología:

En este trayecto se inicia con el desarrollo de la Matriz FODA conocida como una herramienta
estratégica de análisis de la situación del Área de Archivo del Oficina de Sistemas con el
propósito de planificar una estrategia a Futuro. En la cual va permite identificar tanto las
oportunidades como las amenazas que presentan nuestro mercado, y las fortalezas y debilidades
que muestra nuestra Institución.

Figura 12: Matriz FODA


Fuente: Adaptado de Matriz FODA (David, 2013).

Para este análisis se considerará solo el Análisis Interno y Externo de la Matriz FODA, para
obtener la información necesaria del estado actual de la Institución Estatal.
77

3.13.1.2.- Roles y responsabilidades del comité que realizará la evaluación

Como siguiente acción se deben determinar los procesos críticos realizando el análisis
estableciendo el peor caso posible ocasionado por una interrupción teniendo en cuenta la
infraestructura actual de la organización. Tal como lo indica la norma ISO 22317 (2015), se
deben definir roles y responsabilidades para la recopilación de información, toma de
decisiones, planificación y gestión, análisis y documentación. En la Tabla 6 se definen las
responsabilidades para cada rol:

Tabla 16: Roles y Responsabilidades BIA


ROLES RESPONSABILIDADES

Ser un ejecutivo que represente a la alta dirección

Ser respetado dentro de la organización por otros miembros de la alta dirección

Tener una perspectiva de toda la organización


Patrocinador del
Tener la autoridad para comprometer a la organización a actuar
proyecto
Tomar decisiones finales sobre el proceso BIA

Representar a la alta dirección

Proporcionar asesoramiento y orientación continuos sobre la conducción del proceso de


BIA
Comité Directivo Acordar los métodos y resultados
del Proyecto Tomar decisiones sobre los resultados de BIA

Ayudar al líder de BIA y al gerente de proyecto a determinar las competencias


requeridas para los roles y responsabilidades de BIA y la conciencia, conocimiento,
comprensión, habilidades y experiencia necesarias para cumplirlas

Realizar el proceso BIA

Tener un conocimiento de la organización, en particular de productos, servicios,


Líder BIA
servicios y procesos

Tener experiencia en la realización de un proceso BIA

Gerente de Planificar y gestionar el proceso de BIA


proyectos Tener conocimiento de las tareas de planificación de proyectos

Estar familiarizado con el proceso BIA

Tener una comprensión relativamente detallada del proceso en el que representan para
ayudar al director del proyecto a identificar a los expertos en la materia, las unidades
organizativas y los impactos del tiempo de inactividad
78

Tener la autoridad para asignar prioridades de recursos específicos del proceso

Propietarios de
procesos

Tener un conocimiento muy detallado de la actividad en la que representan, incluidos


todos los recursos que permiten que la actividad opere.
Responsables de
Estar al tanto de los procesos y recursos alternativos que podrían estar disponibles en
actividad caso de una pérdida de recursos primarios

Fuente 23: Resumen de los Funciones y competencias específicas de BIA adaptado de la


sección 4.3.2 de la norma ISO 22317, 2015.

Para casos en que la empresa es más pequeña se pueden combinar los roles. Además, la
organización debe garantizar las competencias necesarias para las responsabilidades antes
descritas en la Tabla 14 para poder así desarrollar un correcto análisis colaboración y
comunicación efectiva. Estas acciones nos brindan visibilidad de la situación actual de la
organización y los responsables que desarrollaran el análisis BIA (Ver Anexo 1).

Aplicación de la Metodología:

En esta etapa antes de llevar a cabo el proceso BIA, la alta dirección del Área de Archivos de
la Oficina de Sistemas debería asegurar que las responsabilidades y autoridades para que los
roles relevantes se asignen y comuniquen dentro de la Institución Estatal. En la cual tabla 15
detalla los Roles BIA de la Institución. Asimismo, se encuentra detallado en el Anexo 1 los Pre
requisitos BIA.

Tabla 17: Roles BIA


Roles BIA

Patrocinador de Gerente General Gerencia


proyecto General
Área a la que pertenece

Comité Gerente General Gerencia


Directivo del General
Proyecto
Líder BIA Administrador de TI Gerencia
de TI
Project Manager Analista de Infraestructura y Gerencia
Redes de TI
Propietarios de procesos Gerente de Operaciones, Alta
Gerente de Logística, Dirección
79

Gerente Financiero y Gerente


de
Gestión Humana.
Responsables de Analista de Infraestructura y Gerencia
actividad Redes de TI
Fuente 1: Elaboración Propia
80

3.13.1.3.- Identificar los procesos de las áreas de negocio

Para la identificación de procesos dentro de una organización tal como ha concluido en


Harrington (1991), a partir de un listado de procesos de negocio, el responsable de esta tarea
debe enviarlo a un especialista de procesos que cuente con la capacidad de toma de decisiones.
Para este caso práctico se contará con la experiencia de la Alta Dirección y la Gerencia General
para la toma de decisiones de los procesos críticos de la organización.

Como un criterio adicional de selección Harrington señala que: “… los procesos críticos son
aquellos que tienen alta importancia, así como altas oportunidades de mejora, y estos son los
que primero deben ser atacados” (p.39). Los procesos y el grado de complejidad de estudio que
se requiera solo dependerá de la complejidad de la corporación y por ende la alta dirección.

Por otra parte, el Ministerio de Economía y Finanzas (2018) nos muestra que para la selección
de procesos y servicios es significativo contar con un esquema, secuencial y ordenado para la
identificación de los procesos y las actividades de la organización. Esto nos brinda una visión
clara del flujo del proceso y producto que se entrega al cliente.

Tal como lo indica el MEF (2018), la elaboración del mapa de procesos se clasifica en 3 grupos:
81

Figura 13: Clasificación de los procesos

Fuente: La clasificación de los procesos adaptado de la Resolución Ministerial MEF, 2018

Los niveles de procesos a su vez van en desagregación desde el nivel 0, macroproceso; nivel
1, proceso concreto y nivel 2, sub-proceso o procesos más específicos que forman el proceso
de nivel 1 tal como indica la tabla 15.

Tabla 18: Niveles de proceso


Nivel de Proceso Descripción

Proceso Nivel 0 Macro procesos o Procesos Globales, son un grupo de procesos unidos por
especialidad, tienen como salida un producto/servicio concreto generado por la
totalidad de la organización y que es entregado a usuarios finales. Estos procesos
pueden determinarse de la misión y/o funciones generales de la organización

Proceso Nivel 1 Proceso concreto, que forma parte de un macro proceso o proceso global, en
conjunto agregan valor a los productos y servicios finales. Constituye el primer
nivel de desagregación de los macro procesos.

Proceso Nivel 2 Procesos o actividades que en conjunto forman al proceso de nivel 1. Constituye
el segundo nivel de desagregación del macro proceso, son más específicos que
estos últimos, describen actividades y tareas que explican una cadena que genera
valor.

Fuente: Descripción de los niveles de desagregación de procesos adaptado de la Resolución


Ministerial MEF, 2018
82

Aplicación de la Metodología:

En esta acción los procesos de la Institución se muestran hasta la escala de nivel 1 de proceso.
El caso de estudio se enfocará en los procesos de nivel 1 teniendo como entrevistados a los
responsables de cada uno de los procesos de Nivel 0.

En el análisis de proceso de negocio de identificar, evaluar y resolver los problemas ayudara a


la institución a mejorar sus procesos, transformar el negocio y brindar a sus consumidores una
mejor experiencia. Por ello, es necesario que realicen constantemente un análisis de procesos
de negocio.
Tabla 19: Funciones de Procesos del Área de Archivos de la Oficina de Sistemas
ID. ID. NIVEL 1 CODIGO NIVEL 0 CODIGO NIVEL 1
TIPO DE PROCESO NIVEL 0 NIVEL 0 NIVEL RESPONSABLE DE
1 PROCESO

1.1 Definir el concepto de Gerente General PA –DE-01.1.1


negocio y la visión a largo
Desarrollo de plazo
la visión y
estrategia 1.2 Desarrollar la estrategia de Gerente General PA –DE-01 PA –DE-01.1.2
1 corporativa negocio

1.3 Ejecutar y medir las Gerente General PA –DE-01.1.3


iniciativas estratégicas

2.1 Gestionar las proyecciones Jefe de Finanzas PA – RF-01.2.1


de la información financiera

2.2 Realizar la gestión de Tesorero PA – RF-01.2.2


ingresos

2.3 Gestionar la contabilidad y Contador General PA – RF-01.2.3


elaborar información
PROCESOS financiera
ADMINISTRATIVOS 2 Gestión de los PA – RF-01
recursos 2.4 Procesar planillas Gerente de RRHH PA – RF-01.2.4
DE CERTIFICADOS
financieros
2.5 Procesar pagos y adelantos y Tesorero PA – RF-01.2.5
reembolsar gasto

2.6 Manejar operaciones de Tesorero PA – RF-01.2.6


Tesorería

2.7 Gestionar control financiero Contador General PA – RF-01.2.7

2.8 Gestionar impuestos Contador General PA – RF-012.8


84

ID. ID. NIVEL 1 CODIGO NIVEL 0 CODIGO NIVEL 1


TIPO DE PROCESO NIVEL 0 NIVEL 0 NIVEL RESPONSABLE DE
1 PROCESO

Gestión y 3.1 Gestionar los productos del Jefe de Área de Archivo PA-DP-01.3.1
desarrollo de Área de Archivos
3 productos PA-DP-01
3.2 Generar y definir nuevos Líder de mejora PA-DP-01.3.2
productos y mejoras continua

4.1 Desarrollar estrategia de las Gerente PO-VM-01.4.1


actividades de procesos para
el área de archivo Comercial

4.2 Gestionar servicio y Líder de PO-VM-01.4.2


Actividades actividades para el personal PO-VM-01
aplicaciones
de procesos y
4 productos 4.3 Desarrollar, Administrar y Gerente PO-VM-01.4.3
servicios Gestionar Planes de
procesos Comercial

5.1 Planificar y alinear el Gerente de PO-EP-01.5.1


PROCESOS procedimiento de procesos
OPERATIVOS DE en el área de archivo operaciones
EVALUACION DE
PERSONAL
5.2 Abastecer Materia Prima Jefe de Logística PO-EP-01 PO-EP-01.5.2
para las actividades de los
procesos en el área de
5 Entrega de archivo
procesos 5.3 Aprovisionar suministros, Jefe de Logística PO-EP-01.5.3
repuestos, equipos y
servicios
5.4 Producir/ Procesos de Gerente de Planta PO-EP-01.5.4
certificados, proceso de
85

ID. ID. NIVEL 1 CODIGO NIVEL 0 CODIGO NIVEL 1


TIPO DE PROCESO NIVEL 0 NIVEL 0 NIVEL RESPONSABLE DE
1 PROCESO

evaluación profesional del


personal.

5.5 Administrar actividades de Jefe de Logística PO-EP-01.5.5


procesos, almacenamiento.

6.1 Planificar estratégicamente Gerente de RRHH PS-GP-01.6.1


el diseño institucional

6.2 Seleccionar y administrar la Supervisor de Gestión PS-GP-01.6.2


información del Personal Humana

6.3 Desarrollar y orientar a los Gerente de RRHH PS-GP-01.6.3


empleado

6.4 Gestionar relaciones con los Asistente Social PS-GP-01.6.4


empleados
PROCESOS DE 6 Gestión de PS-GP-01
SOPORTE las Personas 6.5 Gestionar las Gerente de RRHH PS-GP-01.6.5
compensaciones y
beneficios
6.6 Reubicar o retirar al personal Asistente Social PS-GP-01.6.6

6.7 Comunicar internamente al Asistente de PS-GP-01.6.7


personal
RRHH

7.1 Gestionar el negocio de la Jefe del Área Soporte de PS-TI-01.7.1


tecnología de información TI
Gestión de la PS-TI-01
Tecnología 7.2 Desarrollar y gestionar las Jefe del Área Soporte de PS-TI-01.7.2
7 de la relaciones de los clientes TI
Información
86

ID. ID. NIVEL 1 CODIGO NIVEL 0 CODIGO NIVEL 1


TIPO DE PROCESO NIVEL 0 NIVEL 0 NIVEL RESPONSABLE DE
1 PROCESO

8.1 Planear y adquirir activos no Jefe de PS-GA-01.8.1


productivos
Mantenimiento

8.2 Diseñar e instalar activos de Gerente de Operaciones PS-GA-01.8.2


información
Adquisición, PS-GA-01
instalación y 8.3 Gestionar y mantener los Sub-Gerente de PS-GA-01.8.3
8 gestión de activos información Mantenimiento
activos
8.4 Disponer de los activos Gerente de Operaciones PS-GA-01.8.4
productivos y no
productivos de la institución.

9.1 Desarrollar y Administrar Gerente de PS-SE-01.9.1


Estrategia de proceso
Gestión de la Seguridad
seguridad,
9.2 Gestionar Riesgos y Gerente de PS-SE-01 PS-SE-01.9.2
salud y medio Controles
9 ambiente Seguridad
9.3 Asegurar Cumplimientos Gerente de PS-SE-01.9.3
Seguridad

Fuente 24: Elaboración Propia


La información de procesos de la Institución Estatal ha sido trabajada en base a sus procesos
de nivel 0. En la Fig.18 se detallan dichos procesos ya que los responsables de dichos procesos
pertenecen a su vez a la alta dirección y facultad en la toma de decisiones con respecto a la
información de su proceso.

Figura 14: Mapa de Procesos

Fuente 25: Elaboración Propia

3.13.1.4.- Determinar los procesos críticos y determinar su impacto debido a una interrupción

En esta determinación se debe detallar los criterios y escalas de evaluación para la


identificación de los procesos en el área de ascensos. La evaluación se deberá realizar a los
responsables o principales representantes de negocio de cada proceso de la organización,
llamados también integrantes de la alta dirección de la empresa, para definir los procesos
críticos y las escalas de cada proceso de nivel 1 (Ver Anexo 2)
88

En la Tabla 18, muestra las escalas de evaluación que se han identificado para cada criterio. De
acuerdo a la norma ISO 22317 (2015), se deben considerar para el análisis de procesos críticos
en un análisis BIA el impacto operacional, imagen o reputacional, contractual y económico.
Para este caso de estudio no se han considerado impactos como financiero, legal y regulatorio
ya que no aplican al negocio de la empresa en cuestión.

Para el análisis de impacto económico

Ahora bien, para realizar la ponderación de las escalas el Ministerio de Economía y Finanzas
del Perú a través de la Resolución Ministerial MEF (2018) señala que: “Para su identificación
se les asigna valores que luego son promediados y cuyo resultado es utilizado para obtener la
primera lista de procesos críticos” (028-2015-PCM., 2020, pág. pag. 22)
89

Tabla 20: Criterios de evaluación de procesos


CRITERIOS DE EVALUACION
Calificación Bajo (1) Moderado (2) Severo (3)
OPERACIONAL Se origina una interrupción Se origina una interrupción La paralización del pro
operativa muy leve con considerable en la ceso obliga al cliente a
Impide obtener el
mínimo un impacto en la producción con impacto cambiar de proveedor de
producto o
atención de los clientes. moderado en las forma temporal. Las ven
resultado del
operaciones, la perdida de tas no realizadas no se
proceso en
capacidades se recupera recuperan, se originan
cuestión
parcialmente al reanudar la retrasos graves en los
actividad. procesos operativos.
REPUTACIONAL La reputación de la Si el proceso no se encuentra Si el proceso no se
compañía no se vería disponible se genera pérdida encuentra disponible
Opinión negativa o
afectada, aun que podrían de confianza por parte de los afecta totalmente la
daño a la marca
originar se reclamos leves. personales, esto puede imagen de la empresa, se
generar posibles reclamos de pierde posicionamiento e
responsabilidad por parte de imagen, así como pérdida
los personal de la institución de confianza y
(clientes) credibilidad.
CONTRACTUAL Si el proceso no está Se originan pérdidas Se generan alta pérdidas
disponible no se originan financieras por no atender financieras por no atender
incumplimientos de normas, contratos con los clientes en contratos con los clientes
Responsabilidad
regulaciones o procesos las fechas de entrega en las fechas de entrega
por contratos
contractuales, ni perdidas programadas. Faltas en el establecidas. Falta de
económicas. Cumplimiento generando cumplimiento genera
penalidades y/o multas penalidades y/o multas
establecidas previamente. establecidas previamente.
ECONOMICO (*) Cuando la paralización del Cuando la paralización del Cuando la paralización del
proceso afecta mínimamente proceso afecta considerable proceso afecta drástica
te los ingresos de la mente los ingresos de la mente los ingresos de la
Costos adicionales,
empresa. Las pérdidas empresa. La pérdida de empresa y afecta drástica
penalizaciones o
económicas son menores al ingresos afectara mente la facturación de la
pérdida de
0.25% de la facturación considerable mente la organización. La pérdida
ingresos
mensual de la empresa. facturación de la de Ingresos se consideran
organización. La pérdida de en el rango superior al
Ingresos considerados hasta 0.5% de la facturación
0.5% de la facturación mensual de la empresa.
mensual de la empresa.
90

Fuente 26: Elaboración Propia


(*) El porcentaje (%) de perdida es estipulado por la alta dirección tomando en cuenta los ingresos promedio de
un mes de facturación.

Con estos puntos definidos el nivel de criticidad obtenido sería el promedio de la valoración de
los impactos. Para la definición de los procesos se definen niveles de criticidad los cuales se
muestran en la Tabla 19.

Figura 3: Nivel de criticidad

Fuente 27: Elaboración Propia

El cálculo del promedio para los 4 impactos descritos anteriormente se detalla en la siguiente

formula.:

Se debe determinar el valor de criticidad a considerar para seleccionar los procesos críticos
resultantes. Por acuerdo con la alta dirección, para este caso de estudio, los procesos que tienen
valorización de criticidad Alto [2.5-3.0] se consideraran procesos críticos. Los valores a
analizar deberán colocarse en el siguiente cuadro:
91

Figura 4: Evaluación de procesos

Fuente: Elaboración Propia

El resultado de este análisis de la Tabla 20, serán los procesos críticos de la organización los
cuales serán objeto de estudio para este proyecto.

Aplicación de la Metodología:

Del análisis realizado en la Tabla anterior de alternativa de solución, se puede determinar que
tres de los procesos son los más críticos para la Institución y que estos ocasionarían un gran
impacto si sufren una interrupción prolongada.

Recordemos la valoración de impactos brindada para cada nivel propuesto en la Tabla 8.


Criterios de evaluación de procesos.
Tabla 21: Matriz de determinación de procesos críticos y niveles de impacto
PROCESOS PROCESOS NIVEL 1 RESPONSABLE DE CALCULO CRITICIDAD

REPUTACIONAL

REGULATORIO
OPERACIONAL
NIVEL 0 PROCESO O+R+L+E/4=

ECONOMICO
LEGAL Y
RESULTADO

Desarrollo de la Definir el concepto de Gerente General 1 2 1 1 1.25 Bajo


visión y estrategia negocio y la visión a largo
institucional plazo

Desarrollar la estrategia de Gerente General 1 1 2 2 1.5 Medio


negocio

Ejecutar y medir las Gerente General 1 1 2 1 1.25 bajo


iniciativas estratégicas

Gestión de los Gestionar las proyecciones Jefe de Finanzas 1 1 2 1 1.25 bajo


recursos de la información financiera
financieros
Realizar la gestión de Tesorero 1 1 2 1 1.25 bajo
ingresos

Gestionar la contabilidad y Contador General 1 1 2 1 1.25 bajo


elaborar información
financiera
Procesar planillas Gerente de RRHH 1 1 2 2 1.5 Medio

Procesar pagos y adelantos Tesorero 1 1 2 2 1.5 Medio


y reembolsar gastos
93

PROCESOS PROCESOS NIVEL 1 RESPONSABLE DE CALCULO CRITICIDAD

REPUTACIONAL

REGULATORIO
NIVEL 0 PROCESO

OPERACIONAL
O+R+L+E/4=

ECONOMICO
LEGAL Y
RESULTADO

Manejar operaciones de Tesorero 1 1 2 2 1.5 Medio


Tesorería

Gestionar control financiero Contador General 1 1 2 2 1.5 Medio

Gestionar impuestos Contador General 1 1 2 1 1.25 Bajo

Gestión y Gestionar las actividades de Jefe de Sistemas 1 1 1 1 1 Bajo


desarrollo de procesos
actividades
Generar y definir nuevas Líder de mejora 1 1 1 1 1 Bajo
actividades y mejoras continua

Entrega de Planificar y alinear las Gerente de operaciones 1 1 1 1 1 Bajo


actividades de actividades de procesos
procesos
Abastecer Materia Prima Jefe de Logística 3 2 2 3 2.5 Severo
para los procesos en el área
de archivos

Aprovisionar suministros, Jefe de Logística 3 1 2 2 2 Moderado


repuestos, equipos y
servicios

Producir/ Procesos de Gerente de Planta 3 1 3 3 2.5 Severo


certificados , evaluación
Profesional del personal
94

PROCESOS PROCESOS NIVEL 1 RESPONSABLE DE CALCULO CRITICIDAD

REPUTACIONAL

REGULATORIO
OPERACIONAL
NIVEL 0 PROCESO O+R+L+E/4=

ECONOMICO
LEGAL Y
RESULTADO

Administrar actividades de Gerente de Logística 3 2 2 2 2.25 Severo


procesos, almacenamiento.

Gestión de las Planificar estratégicamente Gerente RRHH 1 1 2 1 1.25 Bajo


Personas el diseño institucional

Seleccionar y administrar la Supervisor RRHH 1 1 2 1 1.25 Bajo


información del Personal

Desarrollar y orientar a los Gerente de RRHH 1 2 1 1 1.25 Bajo


empleados

Gestionar relaciones con los Asistente Social 1 1 1 1 1 Bajo


empleados

Gestionar las Gerente de RRHH 1 1 2 1 1.25 Bajo


compensaciones y
beneficios

Reubicar o retirar al Asistente Social 1 1 2 1 1.25 Bajo


personal

Comunicar internamente Asistente de RRHH 1 1 1 1 1 Bajo

Fuente 28: Elaboración Propia


Luego del análisis realizado los procesos críticos resultantes son los que se observan en la tabla
siguiente

Tabla 22: Procesos Críticos


Procesos Nivel 1 Responsable de Proceso

Abastecer Materia Prima para el área de procesos Jefe de Logística

Producir/ Procesos de asensos y servicios críticos Gerente de Planta

Administrar actividades de procesos, Gerente de Logístico


almacenamiento.

Fuente 29: Elaboración Propia

Se puede determinar que los procesos en el área de archivo son los que están asociados a la
cadena de suministro con acentuación en el proceso productivo. Estos tienen a su vez servicios
de TI que los soportan. En escala de valoración el proceso “Abastecer Materia Prima para los
procesos en el área de archivos” obtuvo el mayor puntaje “2.75” mientras que los dos procesos
restantes obtuvieron el puntaje de “2.5”.

Aplicación de la Metodología:

En esta etapa los procesos de servicios del área de archivos tienen como base recursos de
hardware, software, personal entre otros. Se debe tener en cuenta estos recursos al momento de
determinar las estrategias y alternativas de solución.
96

Tabla 23: Recursos y registros vitales

SERVICIOS DEL AREA


DE ARCHIVO DE LA
OFICINA DE SISTEMAS Recursos (HW/SW/PERSONAL/EQUIPOS)
Hardware Software Personal

Servidor Dell PowerEdge T320 - Sistema Operativo


Sistema central del área
de archivo - Procesador: Intel Xeon  Windows Server Analista de
2.8 GHz 2008 R2 Infraestructura

- RAM: 8 GB - Base de Datos

- Espacio almacenamiento:  SQL Server 2012


750 GB

Sistema de Control de
Proceso - Servidor virtual - Sistema Operativo Analista de
Infraestructura
 Procesador Intel Xeon  Windows Server
3.0 2012 - Virtualización

 RAM: 8 GB

 Almacenamiento: 300
GB

Servicio de conexión
remota VPN  Firewall Cisco ASA 5510 Licencias
20 licencias disponibles

Modulo Planificación
para los procesos - Servidor Blade HP - Sistema Operativo
Windows Server Encargado de
 Procesador: Intel Xeon 4 2016 STD
Ghz Soporte de TI
- Base de datos
 RAM: 64 GB Espacio
almacenamiento: 750  SQL Server 2012 -
GB - Storage ERP SAP Business
One v 740
 Espacio Almacenamiento
4 TB

 Procesador 2 six-cpre 1.8


Ghz

3.13.1.5.- Identificar los servicios de TI asociados a estos procesos críticos

En la siguiente acción es determinar los servicios de TI que soportan estos procesos en el área
de archivo. A su vez se desarrollarán entrevistas con cada responsable de proceso crítico de la
97

institución estatal, procurando mostrar de forma sencilla y practica como se realiza esta fase
del proceso de evaluación. En estas entrevistas se consultarán 4 criterios fundamentales para el
análisis de impacto, son los valores de recuperación RTO, RPO, WRT y MTPD (ISO 22317,
2011). A continuación, se definen estos valores según la norma descrita anteriormente:

Figura 5: Niveles de servicio

Fuente 30: Resumen de Anexo B - Business Impact Analysis Terminology Mapping de la


Norma ISO 22317

3.13.1.6.- Identificación los servicios de TI asociados a estos procesos críticos

Para los cálculos de estos valores se deben emplear las siguientes formulas y deberán ser
aplicados a los servicios de TI y recursos en el área de archivo que estén asociados a estos
procesos.

Para esta recopilación de información se deberá plantear un cuestionario con escalas de tiempo
y cada uno de los valores de recuperación. Como ya se indicó estos análisis deben tener en
consideración los recursos e infraestructura contra el impacto de cada proceso.

Aplicación de la Metodología:
98

Como se aprecia en la Tabla 26 los servicios con mayor prioridad de recuperación son aquellos
que soportan a los procesos de producción.

Tabla 24: Matriz de niveles de servicios de TI y los procesos

PROCESOS DE Máxima Tiempo Tiempo Tiempo Máximo


SERVICIOS TI pérdida de máximo requerido para de inactividad que
EN AREA DE Datos tolerable de recuperar puede tolerar el Prioridad de
SISTEMAS Tolerable paralización Datos Perdidos Servicio (MTPD = Recuperación
(RPO) Horas del Servicio (WRT) Horas RTO + WRT)
(RTO) Horas Horas

Sistema central del 6 4 1 5 Alto


área de archivo
Sistema de Control 12 12 1 13 Medio
de Proceso
Servicio de 12 8 1 9 Medio
conexión remota
VPN
Sistema para 6 4 1 5 Alto
estación de trabajo
Modulo 6 4 1 5 Alto
Planificación para
los procesos
Servicio de 12 8 1 9 Medio
comunicación de
datos RPV
Software 12 8 1 9 Medio
Ofimática: MS
Excel
Plataforma 24 24 2 26 Bajo
Ofimática
Fuente 31: Elaboración Propia

Ahora bien, luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo
tolerable para los servicios de TI de los procesos críticos en el área de archivos.
Tabla 25: Procesos de la Organización
100
101

Fuente 32: Elaboración Propia

3.13.2.- Determinación de Procesos Críticos

Del análisis realizado se puede determinar que tres de los procesos son los más críticos para la
organización y que estos ocasionarían un gran impacto si sufren una interrupción prolongada
antes las posibles amenazas.

Recordemos la valoración de impactos brindada para cada nivel propuesto en la Tabla 8.


Criterios de evaluación de procesos
Tabla 26: Matriz de determinación de procesos críticos y niveles de impacto

PROCESOS PROCESOS RESPONSABLE OPERACIONAL REPUTACIONAL LEGAL Y ECONOMICO CRITICIDAD


NIVEL 0 NIVEL 1 DE PROCESO REGULATORIO

Desarrollo Definir el Gerente General 1 2 1 1 bajo


de la visión y concepto de
estrategia negocio y la
corporativa e visión a largo
institucional plazo
Desarrollar la Gerente General 1 1 2 2 Medio
estrategia de
negocio
Ejecutar y medir Gerente General 1 1 2 1 bajo
las iniciativas
estratégicas
Gestión de Gestionar las Jefe de Finanzas 1 1 2 1 bajo
los recursos proyecciones de
financieros la información
financiera
Realizar la Tesorero 1 1 2 1 bajo
gestión de
ingresos
Gestionar la Contador General 1 1 2 1 bajo
contabilidad y
103

PROCESOS PROCESOS RESPONSABLE OPERACIONAL REPUTACIONAL LEGAL Y ECONOMICO CRITICIDAD


NIVEL 0 NIVEL 1 DE PROCESO REGULATORIO

elaborar
información
financiera
Procesar Gerente de 1 1 2 2 Medio
planillas RRHH
Procesar pagos y Tesorero 1 1 2 2 Medio
adelantos y
reembolsar
gastos
Manejar Tesorero 1 1 2 2 Medio
operaciones de
Tesorería
Gestionar Contador General 1 1 2 2 Medio
control
financiero
Gestionar Contador General 1 1 2 1 Bajo
impuestos
Gestión y Gestionar las Jefe de Sistemas 1 1 1 1 Bajo
desarrollo de actividades de
actividades procesos
Generar y Líder de mejora 1 1 1 1 Bajo
definir nuevas continua
104

PROCESOS PROCESOS RESPONSABLE OPERACIONAL REPUTACIONAL LEGAL Y ECONOMICO CRITICIDAD


NIVEL 0 NIVEL 1 DE PROCESO REGULATORIO

actividades y
mejoras
Entrega de Planificar y Gerente de 1 1 1 1 Bajo
actividades alinear las operaciones
de procesos actividades de
procesos
Abastecer Jefe de Logística 3 2 2 3 Severo
Materia Prima
para el área de
procesos
Aprovisionar Jefe de Logística 3 1 2 2 Moderado
suministros,
repuestos,
equipos y
servicios
Producir/ Gerente de Planta 3 1 3 3 Severo
Procesos de
asensos y
servicios críticos
Administrar Gerente de 3 2 2 2 Severo
actividades de Logística
procesos,
almacenamiento.
Planificar Gerente RRHH 1 1 2 1 Bajo
estratégicamente
105

PROCESOS PROCESOS RESPONSABLE OPERACIONAL REPUTACIONAL LEGAL Y ECONOMICO CRITICIDAD


NIVEL 0 NIVEL 1 DE PROCESO REGULATORIO

Gestión de el diseño
las Personas organizacional
Seleccionar y Supervisor 1 1 2 1 Bajo
administrar la RRHH
información del
Personal
Desarrollar y Gerente de 1 2 1 1 Bajo
orientar a los RRHH
empleados
Gestionar Asistente Social 1 1 1 1 Bajo
relaciones con
los empleados
Gestionar las Gerente de 1 1 2 1 Bajo
compensaciones RRHH
y beneficios
Reubicar o Asistente Social 1 1 2 1 Bajo
retirar al
personal
Comunicar Asistente de 1 1 1 1 Bajo
internamente RRHH
Fuente 33: Elaboración Propia
Luego del análisis realizado los procesos críticos resultantes son los que se observan en la tabla
siguiente.

Tabla 27: Procesos Críticos

PROCESOS NIVEL 1 RESPONSABLE DE PROCESO


Abastecer Materia Prima para el área de Jefe de Logística
procesos

Producir/ Procesos de asensos y servicios Gerente de Planta


críticos

Administrar actividades de procesos, Gerente de Logístico


almacenamiento.

Fuente 34: Elaboración Propia

3.13.3.- Determinación de los Servicios de TI en los Procesos de Ascensos y sus Recursos

Críticos en el Área de Archivo

Los procesos en el área de archivos tienen como base recursos de hardware, software, personal
entre otros. Se debe tener en cuenta estos recursos al momento de determinar las estrategias y
alternativas de solución.
107

Tabla 28: Recursos y registros vitales

Recursos
PROCESOS DE
SERVICIOS EN (HW/SW/PERSONAL/EQUIPOS)
AREA DE
SISTEMAS
Hardware Software Personal
Sistema central del Servidor Dell PowerEdge - Sistema Operativo
área de archivo T320  Windows Server 2008 R2
- Procesador: Intel - Base de Datos
Xeon 2.8 GHz Analista de
 SQL Server 2012
- RAM: 8 GB Infraestructura
- Espacio
almacenamiento:
750 GB
Sistema de Control - Servidor virtual - Sistema Operativo
de Proceso  Procesador Intel  Windows Server 2012 - Virtualización Analista de
Xeon 3.0  Microsoft Hyper-V Infraestructura
 RAM: 8 GB
 Almacenamiento:
300 GB
Servicio de  Firewall Cisco
conexión remota ASA 5510 20 Licencias
VPN licencias
disponibles
Sistema para - Estación de trabajo - Sistema Operativo
estación de trabajo  Procesador Core  Windows 7 Pro
i7 Analista de
 RAM: 8 GB Infraestructura
Almacenamiento:
300 GB
Modulo - Servidor Blade - Sistema Operativo Windows Server 2016
Planificación para HP STD
los procesos  Procesador: Intel - Base de datos
Xeon 4 Ghz  SQL Server 2012 - ERP SAP Business One
 RAM: 64 GB v 740 Encargado de
Espacio
almacenamiento: Soporte de TI
750 GB - Storage
 Espacio
Almacenamiento
4 TB
 Procesador 2 six-
cpre 1.8 Ghz
Fuente 35: Elaboración Propia
108

3.13.4.- Niveles de Servicio de los Procesos Críticos en el Área de Archivos

Los servicios con mayor prioridad de recuperación son aquellos que soportan a procesos de
producción.

Tabla 29: Matriz de niveles de Procesos de Servicios

Tiempo Tiempo
SERVICIOS Máxima Tiempo requerido Máximo de
EN ELAREA pérdida de máximo para inactividad
DE ARCHIVO Datos tolerable de recuperar que puede Prioridad de
Tolerable paralización Datos tolerar el Recuperación
(RPO) Horas del Servicio Perdidos Servicio
(RTO) Horas (WRT) Horas (MTPD =
RTO + WRT)
Horas

Sistema de 12 12 1 13 Medio
Control de
Proceso
Servicio de 12 8 1 9 Medio
conexión
remota VPN
Modulo 6 4 1 5 Alto
Planificación
para los
procesos
Servicio de 12 8 1 9 Medio
comunicación
de datos RPV
Software 24 24 2 26 Bajo
Ofimática:
MS Excel
Fuente 36: Elaboración Propia

Ahora bien, luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo
tolerable para los servicios críticos de los procesos críticos.
109

3.13.1.7.- Determinación el RTO

En el cálculo del RTO se deberá hacer una sumatoria de los tiempos de iniciación del sistema
operativo, aplicaciones, tiempo de restauración de datos y configuración, y otros parámetros que
se crea relevante para realizar el cálculo.

3.13.1.8.- Determinación el RPO

El valor RPO muestra la cantidad de información que la organización está dispuesta a perder desde
el ultimo backup realizado. Para la obtención de este dato es necesario contar con el cronograma
de backup relacionados al proceso critico en cuestión.

El valor WRT es el tiempo máximo tolerable que se necesita para verificar el sistema y/o la
integridad de los datos asociados a los servicios. Este valor tiene que contemplar todos los factores
para que el servicio vuelva a tener una normal continuidad.

3.13.1.9.- Establecer el máximo periodo de interrupción (MTPD) que puede soportar cada

proceso

El valor MTPD, según Sikdar (2017), es el tiempo máximo tolerable que un servicio puede quedar
inoperativo debido a una interrupción La suma de los valores de RTO y WRT definen este valor
(p.57).

MTPD= Duración del RTO+WRT

Al igual que para el desarrollo de la evaluación de impactos para este caso se deberá desarrollar
un cuestionario. Este se deberá realizar a los responsables o principales representantes de negocio
de cada proceso de la organización, llamados también integrantes de la alta dirección de la
empresa, para definir los valores de los niveles de servicio para cada servicio de TI de procesos
críticos obtenidos (Ver Anexo 3).
110

Anexo 1: Evaluación de Niveles de Servicio


EVALUACION DE NIVELES DE SERVICIO CODIGO : EVA - 02
Lugar : Institución Estatal Fecha Unidad o Área
Elaborado por Estefhany Mancha Espinoza 01/08/2021 Área de Archivo de la
Oficina de Sistemas
Revisado por Administrador de TI 01/08/2021 Área de Archivo de la
Oficina de Sistemas
Aprobado por Alta Dirección 01/08/2021 Gerencia

2.- DESCRIPCION DE LOS PROCESOS NIVEL 1 A ANALIZAR

Nombre del Producir / certificados y procesos Código PO-EP-01.5


Proceso:
Responsable del Gerente de Operaciones
proceso Nivel 0
Responsable del Gerente de Plantas
proceso Nivel 1
3.- DISPOCISION DE RPO/RTO/MTPD
SERVICIOS DE Máxima pérdida de Tiempo máximo Tiempo Tiempo Máximo de
TI Datos Tolerable tolerable de requerido para inactividad que puede
(RPO) Horas paralización del recuperar Datos tolerar el Servicio
Servicio Perdidos (MTPD = RTO +
(RTO) Horas (WRT) Horas WRT) Horas
Sistema de Control 12 12 1 13
de Proceso
Servicio de 12 8 1 9
conexión remota
VPN
Modulo 6 4 1 5
Planificación para
los procesos
Servicio de 12 8 1 9
comunicación de
datos RPV
Software 24 24 2 26
Ofimática: MS
Excel
Fuente 37: Elaboración Propia

3.13.1.10.- Categorizar los servicios de TI con la prioridad de recuperación

De acuerdo al resultado de la evaluación se realiza un ranking para determinar la priorización de


recuperación de servicios en el área de archivo. Esto se realizará en base al resultado obtenido del
valor MTPD de cada uno de los servicios. Al establecer un ranking se puede visualizar de una
mejor manera los servicios críticos del proceso crítico.
111

3.13.5.- Informe del análisis BIA

El informe de análisis BIA es un documento que muestra los resultados de las evaluaciones de
procesos en el área de archivos que estos los integran. Este informe nos da una visión de qué
servicios soportan a las actividades de los procesos y así brindar un mayor enfoque a la continuidad
de dichos procesos.

3.13.6.-Indicador de Logro OE1

Como resultado de la ejecución del Análisis de Impacto al Negocio (BIA), se tiene la relación de
procesos críticos de Nivel 1 con su clasificación de criticidad.
112

Figura 6: Indicador de Logro 1

Fuente 38: Elaboración Propia

De los procesos analizados se obtiene como resultado que el 4% se ha clasificado con nivel de
criticidad SEVERO por los responsables del proceso, el 12% con criticidad MODERADO, el 20%
con criticidad MEDIO y 64% con criticidad BAJO.
113

Figura 7: Grafico de niveles de Criticidad de Procesos

Niveles de Criticidad de procesos

12%
4%
BAJO
MEDIO
20% SEVERO
64% MODERADO

Fuente 2: Elaboración Propia

Los niveles de impacto se desarrollaron en el punto 3.13.1.4 Como métrica se han utilizado los
niveles de impacto operacional, reputacional, regulatorio y económico (Ver Tabla 21).

Los niveles de servicio se desarrollaron en el punto 3.13.1.6. Como métrica se han utilizado los
niveles de servicio RTO, RPO, WRT y MTPD (Ver Tabla 25).

Los recursos y registros vitales se desarrollaron en el punto 3.13.1.4. Como métrica se planteó que
los recursos y registros vitales críticos son los que están asociados a los servicios del área de
archivo de la oficina de sistema de los procesos críticos del punto 3.13.1.3. (Ver Tabla 24).
114

3.14.- Análisis de Riesgo

3.14.1.- Metodología de Análisis y Tratamiento de Riesgos adaptado de ISO 27005: 2018

En esta fase se manifiesta lo elaborado para cumplir con el requisito de la norma 27031:2011. Esta
metodología de evaluación de riesgos y el enfoque realizado, se llevaron a cabo siguiendo las
directrices del estándar ISO 27005:2018 que brinda recomendaciones y lineamientos de métodos
y técnicas de evaluación de riesgos del Plan de Continuidad Operativo. La evaluación es de
extenso alcance y evalúa las vulnerabilidades de la continuidad operativo que perjudican a las
posibles o amenazas.

Cualquier organización, ya sea pública o privada, tiene múltiples objetivos que debe cumplir al
mismo tiempo. Consiguiendo ser tanto de alto nivel estratégico, como una buena disposición de
calidad para una organización estatal para concretar las metas operacionales. Estos objetivos
diferentes alcanzan a menudo causar conflictos internos y externos para la institución estatal que
intenta mantener una postura segura en nuestra dinámica sociedad.

Hoy en día la mayoría de las organizaciones son conscientes de que estos sistemas de información
están expuestos a diferentes amenazas, tanto interno como externo de la organización. Como el
valor de un sistema de TI tiene que ser considerado desde una perspectiva empresarial del mismo
valor que para la seguridad de los sistemas informáticos. Conseguiremos observar las diferentes
fases de nuestra metodología en la siguiente figura:
115

Figura 15: Metodología de riesgo: ISO 27005: 2018


Fuente 39: Norma ISO/IEC 27005

De acuerdo a la figura la norma menciona que la hora de planificar nuestro sistema de gestión
debemos considerar los asuntos que ha hemos tratado previamente en este documento. Es por
ello, que a continuación detallaremos nuestra gestión de riesgos que se desarrollará de acuerdo
a la metodología señalada en la figura 16 de la siguiente manera:
116

Tabla 30:Fases de la Gestión de Riesgos

Fuente 40: Elaboración Propia

3.14.2.- Fases de la Gestión de Riesgos:

3.14.2.1.- FASE 1: Establecimiento del contexto

Se ha adquirido toda la información pertinente acerca de la organización y se han tomado criterios


básicos necesarios para nuestra gestión de riesgos:

- Se ha tenido presente el Informe contexto de la organización, a efectos de poder entender


el estado situacional de la institución.

- Se ha tomado en consideración el Informe de necesidades y expectativas de las partes


interesadas, a fin de poder conocer sobre sus requerimientos y expectativas sobre
continuidad operativa de los procesos de la institución.

- Se ha tomado en cuenta la Declaración del Alcance del Diseño del plan de Continuidad
operativo, a bienes de conocer el principal proceso estratégico de la institución.

- Se ha determinado, gracias a los informes anteriores, que los parámetros establecidos son
idóneos para nuestra gestión de riesgos. Dicha verificación se encuentra en el Informe de
gestión de riesgos.
117

3.14.2.2.-. FASE 2: Parametrización de la Gestión de Riesgos:

Nivel de aceptación de Riesgos

El área de archivo de la oficina de sistemas la institución Estatal. La institución estatal se encuentra


dispuesta a aceptar, los riesgos que no ocasionen un impacto significativo sobre el desempeño del
proceso que se lleva en el área de archivo. Aquellos riesgos tipificados con valor Extremo, Alto,
Moderado, Mínimo son considerados para ser tratados, salvo en casos que la dirección estime no
sea conveniente.

A los riesgos que se identifiquen como Altos al concluir la fase de Evaluación de Riesgos, se ha
definido que podrán ser aceptados y no pasar a ser tratados solo en los siguientes casos:

- Cuando el costo de tratar el riesgo se estime como mayor a la pérdida o impacto económico
generado por la ocurrencia del mismo.

- Cuando el costo de implementar el control o controles se encuentra fuera del presupuesto


del año en curso.

- Cuando no se dispone de recursos o se padece de recortes de presupuesto por decisión de


la alta dirección.

3.14.2.3.- FASE 3: Inventarios de Activos

En esta fase se iniciará con la elaboración del inventario de activos de información para los
procesos considerados dentro del alcance del Diseño del Plan de Continuidad Operativo en los
procesos. Los activos de información identificados serán valorados en base a los criterios de las
posibles amenazas o desastres sobre los mismos. La decisión de utilizar una escala cuantitativa a
una cualitativa es netamente de preferencia organizacional, pues ambos tipos de valoración
podrían ser utilizados para el mismo activo.
118

Identificación de Activo de Información

Su objetivo es determinar y comprender qué podría suceder que cause una pérdida potencial a la
institución. Para ello, se siguen los siguientes pasos:

- Tomar como punto de partida de este enfoque la identificación de los activos de


información que podrían ser afectados por lo que se refiere a la posible amenazas o
desastres. Por tanto, tomamos como referencia los datos obtenidos en la Declaración del
alcance del Diseño del Plan de Continuidad Operativo para los procesos en el área de
archivo.

- Identificar a los colaboradores que participan en proceso de evaluación del personal y


servicios críticos y entrevistarlos a fin de poder identificar los riesgos que puedan afectar
a la institución.

- Registrar los riesgos identificados en la Matriz de riesgos, a efectos de luego


documentarla en el Informe de gestión de riesgos.

- Para nuestro proceso del área de archivo, se ha preparado la lista de los activos de
información con los siguientes atributos: (Inventario de Activos de Información):

- Código del activo

- Nombre único del activo

- Descripción del activo

- Categoría del activo: indica la naturaleza del activo

- Clasificación: grado de secreto del activo

- Frecuencia de uso: Asiduidad con la que se usa el activo durante el proceso.

- Tipo de ubicación: Física, lógica.


119

Tabla 31: Categorías de activos de Información

Fuente: Elaboración Propio


120

Tabla 32:. Clasificación de activos de información

Fuente 41: Elaboración Propia

Tabla 33: Frecuencia de uso de activos de información

Fuente: Elaboración Propia

Valorización de activos
121

Se estima el valor del activo del promedio de sumar los valores del nivel de relevancia respecto a
la confidencialidad, integridad y disponibilidad de acuerdo a la siguiente formula:

Valor del activo = (Confidencialidad + Integridad + Disponibilidad)

Tabla 34: Escala de Valor de activos


122

Fuente 42: Elaboración Propia

En cuanto la base al promedio obtenido (valor del activo en términos de confidencialidad,


integridad y disponibilidad) y al rango de la tasación que establece el área de archivo de la oficina
de sistemas para la Institución Estatal para la selección de aquellos que serán considerados para
continuar en la gestión de riesgos de la continuidad de operativa, se identifican a los activos de
valor más significativo (ver tabla 33)

Tabla 35: Esquema de Valorización Final de Activos de Información.

Los activos que se han seleccionado son aquellos que tienen un valor crítico (Medio, Alto y Muy
Alto) para pasar a la siguiente etapa, Análisis de Riesgos.

Luego de haber concluido el inventario de activos de información, se procede al análisis de riesgos,


donde se seleccionarán solo los activos de información cuyo valor es considerado crítico para la
institución. Para estos activos se deberá identificar las posibles amenazas a las que están expuestos
123

los mismo, además de las vulnerabilidades.

3.14.2.4.- FASE 4: Análisis de Riesgos

Se han examinado cada uno de los atributos inherentes a los riesgos identificados:

- Se detallan las amenazas detectadas conjuntamente con las vulnerabilidades que podrían
explotar.

- Se determina, a través de la matriz de riesgos, la expresión de la probabilidad de que se


materialice el riesgo y el impacto que podría causar en la organización.

- Se realiza un cálculo del nivel de riesgo con los datos obtenidos previamente y se
documenta en el Informe de la gestión de riesgos.
124

Figura 8:Enfoque de evaluación de riesgo según ISO 27005

Fuente 43: Norma ISO/IEC 27005: 2018

El proceso de gestión de riesgos de continuidad de negocio puede ser iterativo para la evaluación
de riesgos y/o actividades de riesgo. Si la evaluación de riesgos proporciona elementos suficientes
para determinar realmente las acciones necesarias para reducir el riesgo a un nivel aceptable, se
va directamente a la aplicación de las opciones de tratamiento de riesgos. Si no hay suficiente
información para determinar el nivel de riesgo o el nivel de riesgo después que el tratamiento
previsto es inaceptable, una nueva iteración de la evaluación de riesgos se llevará a cabo en
algunos o todos los elementos del dominio de aplicación. Si el tratamiento de riesgos no es
satisfactorio y el establecimiento del contexto es correcto, una nueva iteración de tratamiento de
riesgos se llevará a cabo, de lo contrario, se llevará a cabo el establecimiento de una nueva
iteración del contexto.
125

Vulnerabilidades

A raíz del análisis realizado, la entidad puede identificar las vulnerabilidades que detonantes que
tiene el área de archivo de la Oficina de Sistemas para la institución Estatal. Se ha determinado
detallar un Catálogo de Vulnerabilidades en la tabla siguiente.
126

Tabla 36: Tipos de Vulnerabilidades


127
128

Amenazas

Tomando en cuenta la lista de activos que han sido identificados como relevantes, se realizará la
identificación de las amenazas asociadas a cada uno de ellos en la siguiente tabla.

Tabla 37: Tipos de Amenazas


129

Fuente: Elaboración Propia


130

Estimación de probabilidad del riesgo

Luego de identificar las hipótesis de incidentes correspondientes y la estimación de sus


consecuencias, se debe estimar la probabilidad de ocurrencia de cada escenario. Es necesario
estimar la probabilidad realista de un incidente de seguridad de un activo a la vista de las amenazas
dominantes y las vulnerabilidades, los impactos asociados a los activos y los controles de
seguridad ya implementadas para proteger los activos del área de archivo.

Para determinar si una amenaza es significativa con respecto a un activo de información, se


identifica la probabilidad de ocurrencia dentro del rango del nivel de ocurrencia establecido (ver
tabla 27)

Tabla 38:Probabilidad de Ocurrencia del riesgo

De esta forma se ha seleccionado aquellos riesgos cuya probabilidad es Media, Alta y Muy Alta,
para pasar a la siguiente etapa: Evaluación con un total riesgos.

3.14.2.5.- FASE 5: Evaluación del Riesgos Residual

El riesgo residual es el riesgo que queda después de que el riesgo ha sido tratado. La noción de
riesgo residual puede ser definida como el riesgo que queda después de la aplicación de los
controles con el objetivo de reducir el riesgo inherente, y puede resumirse de la siguiente manera:
131

El riesgo residual = Riesgo inherente - Riesgo tratado por los controles

Después de la aplicación de un plan de tratamiento de riesgos, siempre existen riesgos residuales.


El riesgo residual puede ser difícil de evaluar, pero por lo menos debería hacerse una estimación
para tratar de asegurar que el valor de los riesgos residuales respeta los criterios de aceptación de
riesgos de la Institución. Además, la Institución debe asegurarse de poner en práctica mecanismos
de vigilancia del riesgo residual.

Una opción es identificar otras opciones de tratamiento de riesgo tales como compartir el riesgo
(aseguradoras o tercerización) para reducir el riesgo a un nivel aceptable. Incluso si bien es una
buena práctica no tolerar ningún riesgo para los que el nivel está por encima de los criterios de
riesgo definidos por la Institución, no siempre es posible reducir todos los riesgos a un nivel
aceptable.

El proceso de gestión de riesgos de la continuidad de negocio consiste en establecer el contexto,


evaluación de riesgos, el tratamiento de riesgos, aceptación de riesgos, la comunicación de riesgos,
control y revisión de riesgos. Luego de haber completado el análisis de riesgos, se proseguirá con
la evaluación de riesgos, que empleará como información de entrada los riesgos con la
probabilidad, seleccionados en la fase anterior, en el sentido de que en la evaluación de riesgos se
deberá valorizar el impacto que podría causar cada una de las amenazas identificadas.

- Se identificarán los riesgos aceptables e inaceptables con la Matriz de riesgos realizada a


través del cálculo del nivel de aceptación.

- Se asignará una prioridad a cada riesgo identificado como inaceptable.

- El resultado deberá ser documentado en el Informe de gestión de riesgos.

Para cada amenaza identificada se valorizará los impactos que estas tendrán sobre los activos de
información. Para la determinación de este nivel se tienen la siguiente tabla de Escala de Valor de
Activos.

Tabla 39: Impactos en el riesgo


132

Estimación del Nivel de Exposición al Riesgo

El nivel de exposición al riesgo deviene del producto de los valores obtenidos en los pasos
anteriores:

- Nivel de Impacto

- Probabilidad de Ocurrencia
133

Tasación del Nivel de Exposición al Riesgo

En la siguiente tabla se brinda una definición de los niveles de riesgo. Estos niveles representan el
grado o nivel de riesgo al que un sistema informático, instalación o procedimiento podría estar
expuesto si una vulnerabilidad dada se ejerce La tabla anteriormente mencionada de esquema de
valorización Final de Activos de Información.

Tolerancia:

TT Totalmente de acuerdo ( De 1 a 2 ) BAJO

RT Regularmente Tolerable ( De 3 a 6 ) MEDIO

NT No Tolerable ( De 7 a mas ) ALTO

Impacto

Mínimo -1 Reversible -2 Severo -3 Critico -4

Probabilidad

Alta (4) RT(4) NT(12) NT(12) NT(16)

Media (3) RT(3) RT(6) NT(9) NT(12)

Baja (2) TT(2) RT(4) RT(6) NT(8)

Muy Baja (1) TT(1) TT(2) RT(3) RT(4)


134

Tabla 40: Criterios de Valoración de la magnitud de riesgo

Se ha establecido seleccionar aquellos riesgos cuyo valor es Moderado, Alto y Extremo para pasar
a la siguiente etapa: Tratamiento. Por ello, debe considerarse también la aplicación de los Criterios
de Aceptación de Riesgos, que se define en (Declaración de la Política de Continuidad de
Negocio).

En la siguiente matriz de calor (ver tabla 21) fases de la Gestión de Riesgos que se presentará una
relación de Impacto en el negocio frente a la Probabilidad de un escenario de incidente. El riesgo
resultante podrá ser medido en una escala de 0 a16 que se podrá evaluar frente a los criterios de
aceptación del riesgo.

Figura 9: . Matriz de riesgos


135

Al concluir esta fase se han evaluado los riesgos identificados, siendo los principales los que se
detallan a continuación.

Tabla 41: Matriz de riesgos

3.15 Desarrollo del Análisis de Riesgo

3.15.1.- Procesos y Servicios Críticos

Para el análisis de riesgos, primero se identificarán todos los proceso y servicios críticos que brinda
el área de archivo de la oficina de sistemas en la que se encuentra definidos los tres servicios
críticos que se priorizarán para la continuidad del negocio.

Consiste en analizar y determinar las posibles amenazas que este expuesto la organización con la
posibilidad de llevar a efecto cada punto y el impacto si llegan a realizar las amenazas.

Se realizará el diseño, planificación y ejecución de un análisis de riesgos de recursos necesarios


sobre los diferentes activos de la organización, con el fin de que el análisis permita visualizar los
posibles escenarios de riesgo para la organización.
136

En este sentido, en la Tabla 3 se muestra la lista general de servicios que brinda el área de archivo
de la oficina de sistemas en la institución Estatal. considerando la siguiente escala de valoración
de la tabla 2:

Tabla 42: Escala de valoración de los Procesos y Servicios críticos

Fuente 44: Elaboración Propia

3.15.2.-Identificación de Amenazas

Para este punto se determinan las amenazas que podrían afectar a los procesos y servicios críticos.
Se listaron todas las amenazas del área de archivo de la oficina de Sistemas y se seleccionaron las
que serán aplicables al alcance del proyecto.

AA: Fuente de Amenaza Ambiental

AH: Fuente de Amenaza Humana

AN: Fuente de Amenaza Natural


137

Tabla 43: Identificación de amenazas


138
139

Fuente 45: Elaboración Propia

Se le ha identificado como “No aplica” a amenazas con muy poca probabilidad que se afecten a
los procesos y servicios de TI del área de archivo de la oficina de sistemas y sus recursos, sin
embargo, se toma en consideración para próximos análisis de amenazas ya sea en otra sede o para
otra organización.
Tabla 44: Vulnerabilidad y Controles actuales
Código Amenazas Aplicabilidad Vulnerabilidad Detectada Controles Actuales

A01 Derrame químico No Aplica No aplica No aplica


A02 Accidentes operacionales / Explosión de maquinaria Aplica Presencia de material inflamable Sistema contra incendios
correctamente ubicados

A03 Falla de equipos por contaminación (Polvo humedad, Aplica Ambiente con polvo y humedad Cronograma de
etc.) mantenimientos
preventivos

A04 Falla en sistema de climatización Aplica Ausencia de mantenimiento de Procedimiento de apagado


sistemas de aire acondicionado en caso ocurra un incidente
mayor a 1 hora.

A05 Falla en suministro de energía eléctrica Aplica No contar con UPS ni fuente de Ninguno
energía alterna

Suministro eléctrico inapropiado Ninguno

A06 Falla por saturación y agotamiento de recursos de Aplica Alta carga de procesamiento Ninguno
sistemas de TI
Inadecuada programación y/o Ninguno
configuración de software

A07 Fallas de hardware Aplica Antigüedad de equipos (servidores, Mantenimiento correctivo


estaciones de trabajo y switches) de los equipos y de las
aplicaciones

Mantenimientos predictivos o Capacitación a técnicos


correctivos inadecuados para ejecución de
141

Código Amenazas Aplicabilidad Vulnerabilidad Detectada Controles Actuales

mantenimiento antes de
que se realice

A08 Fallas de software Aplica Incompatibilidad de software Ninguno

Inadecuada programación y/o Ninguno


configuración de software
A09 Fallas en la red Aplica Deterioro por antigüedad de cableado Mantenimiento de
cableado estructurado

Proveedor de servicios no confiable Cartera de proveedores


disponibles
A10 Incendio Aplica Presencia de material inflamable Sistema contra incendios
correctamente ubicados

A11 Inundación por tubería de agua Aplica Exposición a daños físicos debido a la Drenaje correctamente
ubicación ubicado

B01 Error humano Aplica Falta de capacitación Negligencia

B02 Error mantenimiento de Hardware Aplica Personal técnico inexperto y/o falta de Supervisión de TI para
conocimiento trabajos complejos

Mantenimientos predictivos o
correctivos inadecuados

B04 Huelga Aplica Dependencia de personal presencial Procedimientos de trabajo


remoto

B05 Indisponibilidad de personal / Pandemia Aplica Dependencia de personal Clave Respaldo de funciones por
parte del personal del área
competente

B06 Ingeniería social / Espionaje / Suplantación Identidad Aplica Controles inadecuados de acceso Concientización a personal
lógico de la organización en
142

Código Amenazas Aplicabilidad Vulnerabilidad Detectada Controles Actuales

cuestiones de seguridad de
la información

B07 Manipulación de equipos Aplica Controles inadecuados de acceso Cámaras de seguridad y


físico capacitación a personal de
vigilancia

Personal técnico inexperto y/o falta de Supervisión de personal


conocimiento nuevo

B08 Robo de información Aplica Personal desconoce los tipos de Políticas de seguridad y
amenazas actuales como Phishing e programas de
ingeniería social concientización a todo el
personal en el manejo de
información

B09 Vandalismo / Intrusión física / Sabotaje a sistemas Aplica Controles inadecuados de acceso
físico
C01 Ciclón tropical No Aplica No Aplica No Aplica

C02 Inundación natural No Aplica No Aplica No Aplica

C03 Terremoto/Sismo/Temblor Aplica Ubicación física en un área Respaldo de equipos


susceptible a sismos críticos de la data center
C04 Tormenta de granizo No aplica No aplica No aplica

C05 Tormenta eléctrica No aplica No aplica No aplica

Fuente 46: Elaboración Propia


143

3.15.3.- Análisis y Evaluación de Riesgos

Tabla 45: Análisis y Evaluación de Riesgos

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

1 Sistema de Analista de Fallas de Disponibilidad Copias de 0.1 50 5 B R Baja probabilidad de


Servidor virtual Sistema Operativo
Control de Infraestructura hardware: de partes y respaldo de A T Paralización de
Procesos  Procesador Equipo no es soporte por parte base de datos J – Sistema de Control de
 Windows
Intel Xeon disponible de proveedor O 01 Proceso por falla de
Server 2012
3.0 por fallas en tiene un plazo de hardware en servidor
-
los 72 horas. principal debido a la
 RAM: 8 GB componentes indisponibilidad
144

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

Almacenamiento: 300 Virtualizació internos de Falta equipo equipos de


GB n hardware UPS de contingencia
contingencia
Microsoft Hyper-V
Falla en UPS con Contar con 0.5 10 50 M R Paralización total del
suministro capacidad de UPS de 0 E T Sistema de Control de
de energía Autonomía respaldo de 30 D - Proceso en el área de
eléctrica menor a la minutos con I 02 archivo por
requerida dos fuentes de O problemas de
poder. Tablero suministro eléctrico
eléctrico y debido a problemas
llaves térmicas generados por la falta
sensibles a de mantenimiento de
UPS.
145

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

variaciones de
corriente.

Fallas de -Falta de solidez - Contar con 1 10 10 A R Paralización de los


software: en los activos de recursos de TI L T servicios de los
Avería de TI de respaldo. T - procesos en el área de
origen O 03 archivo como en los
- Backup de
lógicos y ( registros ,
disco duro
físicos -El respaldo de identificación y
virtual
(Corrupción backup se evaluación
de datos) de encuentra - SnapShoot de profesional del
disco duro ubicado en el sistema personal de la
virtual operativo de institución) debido a
la alta probabilidad
146

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

servidor servidor debido a la perdida de


principal virtual acceso a sistema de
del área de archivo
por falla en disco duro
virtual.

2 Servicio de Servidor VPN y AD Sistema Operativo Analista de Fallas de No existe Ninguno 1 10 10 A R Paralización de los
conexión (SERVLIM01) Infraestructura hardware: servidor de L T servicios VPN (red
* Windows Server
remota VPN ProLiant DL180 Servidor no contingencia T - privada virtual) de los
2016 STD
Gen9 disponible O 04 procesos en la área de
* Microsoft TMG por fallas en archivo como en los
* Intel Xeon CPU E5-
Forefront Threat componentes registros ,
2620 v4
Management internos de identificación y
Gateway (TMG) hardware evaluación
profesional del
147

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

@ 2.10GHz /RAM: personal de la


32 GB institución de debido
a la alta probabilidad
de las fallas de
hardware en el
servidor

Fallas de Obsolescencia Ninguno 1 10 10 A R Paralización de los


software: de software: 0 0 L T servicios VPN (red
incompatibil T - privada virtual) en los
Software TMG
idad con O 05 procesos en el área de
Forefront no
plataformas archivo tales como
cuenta con
nuevas de (registros ,
soporte activo
identificación y
148

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

sistema (Fin evaluación


operativo 14/08/2021) profesional del
personal de la
institución ) debido al
nivel de riesgo alto
que no son compatible
por ser un software
obsoleto.

Pandemia Ausencia de -Contar con 0.5 10 50 M R Acceso no disponible


COVID 19 servicios para el servicios de 0 E T al Sistema de
trabajo remoto. VPN y D - procesos en el área de
conexiones I 06 archivo de forma
Personal
remotas. O remota en caso de una
insuficiente por
pandemia u otro
149

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

considerarse de -Campaña de evento que impida


riesgo vacunación que el personal acuda
vulnerable de forma presencial

No se cuenta con
acceso remoto
para control y
administración
de sistemas de
procesos
150

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

3 Modulo Supervisor TI Falla en Equipos de UPS Contar con 0.5 10 50 M R Paralización del
Servidor Blade HP Sistema Operativo
Planificación suministro antiguos y UPS de 0 E T sistema ERP SAP
Windows Server 2016
para los de energía deteriorados. respaldo de 30 D - para los procesos en el
 Procesador: STD
procesos eléctrica minutos. I 07 área de archivo por el
Intel Xeon
O nivel de riesgo
Base de datos Tener un plan
 RAM: 64 MEDIO en
adecuado de
GB Espacio SQL Server 2012 - probabilidad con los
mantenimiento
almacenami ERP SAP Business problemas de
en las
ento: 750 One v 740 suministro eléctrico
subestaciones
GB - Storage por la falta de
del sistema
mantenimiento de
eléctrico
UPS.
151

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

 Espacio Error Plataforma tiene Alarmas y 0.1 50 5 M R Suspensión del


Almacenami humano: una versión de notificaciones E T sistema ERP SAP
ento 4 TB Caída SAP por correo D - Proceso por un error
sistema por desactualizada activadas I 08 en la programación en
Procesador 2 six-cpre error de O el sistema.
1.8 Ghz -Contar con
programació
los parches
n del sistema
actualizados
SAP
en los sistemas
operativos.
152

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

Sabotaje a El respaldo de Contar con los 1 10 10 A R El sistema ERP SAP


sistemas: backup se backups de los 0 L T Procesos no se
Destrucción encuentra datos más T - encuentra disponible
o alteración ubicado en el críticos de los O 09 por motivo de la
de software mismo servidor. datos más perdida de
SAP que críticos. información necesaria
Escasez de
hace inviable para la recuperación
recurso de Contar con
su ejecución. del sistema en caso se
respaldo, recursos de TI
genere un daño
monitoreo de respaldo.
parcial o total del
servidor
153

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

Fallas de Equipos Ninguno 0.5 10 50 M R Paralización de


hardware: antiguos y 0 E T sistema ERP SAP
Servidor no deteriorados. D - para los procesos en el
disponible I 10 área de archivo por el
por fallas en O nivel de riesgo
componentes MEDIO por motivos
internos de en las falla en servidor
hardware debido a la falta de
mantenimiento
Preventivo.
154

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

Temblores, -Zona cercana a -Contar con 1 10 10 A R Paralización de los


Sismos placa tectónica. respaldo del 0 L T servicios de procesos
equipamiento T - en el sistemas tales
critico en O 11 como son ( registros,
lugares identificación y
alternos. evaluación
profesional anual del
personal de la
-Se debe tener institución) por la alta
-Incendio -Lugar físico del
sistemas probabilidad de daños
área de archivos
contra en el área de archivos
(documentación
incendios bien debido a un desastres
clasificados) en
ubicados. natural
una zona débil
155

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

ante desastres -Contar con


naturales. los backups de
los datos de
-Percance con el
información
sistema de
más críticos.
climatización.

-Ausencia de -Contar con un


contingencia en cronograma de
los servicios mantenimiento
críticos de TI correctivo y
preventivo.
- Mantenimiento
incorrecto por
156

Nº SERVICIO Recursos (HW/SW/PERSONAL/EQUIPOS, Otros) Causas Riesgo Efectivo Declaración de


S DEL Riesgos: Escenarios
ÁREA DE de Amenazas
ARCHIVO Identificado

Probabilidad (0.1/0.5/1)

Impacto (10/50/100)

Nivel de Riesgo
Valor de Riesgo
Hardware Software Recursos Amenazas Vulnerabilidad Controles

Cód. Riesgo
Humano es Existentes

parte del
contratista.

Fuente: Elaboración Propia


Como resultado del análisis de riesgos se obtiene un ranking de los riesgos críticos encontrados.

Tabla 46: Clasificación de Riesgos Críticos


158
159

Fuente 47: Elaboración Propia


160

3.15.4.-Informe de análisis de riesgo

El informe de análisis de riesgo es un documento que muestra los resultados del análisis de las
condiciones positivas y negativas en las que se encuentran los procesos y servicios críticos en
el área de archivo de la oficina de sistemas. La importancia de este informe nos sirve para
disgregar los procesos y servicios críticos en el área de archivos de la oficina de sistemas
tomando en consideración la probabilidad de ejecución de una amenaza y el impacto que
generaría a la institución estatal. Todo ello nos ayudará a elaborar mejores controles y
estrategias para salvaguardar la continuidad de los procesos y servicios críticos de la oficina de
sistemas de la institución estatal. El detalle del informe se encuentra en el Anexo 4.
3.15.5.- Indicador de Logro OE2

Como resultado de la ejecución del análisis de riesgos se determinó una matriz de riesgos cuyo
análisis deriva en la detección de los riesgos críticos de acuerdo con la norma ISO/IEC 27005.

Tabla 47: Indicador de Logro 02

Fuente 48: Elaboración Propia

Entonces según el análisis se tiene un 19% de riesgos críticos que sobrepasan el nivel de
tolerancia.
162

Niveles de Riesgos

9%

46% ALTO
45% MEDIO
BAJO

Figura 16: Grafico de Niveles de Riesgos


Fuente: Elaboración Propia

Figura 17: Matriz de Probabilidad Vs. Impacto


Fuente: Elaboración Propia
3.16.- Matriz de Requerimientos

Tabla 48: Matriz de requerimientos de objetivos específicos


226
227
228
229

Fuente 49: Elaboración Propia


4 CAPITULO 4: Diseño de la Solución

En el presente capítulo se desarrollará los elementos básicos para llevar a cabo un Plan de
Continuidad Operativa; tales como el programa de capacitación y entrenamiento, donde se
fomenta la formación y concientización en la Continuidad de Negocio y el manual del SGCN
donde se podrá ubicar las políticas específicas de un Plan de continuidad Operativo basados a
lineamientos de Continuidad de negocio y los principales procedimientos de gestión del SGCN
para el área de archivos de la Oficina de Sistemas de la Institución Estatal, de acorde con la
norma ISO 27031:2011.

4.1 Introducción

En las actividades de procesos en el área de archivo referidas a una Institución Estatal es


indiscutible mencionar que los objetivos que persigue deben llevar detrás un sustento que
soporte su desempeño, el cual conduzca hacia el logro de sus metas. Por lo tanto, la Gestión de
Continuidad de Negocio se integra a los procesos de un plan de continuidad operativa
implementados de la institución, entendiendo la información como un activo importante y
trascendental que debe ser custodiado de manera correcta. Lo comentado no solo es resultado
de la adopción de sistemas informáticos que mitiguen o disminuyan las vulnerabilidades, fallas
y/o brechas de seguridad que puedan contener sus sistemas informáticos, sino manejar y actuar
en un sistema integrado de gestión que cree directrices, políticas y procedimientos que alineen
a sus colaboradores a trabajar en conjunto hacia la consecución de objetivos previamente
identificados por la institución, todo aquello especificado en materia de continuidad de
negocio.
4.2 Política de Continuidad de Negocio

El área de Archivos de la Oficina de Sistemas de la Institución Estatal, se encuentra


comprometida en el desarrollo de un plan de continuidad operativa de aquellos servicios de TI
que son considerados críticos y que son de vital importancia para los procesos críticos de
negocio en el caso de que se presente una interrupción parcial o total causada por problemas
y/o incidentes que afecten dichos servicios.

Para esta política, la organización define los siguientes puntos:

- La Institución Estatal se compromete a proporcionar apoyo para poder garantizar que


todos los procesos críticos del negocio operen continuamente con calidad y
confiabilidad, mediante la realización del diseño de un plan de continuidad operativa
en los servicios de TI.

- La Institución Estatal tiene el compromiso de ofrecer soporte para asegurar que todos
los procesos críticos del negocio estén funcionando correctamente y constantemente,
por medio de la elaboración del diseño del plan de continuidad operativa en los
principales servicios de TI.

- Asegurar el resguardo de las personas del entorno, de los recursos de TI de la Institución


Estatal y la continuidad operativa de los servicios críticos de TI del negocio.

- Considerar en la organización las definiciones de continuidad operativa en los servicios


críticos de TI con fin de tener mejoras en el plan de ejecución.

- Perfeccionar constantemente el plan bajo las pruebas ejecutadas e incluso escenarios


verdaderos.

- La Institución Estatal deberá de localizar los incidentes de la manera más rápida posible
para reducir los impactos en los servicios críticos de TI para preservar la calidad del
servicio.
232

- La Institución Estatal tiene como función resguardar los servicios críticos de TI ante las
amenazas mencionadas en la tabla 43 para contar con el constante funcionamiento de
los sistemas.

- Responder antes incidentes de la manera más adecuada, conlleva a la Institución Estatal


a una recuperación de servicio más eficiente y reducir los tiempos de interrupción.

- Identificar e implementar adecuadamente las estrategias de recuperación y alternativas


de solución con el fin de garantizar el restablecimiento de los servicios críticos de TI
del área de archivo de la Oficina de Sistemas y sostener la integridad de los datos.

- Finalmente, mejorar las lecciones aprendidas de los problemas de diversas magnitudes,


estos deben ser documentados, estudiados y controlados. Comprender las lecciones
aprendidas, proporcionará a la entidad a estar prevenida y evitar incidentes y
paralizaciones en la continuidad del negocio.

4.3 Equipo de TI para la Continuidad en los Servicios críticos de TI

La Institución Estatal debe garantizar que a todas las personas involucradas que se le asignen
roles y responsabilidades para el plan de continuidad operativo para los procesos del área de
archivo y de los servicios críticos de TI, deberán ser capacitados, comprometidos, preparados
y eficientes para ejecutar cada actividad encomendada.

4.3.1 Estructura del Equipo de TI

La estructura actual del equipo de TI se observa en el siguiente organigrama:


233

Tabla 49: Organigrama del Equipo de TI

Fuente 50: Elaboración Propia

La alta dirección es quién determina las actividades, roles y responsabilidades del equipo de
TI. Este gabinete de asesores son los encargados de la implementación y la mejora continua
del proyecto. Cada encargado cuenta con roles del marco de trabajo con el fin de desarrollar
las estrategias de recuperación y alternativas de solución. El equipo se hará cargo de la
evaluación de las estrategias y alternativas de solución, la planificación, reuniones, cuáles son
las ventajas y desventajas, duración de la implementación y el control del proyecto. En la
siguiente tabla se muestra el equipo de TI:
234

Tabla 50: Equipo de TI para los servicios críticos de TI

Fuente 51: Elaboración Propia

4.3.2 Actividades del Equipo de TI (Antes, Durante y Después)

Se realizan las actividades del equipo de TI de la Institución Estatal bajo los lineamientos de la
tesis de Marco Ochoa, donde plantea las actividades del antes, durante y después del equipo de
responsables de TI. Se tomará cómo guía sus actividades del plan que se debe de realizar.

Se detallan a continuación:
235

a) Actividades del plan que se deben de desarrollar antes de una interrupción en los servicios
críticos de TI

Antes que pueda ocurrir alguna interrupción en los servicios críticos de TI a causa de un evento,
el equipo de TI del Plan de continuidad operativa deberá garantizar que todos los recursos y
registros vitales deben estar íntegros y aptos dentro y fuera de la Institución Estatal. Se
considera lo siguiente:

- Debe encontrarse realizado y demostrado cada procedimiento que se adaptará en cada


situación de emergencia para restaurar el servicio crítico de TI, además cada
procedimiento se emplea para permanecer el plan de continuidad de las operaciones,
hasta que se restaure el servicio de manera adecuada. Por tanto, esto comprende la
capacitación, entrenamiento, seguimiento, evaluación y acciones subsiguientes.

- Debe encontrarse realizado la lista del personal interno y externo aquel que se le
notificara determinado percance.

 El personal deberá ser capacitado, preparado, experto e incentivado con el fin de


realizar las actividades que cada emergencia requiere.

 Todo el personal debe estar a disposición cuándo sean comunicados


telefónicamente y deberán laborar en su horario normal y adicionalmente a ello, el
tiempo que fuese necesario hasta poder lograr la restauración de los servicios
críticos de TI paralizados.

- Garantizar la disponibilidad de los recursos que fuesen necesarios para sostener la


continuidad operativa de la Institución Estatal.

- Debe encontrarse custodiados los registros vitales, incluyendo la información,


aplicaciones, guías de instalación, configuraciones, usuarios, categorías de privilegios,
bitácoras, roles y responsabilidades, etc. Estos deben ser guardados dentro y fuera de la
Institución Estatal.

- Que este actualizado y demostrado el plan de continuidad operativa de los servicios


críticos de TI, también incluir las lecciones aprendidas de las recientes emergencias
vencidas.
236

- Al realizar las pruebas adecuadamente para saber si el plan ha salido exitoso tal y como
se suponía; habría que estudiarlo para reforzarlo mediante anotaciones, sugerencias,
conclusiones y recomendaciones que ayuden a perfeccionarlo, acoplándose a las nuevas
necesidades.

b) Actividades del plan que se deben de desarrollar durante de una interrupción en los servicios
críticos de TI. Durante la ocurrencia de alguna interrupción de alguna interrupción en los
servicios críticos de TI a causa de un evento, el equipo de TI de la continuidad operativa deberá
garantizar que todos los recursos y registros vitales deben estar íntegros y aptos dentro y fuera
de la entidad. Se considera lo siguiente:

- Una vez ocurrida la emergencia, se debe avisar a los encargados de cada servicio crítico
de TI, quienes son los integrantes del equipo de TI responsable.

- Utilizar los registros del plan, incluyendo todos los recursos necesarios para el
restablecimiento de la entidad o del centro de datos alternativo.

- Poner en práctica a todos los integrantes del equipo de TI capacitados y preparados para
la permanencia en los roles y tareas a desempeñar para que tengan las habilidades
necesarias de restaurar los servicios críticos de TI empleando los procedimientos
determinados en la lista de revisión del plan.

- Debe encontrarse decretado, actualizado y demostrado el plan de continuidad operativo


de los servicios críticos de TI, también incluir las lecciones aprendidas de las recientes
emergencias vencidas.

- Disponibilidad en las copias de seguridad de la entidad para realizar la recuperación de


la información de acuerdo a la situación.

- Poner en marcha el procesamiento del Centro de Datos alterno durante el tiempo que
dura la emergencia.

- Que se realice las pruebas adecuadas para garantizar que el plan de continuidad
operativo de los servicios críticos de TI haya funcionado correctamente.

c) Actividades del plan que se deben de desarrollar después de una interrupción en los servicios
críticos de TI.
237

Se debe comprobar que se hayan ejecutado correctamente todas las actividades y


procedimientos indispensables para vencer la emergencia; registrar y documentar todo respecto
a estos procedimientos, registros y documentos que se puedan utilizar ante próximas
emergencias a suceder. Para ellos, se debe considerar lo siguiente:

- Debe encontrarse decretado, actualizado y demostrado el plan de continuidad operativo


de los servicios críticos de TI, también incluir las lecciones aprendidas de las recientes
emergencias vencidas.

- Aprobar y garantizar antes de la restauración de los servicios que se ofrecen lo


siguiente:

 Confiabilidad de la documentación, la cual se tiene protegida de los recientes


registros antes de manifestar la emergencia.

 Seguridad de que la información anotada antes de la emergencia sea la adecuada.

 Garantizar que se hayan almacenado todos los registros realizados durante el tiempo
de emergencia, si en caso faltaría alguno, determinar los pasos a seguir para
procesarla y recuperarla.

 La información debe estar documentada y registrada de los escenarios del antes,


durante y después de la emergencia, con la adecuada evaluación que autorice el
reforzamiento mediante anotaciones, sugerencias, conclusiones y recomendaciones
que ayuden a perfeccionarlo, acoplándose a las nuevas necesidades.

- Se debe manifestar por concluido la emergencia por parte de los encargados de los
servicios críticos de TI restaurados.

- Se debe dar visto bueno con una firma a las actas del regreso a la normalidad de la
continuidad operativa.

- Se debe mostrar un informe final de la emergencia vencida y se debe considerar los


siguiente:

 El diagnóstico del origen que ocasiono la paralización de los servicios.

 Lo notable de la restauración, las estrategias aplicadas, los resultados obtenidos


y una pequeña recopilación de las actividades efectuadas.
238

 El regreso del funcionamiento a la normalidad mediante las anotaciones y


sugerencias que autorice el mejoramiento del plan de continuidad en los servicios
críticos de TI mediante a las lecciones aprendidas en cada emergencia vencida.

- La validez del plan comenzará desde el día que se oficializa.

4.4 Estrategias de Recuperación:

Para establecer las estrategias de recuperación del negocio, se debe realizar en base a los
hallazgos del BIA y del análisis del riesgo. De una u otra forma, se deberá cumplir con los
objetivos del plan de continuidad operativa para los procesos en el área de archivo de la
institución estatal.

La Institución Estatal debe establecer las opciones de estrategia con el fin de:

- Proteger las actividades prioritarias.

- Estabilizar, permanecer, restablecer y recuperar las actividades prioritarias.

- Mitigar, responder al impacto y administrarlo.

4.4.1 Estrategias de Recuperación para Escenarios de Amenaza

Las estrategias se trabajaron tomando cada uno de los escenarios de amenaza anteriormente
expuestos en la tabla anterior. Para el presente proyecto se trabajarán con los niveles de riesgo
“Alto” y “Medio”. Siguiendo los elementos anteriormente expuestos en la tabla, se propondrán
estrategias de continuidad más adecuadas a los posibles escenarios que generan interrupción
del servicio del área de archivos y así contar con una mejor disponibilidad.

Las estrategias de continuidad propuestas se muestran a continuación en la tabla 49.


Tabla 51: Matriz de estrategias de recuperación
240
241

Fuente 52: Elaboración Propia


Las propuestas de estrategias de recuperación se han clasificado en base a los elementos que
serán considerados dentro de las alternativas de solución. Estas estrategias se realizaron
tomando en cuenta los escenarios de amenazas, los riesgos identificados y analizados. Para esto
se tendrán en cuenta los 6 elementos: Habilidades y conocimientos, instalaciones, tecnología,
proveedores y datos según aplique para cada escenario de amenaza.
243
244

Fuente 53: Elaboración Propia

4.4.2 Indicador de Logro OE3

Definir las estrategias de recuperación de desastres que permitirán cumplir con los objetivos
de recuperación establecidos por el área de archivos de la oficina de sistemas para una
Institución Estatal. Por lo tanto, la ejecución del análisis de riesgos se determinó una matriz de
estrategias de recuperación para cada escenario de amenaza bajo el enfoque de lo indicado por
la norma ISO/IEC 27031:2011.
245

Tabla 52: Indicador de logro OE3

Fuente 54: Elaboración propia

Para lograr este indicador se utilizó la lista de consideraciones necesarias de las estrategias de
continuidad de la norma. Al respecto la norma ISO 27031:2011 menciona que “las opciones
[de estrategias] deben tener en cuenta los diversos componentes necesarios para garantizar la
continuidad y recuperación de servicios de TIC críticos “.

De estas opciones se considerarán las mejores opciones de estrategias para su desarrollo más
óptimo y propuesta de alternativas de solución.

4.5 Alternativas de Solución

En esta parte se detallarán las alternativas de solución que se han considerado dentro de las
estrategias de recuperación para cada uno de los escenarios de amenaza. Los términos
siguientes nos brindaran información acerca de las escalas de evaluación de la matriz anterior.

Aspectos para el tiempo de implementación y niveles de costos:

Tiempo de Implementación:
246

La estimación del tiempo de implementación para las alternativas de solución sería la siguiente:

Tabla 53: Tiempo para la implementación de las alternativas de solución


VALOR TIEMPO CANTIDAD

C Corto plazo Menos de 1 mes

M Mediano plazo De 1 a 6 meses


L Largo plazo Más de 6 meses

Fuente 55: Elaboración Propia

Niveles de Costo Económico:

La estimación de los niveles de costo para las alternativas de solución para implementar la
función de recuperación propuesta sería la siguiente:

Tabla 54: Niveles de costos para las alternativas de solución


VALOR MONTO
1 De $0 a $2,000

2 De $2,000 a $7,000

3 De $7,000 a $12,000

4 De $12,000 a más

Fuente 56: Elaboración Propia


Cabe recalcar, que la decisión final la tiene la alta dirección respecto a que alternativas de
solución establecida será la correcta o cuál no (SI o NO).

Nivel de cumplimiento MTPD:

Estimación del tiempo en base al MTPD de la tabla 36. Matriz de niveles de servicio de TI.
Siempre y cuando el tiempo de recuperación ofrecido por la alternativa de solución sea menor
entonces se dirá que la alternativa de solución cumple.

Decisión:

La Alta Dirección deberá determinar si la alternativa propuesta es aceptada o no (SI o NO)


247

Las alternativas de solución propuestas se muestran a continuación en la siguiente tabla


4.5.1.- Matriz de Alternativas de Solución

Se proponen las siguientes alternativas de solución para las estrategias antes mencionadas.

Tabla 55: Alternativas de Solución


249
250
251
252

Fuente 57: Elaboración Propia


4.5.2.- Acciones a Considerar de las Alternativas de Solución

1) RT-06: Indisponibilidad de servicio VPN debido incompatibilidad por obsolescencia de


software

Alternativa de solución seleccionada: A04

a) Habilidades y conocimientos. Se deberá contar con documentación de los procesos de


programación, puesta en marcha y funcionamiento de la plataforma. Capacitación al personal
del área de soporte de TI de la oficina de sistemas para supervisar las conexiones y apoyo a los
usuarios con los procedimientos de conexión.

b) Instalaciones. Los usuarios deberán contar con la conexión a internet y otros requerimientos
para trabajos fuera de la organización.

c) Tecnología. Con el fin de garantizar la integridad de la comunicación a través de una red


externa vía VPN y así brindar continuidad al servicio de TI que este soporta se propone adquirir
lo siguiente:

 Cloud VPN. Su función es de mantener conectado vía un túnel de comunicación


configurado en una cuenta en el proveedor de servicios de Microsoft Azure. La solución
brindará la disponibilidad que se requiere en caso el equipo principal falle.

Se recomienda el siguiente producto con cotización adjunta.

- 01 licencia de SYMMETRY Perú VPN (VpnGw1)

La alternativa debe contar con la capacidad suficiente para la conexión de sus usuarios
externos.

d) Proveedores. Acuerdos de nivel de servicio con el proveedor para soporte disponible


7*24*365 días al año.
254

e) Costos y tiempos de implementación de las alternativas de solución.

La toma de decisión se realizó en base a la facilidad en el cambio del equipo de respaldo en


vez de cambiar de estación de trabajo y conectarse a un equipo virtual.

2) RT-09: Acceso no disponible al Sistema de los procesos y servicios críticos en el área de


archivo de forma remota en cuestión de una pandemia u otro evento que impida que el personal
acuda de forma presencial.

Alternativa de solución seleccionada: A06

a) Habilidades y conocimientos. Capacitación en el procedimiento de conexión al servicio


VPN y al procedimiento de conexión a la estación de trabajo haciendo uso del servicio RDP
de Windows. El área de soporte de TI de la Oficina Sistemas cuenta con personal capacitado
para ejecutar la implementación, configuración y puesta en marcha de la solución.

b) Tecnología. Para implementar la propuesta es necesario la adquisición de ciertos equipos:

- Acceso remoto a los sistemas.

- Servicio RDP: Servicio con el cual se conectará el usuario para poder


acceder a la estación de trabajo desde cualquier lugar accediendo a través
de una conexión VPN

- Servicio VPN: Servicio ya implementado y en marcha dentro de los


servicios que brinda la Institución Estatal y el área de Soporte de TI de la
Oficina de Sistemas.

 Red Internet para la Institución Estatal.

Para implementar esta propuesta es necesario habilitar la comunicación entre la red


administrativa y la red institucional, ya que ambas redes son independientes y no
255

conversan entre sí. Para esto se configura el switch core con las VLAN de cada una de
sus puertas de enlace y así lograr la comunicación entre redes.

c) Procesos. Establecer un nuevo proceso en el cual como medida de continuidad se utilice una
conexión VPN para luego conectarse de forma remota a las estaciones de trabajo de áreas de
la Institución Estatal.

d) Costos y tiempos de implementación de las alternativas de solución.

La toma de decisión se realizó en base a la rápida y menos costosa solución en comparación


con la otra solución propuesta. Debido a que la necesidad es conectarse y monitorear de forma
externa la primera solución A07 es la más recomendada.

3) RT -07: Inoperatividad de estación de trabajo de Sistema de los procesos y servicios críticos


en el área de archivo generado por deterioro interno de componentes. Indisponibilidad de
equipo de administración de Sistema de los proceso y servicios y críticos en el área de archivos
por ausencia de suministro eléctrico. La cual causaría la paralización del Servicio de Registros
de Identificación de su Tarjeta de Identidad y los procesos de evaluación por la alta
probabilidad de la interrupción de este sistema Eléctrico.

Alternativa de solución seleccionada: A08

a) Habilidades y conocimientos.

 Tener personal de mantenimiento encargado de ejecutar y llevar a cabo el plan de


continuidad durante las 24 horas en los 3 diferentes turnos
256

 Contar con personal capacitado y procedimientos establecidos para la ejecución del


plan de continuidad Operativa de esta alternativa de solución.

b) Tecnología.

 Estación de trabajo. Tiene las funciones de control y administración de los dispositivos


de automatización. La solución propone tener una estación configurada de respaldo ante
una eventual falla de hardware en el equipo.

- Procesador: 2.0 GHz o superior

- Memoria: 8GB o superior

- Disco duro: 500 GB o superior

- Sistema Operativo: Windows 10 Professional

c) Datos. En cuestión de datos se encuentra el mismo Sistema Operativo configurado y la


licencia a configurar. Es necesario contar con un procedimiento de backups de la estación de
trabajo cada vez que se realice algún cambio en la configuración del sistema de automatización.
Esta copia de respaldo deberá realizarse a través del método de clonación que será utilizada
posteriormente en la recuperación del equipo principal.

d) Proveedores.

 Brindar las facilidades para la adquisición de las recomendaciones tanto en hardware


como en software.

 Proveer del licenciamiento necesario del software Factory Talk SE Client, así como el
soporte, instalación, implementación y puesta en marcha del mismo.
257

a) Costos y tiempos de implementación de las alternativas de solución.

La toma de decisión se desarrolló en base a la facilidad en el cambio del equipo de respaldo en


vez de cambiar de estación de trabajo y conectarse a un equipo virtual.

1) RT -07: Paralización de sistema ERP SAP de hechos vitales por falla en el servidor
principal debido a la falta de mantenimiento Preventivo.

Se debe realizar las siguientes acciones inmediatas si ocurre un incidente respecto a la falla en
el servidor principal que almacena los datos de todo el personal de la Institución Estatal.

 Elevar la solicitud de soporte de inmediato al proveedor del servicio.

 Se debe garantizar el óptimo funcionamiento del servidor de respaldo


restaurando la copia de información más reciente de la última replica.

 Garantizar que el servidor del servicio del registro de todo el personal de la


Institución Estatal de respaldo se incorpore al funcionamiento adecuadamente
y alertar a los responsables de los servicios críticos de soporte de TI de la
Oficina de Sistemas.

Alternativa de solución seleccionada: A10

a) Habilidades y conocimientos. Documentación de cómo se realiza la comunicación con el


servidor alterno en caso el principal presente alguna falla. Capacitación del personal para
dar a conocer y concientizar al personal usuario acerca del plan de continuidad.

b) Tecnología. Para implementar la propuesta es necesario la adquisición de ciertos equipos:


258

 Servidor físico anfitrión. Sera el encargado de brindar alojamiento del servidor virtual
que brindará continuidad al servicio ERP SAP en caso el equipo principal falle. Los
requerimientos de hardware de un servidor virtual se basan en la capacidad de
procesamiento y memoria necesario para su óptimo funcionamiento. Para ello deberá
contar con lo siguiente tomando como referencia la actual instalación de servidor físico
principal:

- Procesador: 2v CPU

- Memoria RAM: Mínimo 8 GB

- Sistema Operativo: Windows Server 2012 o superior

Se recomienda el siguiente producto.

- 1 Servidor Virtual en Plataforma

- 1 licencia Sistema Operativo: Windows Server 2012 o superior

- 1 licencia ERP SAP

 Servidor Base de Datos. La solución propone un servidor en replicación, es decir, que


se integrará al servidor principal con una réplica de la información cada 1 minuto con
toda la información que este último almacena en su base de datos.

- Procesador: 2v CPU

- Memoria RAM: Mínimo 8 GB o superior

- Disco duro: 500 GB o superior

- Capacidad de almacenamiento: 1 TB.

- Sistema Operativo: Windows Server 2012 o superior

- Software Base de Datos: MS SQL Server 2016 Standard

Se recomienda el siguiente producto con cotización adjunta.


259

- 1 Servidor Virtual en Plataforma Hyper-V

- 1 licencia Sistema Operativo: Windows Server 2012 o superior

c) Datos. Los datos serán importados y sincronizados desde el servidor de base de datos
del sistema ERP SAP de hechos vitales. Los datos se replicarán de un servidor principal a
uno secundario de backup. Se utilizará el método de “Publicación transaccional” en la que el
servidor principal tomará el rol de publicador y el secundario tendrá el rol de distribuidor y
suscriptor. Esta replicación se deberá programar para que sea ejecutada a diario cada 10
minutos o un tiempo menor al RPO del servicio.

d) Procesos. Se deberá considerar el proceso de continuidad de servicio ERP SAP de


hechos vitales desde el nivel usuario donde se brinde información de los procedimientos y
funciones de los participantes del proceso.

e) Proveedores.

 Brindar las facilidades para la adquisición de las recomendaciones dentro de los plazos
establecidos en la cotización.

f) Costos y tiempos de implementación de las alternativas de solución.

La alta dirección opto por la alternativa de solución A12 debido a que es menos compleja y
costosa, y además pronto la organización realizara la migración a la plataforma Dynamics 365.

4.5.3.- Indicador de logro OE4

Tabla 56: Indicador de logro OE4


260

Fuente 58: Elaboración Propia

Como resultado de logro para el cuarto objetivo específico, se evaluó la matriz de alternativas
de solución y se realizó un comparativo del punto 4.4.1 y las acciones a considerar en las
alternativas de solución del punto 4.4.2. De ellas se desprende el nivel de inversión requerida
por cada alternativa de solución y los niveles de tiempo de implementación de cada uno.

Tabla 57: Niveles de tiempo de implementación requerido


261

Fuente 59: Elaboración Propia

Se observa según la tabla 49, que las alternativas de solución propuestas tienen un corto plazo
de implementación.

Tabla 58: Nivel de inversión requerido

Fuente 60: Elaboración Propia


262

En total se observa que el nivel total de inversión requerida se divide en 2.

4.6.- Propuesta de Diseño de Plan de Continuidad

4.6.1.- Diseño de la propuesta de un Plan de Continuidad

El diseño de la propuesta de un Plan de continuidad operativa para el proceso del área de


archivo tal como lo señala la ISO 27031 (2011), que brinda pautas para desarrollar el
documento que nos ayudara a gestionar las posibles interrupciones, permitir la continuidad del
proceso del área de archivo y con eso la recuperación de sus procesos y servicio de TI en el
área de soporte de TI de la Oficina de Sistema en la Institución Estatal.

La institución puede desarrollar documentos de planes para la recuperación y reanudación del


proceso y servicios de TI del área de archivo de la Oficina de Sistemas, sin embargo, es difícil
definir cuál es el estado normal del proceso y servicio de forma inmediata. Para esto la
organización debe proponer o contar con un plan de continuidad más amplio para así dar tiempo
en el desarrollo de un plan de continuidad más específico.

Una entidad y/o Institución puede tener uno o muchos planes de continuidad según sea su
transcendencia. Cada uno de ellos debe tener la suficiente información y el detalle requerido
para la recuperación y continuidad del proceso y servicio. Los planes deben ser concisos y
accesibles por quienes tienes roles y responsabilidades definidas dentro del plan. Los elementos
del plan se describen a continuación.

4.6.2.- Objetivo del plan de continuidad

En esta etapa del proyecto tiene como propósito desarrollar un plan que permita la continuidad
Operativo de los procesos críticos de la Institución Estatal desarrollando alternativas de
solución para los escenarios de amenazas identificados y evaluados, y así evitar o mitigar
263

posibles interrupciones. Asimismo, salvaguardar luego de una interrupción inesperada, los


procesos y servicios de TI del área de archivo de la Oficina de Sistemas puedan ser restaurados
dentro de los tiempos acordados.

4.6.3.- Alcance

Este plan aplica para los procesos y servicios de TI críticos en el área de archivo de la
institución Estatal y de conocimiento de todo el personal que labore en una entidad estatal con
la finalidad de garantizar la continuidad operativo para el proceso en el área de archivo en caso
estos sufran un evento que afecte su normal operatividad.

4.6.4.- Estructura organizacional para afrontar plan de continuidad operativa

Para el funcionamiento del Plan de Continuidad Operativo para el proceso y Servicios de TI en


el área de archivo, se ha establecido el siguiente comité continuidad conformado
exclusivamente por el área de la Oficina de Sistemas de Tecnologías de la Información.

Figura 18: Estructura organizacional de Comité de Continuidad


264

Fuente: Elaboración Propia

El coordinador de TI deberá asignar un personal titular y uno alterno como responsable de cada
equipo anteriormente detallado en la Figura 21. Asimismo, los responsables de cada equipo
deberán mantener siempre operativo el equipo móvil asignado por la institución al igual que la
disponibilidad a los correos electrónicos. La relación del personal debe ser actualizada de forma
permanente y compartida con el personal involucrado. Para tal efecto se ha dispuesto un
directorio con la información y disponibilidad de cada uno de los integrantes del comité de
continuidad.

Tabla 59: Directorio del Comité de Continuidad de Servicios de TI

Fuente 61: Elaboración Propia


265

4.6.5.- Roles y responsabilidades

Cada uno de los integrantes del comité de continuidad tienen roles y responsabilidad
específicos para desarrollar el Plan de Continuidad Operativo para el proceso y servicio de TI
en el área de archivo. A continuación, se describe cada uno de ellos.

1. Coordinador de Continuidad

Está conformado por el Gerente de la Oficina de Sistemas de Tecnologías de la Información


de la institución y tiene las siguientes funciones:

- Tomar la decisión de la activación del Plan de Continuidad Operativo para el proceso


y Servicios de TI.

- Brindar supervisión y guía del desarrollo de actividades a los equipos de continuidad.

- Mantener informados a los integrantes de los equipos del comité de continuidad acerca
del evento de inicio del incidente o crisis, desarrollo y recuperación, así como los
posibles eventos inesperados durante la ejecución del plan.

- Contactarse con los proveedores para el reemplazo de hardware, software o servicios


alternos.

- Declarar el término de la recuperación y restablecimiento de los procesos y servicios


de TI afectados.

2. Equipo de Prevención

Es el equipo encargado de salvaguardar la continuidad de los procesos y servicios de TI para


evitar la materialización de un escenario de amenaza y en caso se active y genere una
incidencia, contar con lo requerido para la recuperación y continuidad de los procesos y
servicios de TI afectados en el menor tiempo especificado en el RTO del servicio. El
responsable del Equipo de Prevención es el Supervisor de Sistemas de Información.

En seguida, se detallan las funciones de los integrantes del equipo de prevención:


266

Supervisor de Sistemas de Información

- Mantener informado al coordinador de continuidad acerca de las medidas de prevención


validada

- Establecer procedimientos para el soporte y mantenimiento de los sistemas en procesos.

- Llevar un control de las copias de respaldo de los sistemas de información de la


institución.

- Mantener actualizados los procedimientos de pruebas de continuidad de los sistemas de


información.

Administrador de TI

- Documentar los procedimientos y validar su información de los sistemas de


información, red, soporte y base de datos.

- Revisar el informe de backups presentado por los encargados de sistemas de


información, red, soporte y base de datos.

- Proponer mejoras en sistemas de la información que provean mejor disponibilidad a los


procesos y servicios de TI actuales.

Supervisor de Soporte Técnico

- Contar con un cronograma de mantenimientos de equipos del centro de datos tomando


en consideración el tiempo de vida útil y garantías.

- Llevar un seguimiento de los informes de mantenimiento realizados para así encontrar


opciones de mejora y prevenir incidentes

- Llevar un control de los incidentes registrados


267

Especialista en Redes e Infraestructura

- Mantener actualizado el inventario de hardware y software del centro de datos.

- Llevar un control de versiones de las copias de respaldo.

- Verificar que los diagramas de red físico y lógico se encuentren actualizados.

- Monitoreo de red para prevenir cortes o latencias en la comunicación.

Analista de base de datos

- Realizar copias de respaldo de las bases de datos de los sistemas de información.

- Realizar pruebas de restauración de las copias de respaldo de forma periódica

3. Equipo de Emergencia

Es el equipo encargado de ejecutar las acciones necesarias durante la incidencia con la finalidad
de mitigar el impacto del riesgo que ejerzan sobre los procesos y servicios críticos de TI en el
área de archivos. El responsable del Equipo de Emergencia es el Administrador de TI.

En seguida, se detallan las funciones de los integrantes del equipo de emergencia:

Administrador de TI

- Notificar situación de emergencia a Coordinar de continuidad.

- Ejecutar procedimientos de emergencia en los recursos informáticos de los procesos y


servicios afectados.

- Comunicar al Coordinador de continuidad las acciones ejecutadas para recuperación de


los procesos afectados

Supervisor de Sistemas de Información


268

- Verificar estado de sistemas de información afectados

- Solicitar los registros (logs) de los equipos y/o recursos de los sistemas de información
involucrados.

Supervisor de Soporte Técnico

- Realizar evaluaciones de los casos críticos ingresados.

- Notificar al Responsable del Equipo de Emergencia las acciones ejecutadas para los
casos críticos registrados.

Especialista en Redes e Infraestructura

- Ejecutar acciones de emergencia en los equipos informáticos del centro de datos.

- Realizar una evaluación del estado actual de los equipos informáticos afectados

- Comunicar al Responsable del Equipo de Emergencia las acciones ejecutadas

Técnico de Soporte TI

- Evaluar los recursos informáticos afectados (computadoras, servidor, software, entre


otros).

- Notificar los casos críticos al Supervisor de Soporte Técnico que afecten a los recursos
informáticos evaluados

Analista de base de datos

- Realizar una evaluación del estado actual de las condiciones de los datos e información
ubicada en los equipos de bases de datos

4. Equipo de Restauración
269

Es el equipo encargado de ejecutar las acciones posteriores a la interrupción o emergencia. Esta


etapa es importante ya que es aquí donde el equipo debe restituir en el menor tiempo posible
(<= RTO), la operatividad de los procesos y servicios afectados en el área de archivo. El
responsable del Equipo de Emergencia es el Especialista en Redes e Infraestructura.

En seguida, se detallan las funciones de los integrantes del equipo de recuperación:

Especialista en Redes e Infraestructura

- Da inicio a las acciones de recuperación de los procesos y servicios de TI afectados.

- Realizar acciones de recuperación para los equipos de infraestructura afectados del


centro de datos.

- Realizar un informe de las acciones realizadas para recuperar los equipos de red e
infraestructura del centro de datos.

- Notificar al Coordinador de Continuidad las acciones de recuperación ejecutadas.

Administrador de TI

- Coordinar una lista de verificación del estado de los sistemas de información


recuperados

- Supervisar los procedimientos de restauración de los sistemas de información afectados

- Notificar al Responsable del Equipo de Restauración las acciones de recuperación


ejecutadas

Supervisor de Sistemas de Información

- Desplegar en caso sea requerido la reinstalación los aplicativos de sistemas de


información.
270

- Realizar un informe detallado de las acciones realizadas para la recuperación de los


sistemas de información afectados.

Supervisor de Soporte Técnico

- Verificar la operatividad de los servidores afectados

- Brindar solución a los problemas de funcionamiento de los servidores afectados

- Elaborar un informe detallando la evaluación realizada y las condiciones de los


servidores luego de la recuperación

- Notificar al Responsable del Equipo de Restauración las acciones de recuperación


ejecutadas

Técnico de Soporte TI

- Verificar la operatividad de los equipos afectados

- Brindar solución a los problemas de funcionamiento de los equipos afectados

- Elaborar un informe detallando la evaluación realizada y las condiciones de los equipos


luego de la recuperación

Analista de base de datos

- Verificar la operatividad de las bases de datos

- Iniciar con la restauración de las copias de respaldo de las bases de datos en caso sea
requerido

- Elaborar un informe de evaluación del estado de las bases de datos luego de las acciones
de recuperación
271

4.6.6.- Plan de invocación de la emergencia

Para contar con un plan de invocación efectivo, este debe ser rápidamente implementado y su
funcionamiento debe darse en las primeras horas de la interrupción. Los pasos para determinar
si se necesita activar el plan son los siguientes:

A. Paso 1: Notificación

El personal de la institución que hace uso de los procesos y servicios de TI son los encargados
de identificar y reportar los incidentes de interrupción a través de los medios de comunicación
como una llamada telefónica, correo, radio o mensaje de texto, o también de forma presencial
al equipo de emergencia. Es decir, se evaluarán el incidente y brindar las indicaciones
respectivas para su solución. En caso de no poder solucionarlo se ejecutará el plan de
invocación notificando al coordinador de continuidad. Este informara a la alta dirección sobre
la actual situación y a los otros miembros del comité de continuidad.

B. Paso 2: Evaluación

Luego de haber convocado al comité de continuidad, se procede con la investigación del


incidente por interrupción en una reunión del comité que la conforman el Coordinador General
y el equipo de Emergencia. El levantamiento de información brindará datos acerca del
incidente de interrupción.

C. Paso 3: Anticipación

Una vez declarado el plan de invocación se deben definir las actividades a realizar. La
información de la activación del plan de invocación debe ser compartida con el personal de la
institución.

4.6.7.- Actividades a realizar antes, durante y después de una emergencia o interrupción

de un proceso y servicio de TI

Las actividades que se han tomado como base se muestran a continuación.

a. Actividades del plan de continuidad que se deben realizar antes de la ocurrencia de la


interrupción del proceso y servicio de TI
272

Antes de la ocurrencia de una interrupción del proceso y servicio de TI, el personal de


continuidad deberá constatar que cuenta con los recursos y registros disponibles ya sea dentro
y fuera de la institución.

Coordinador de continuidad:

- Realizar las pruebas y simulaciones de las alternativas de solución de forma anual.

- Distribuir los planes de continuidad de cada servicio de TI entre todos los miembros
del comité de continuidad.

- Asegurar la inclusión de capacitaciones y entrenamiento tanto al personal del comité


como al personal de la organización.

- Actualizar el plan de continuidad de forma periódica (cada 6 meses) o según se requiera.

- Directorio de personal interno y externo que reportará al comité de continuidad en caso


de una interrupción prolongada de los servicios

- Asegurar los procedimientos, guías y manuales de instalación, configuración, etc., de


forma física y digital en un repositorio donde solo tenga acceso el comité de
continuidad.

Equipo de continuidad:

- Mantener actualizado el directorio de los miembros del comité

- Brindar capacitaciones al personal usuario directo de los servicios de TI de los procesos


críticos.

- Asegurar la disponibilidad de recursos necesarios para mantener la continuidad de los


procesos críticos de la organización

b. Actividades del plan de continuidad que se deben realizar durante de la ocurrencia de la


interrupción de un servicio de TI
273

Cuando se presenta una interrupción de un servicio de TI, el personal de continuidad deberá


asegurarse de contar con los recursos y registros disponibles ya sea dentro o fuera de la
organización. Se debe asegurar que el contacto se realice y se ponga sobre aviso al comité de
continuidad.

Coordinador de continuidad:

- La persona a contactar luego de resolver que se debe activar el plan de continuidad es


el Coordinador General.

- Se notifica a los integrantes de la alta dirección los cuales deciden si se activa el plan
de continuidad, en caso de que ninguno de los integrantes está disponible, la
responsabilidad de la toma de decisión correspondería al Coordinador General.

- El coordinador deberá informar que el comité de continuidad se encuentra revisando la


interrupción.

Equipo de continuidad:

- Se deberá llevar una bitácora de los eventos y acciones tomadas.

- Revisar el éxito de la alternativa de solución del plan de continuidad asociado al


servicio de TI que sufrió la interrupción

- Cumplir con los procedimientos y seguir los manuales de instalación, configuración,


etc.

c. Actividades del plan de continuidad que se deben realizar después de la ocurrencia de la


interrupción de un servicio de TI

Se debe revisar el cumplimiento de los procedimientos, actividades y participación del personal


que intervino en el proceso de recuperación y continuidad del servicio de TI.

En caso haya habido nuevos aprendizajes se deberán revisar en Comité de Continuidad y


posteriormente actualizar el documento del plan de continuidad para ser usado en algún
posterior incidente.
274

Coordinador continuidad:

- Asegurar que la documentación del plan de continuidad sea revisado, actualizado y


probado luego de la interrupción ocurrida.

- Validar el restablecimiento del servicio y confirmar su continuidad, así como la del


proceso del cual es base. Firmar un acta de restablecimiento del servicio ha estado
normal.

- Declarar el cierre del plan de continuidad y notificar a los integrantes del comité de
continuidad y la alta dirección, así como al responsable de cada servicio de TI.

Equipo de continuidad:

- Presentar el informe detallando el diagnostico de causa raíz de la interrupción,


estrategias aplicadas y un resumen del trabajo realizado.

- Declarar las conclusiones y recomendaciones que ayudaran a mejorar el plan de


continuidad de servicios de TI

4.6.9.- Capacitación y entrenamiento de personal

El propósito que se cumple en este punto es brindar un conjunto de actividades que le permitan
a la institución a realizar la capacitación y entrenamiento de su personal frente a diversos
eventos que afecten la continuidad de los procesos y servicios de TI en el área de archivos.
Según se describe en la norma ISO 27031 (2011): “Se debe implementar un programa
coordinado para asegurar que los procesos estén en su lugar para promover regularmente la
conciencia

Para la efectividad del entrenamiento y capacitación del personal se deberán definir roles:
275

 Responsable de capacitación: Persona encargada de gestionar las actividades a realizar


para la capacitación. Entre ellas están:

- Establecer un programa de capacitación

- Definir los tipos de público a los que ira dirigida

- Elegir el instructor que brindara la capacitación

- Al final de la capacitación se debe contar con evaluaciones, test o encuestas para


medir su efectividad

 Asistente de capacitación: Persona encargada de gestionar actividades de apoyo para


realizar la capacitación. Entre sus actividades están las siguientes:

- Coordinar con el personal y áreas responsables sobre la capacitación a


realizar

- Gestionar los ambientes y logística necesaria

- Registrar un control de las actividades a realizar en las capacitaciones

 Instructor de capacitación: Persona encargado de llevar a cabo las capacitaciones.

Sus principales actividades son:

- Contar con material para su exposición

- Brindar capacitación al personal

Las competencias del instructor deberán estar relacionadas al conocimiento del caso y su
desenvolvimiento, entre las principales están:

- Capacidad de hablar y transmitir las ideas frente al publico

- Tener dominio y conocimiento del tema a capacitar


276

- Experiencia como instructor, creatividad e innovación

 Personal a instruir: El tema de continuidad de negocio es de total importancia para todo


el personal de la organización, sin embargo, el tipo de capacitación variara dependiendo
de los grupos o áreas de la organización a capacitar
Tabla 60: : Especificación de cumplimiento de la matriz de requerimientos
279
280
281
282
283
284
285
286

Fuente 62: Elaboración Propia


5 CAPITULO 5:

El presente proyecto de un “Diseño de un Plan de Continuidad Operativa (SGCN) para los


procesos del área de archivos de la oficina de sistemas para una Institución Estatal, con base
en la norma ISO/ IEC 27031:2011, proponer actividades que permitan su recuperación ante
posibles amenazas o desastres.

El plan de continuidad operativa para los proceso y servicio crítico TI en el área de archivo de
la Oficina de Sistemas juega un rol muy importante para la Institución Estatal debido a que
permite brindar recursos para los procesos críticos y así evitando interrupciones.

Por ende, no se puede esperar a la ocurrencia de un evento que interrumpa los servicios sino
más bien debe efectuarse las pruebas con anticipación. Según lo señala (Alexander., 2007, pág.
2007) en su artículo, las pruebas “son el único medio para demostrar que se tiene un plan de
reanudación de operaciones listo para funcionar en cualquier momento. Por consiguiente, el
objetivo de este plan de pruebas es validar el cumplimiento de los objetivos específicos, debido
a que está íntimamente relacionado al éxito de este proyecto.
288

5.1.- Flujo de Trabajo para la Evaluación y Validación

Figure 1: Pruebas, Resultado y Validación.

Fuente: Elaboración Propia

Fases:

 Plan de Pruebas: En la primera fase se adquiere el método de validación necesario


para hacer frente al objetivo específico en estudio. De esta manera, se mencionan que
actividades y recursos son necesarios para poder realizar la evaluación respectiva. Por
último, se fija una fecha de ejecución de las actividades a ejecutar con la finalidad de
que la institución disponga de los elementos necesarios con anticipación para el éxito
de las pruebas posteriores.

 Ejecución: En esta fase se da actividad y ejecución al método de validación


seleccionado. Como la razón de ser del presente proyecto es diseñar un Plan de
Continuidad Operativa, en base a la norma ISO/IEC 27031:2011.

Para realizar la ejecución de pruebas que conforma un plan de continuidad operativa


(análisis de impacto, análisis de riesgo, estrategias y alternativas de solución), se ha
escogido efectuar un plan de escritorio.

El motivo por el cual se ha escogido este tipo de prueba, es porque la Institución Estatal
hasta el momento nunca ha efectuado una prueba completa de un escenario real debido
289

a la dificultad desde su punto de vista y no quiere admitir el nivel de riesgo que la


prueba puede tolerar.

De esta manera, el método de validación utilizado será “Pruebas de escritorio” para la


gestión de pruebas que soportan el proceso ascenso y servicio las actividades de
registros del personal de la Institución Estatal.

En ello se realizará entrevistas no estructuradas entre los integrantes de:

- Alta Dirección

- Gerencia General

- Estructura Organizacional del Plan de Continuidad Operativo

- Personal que interactúa constantemente con los tipos de amenazas y


conocedores del proceso ascenso y servicio las actividades de registros del
personal de la Institución Estatal

 Resultados y Validación de Plan de Pruebas: En esta fase se revisan los resultados


obtenidos de las pruebas realizadas y se valida con los indicadores y métricas de logro
de objetivo trazados.

 Plan de Mejoras del Diseño de SGCN: En esta fase, la cual realimenta a la fase de
Plan de Pruebas ya que puede ser usado como un ciclo de mejora continua para las
pruebas y validación, se proponen mejoras respecto a los objetivos específicos
analizados (de aplicarse).

5.1.1 Descripción de los métodos de validación a aplicar:

La intención del presente plan de pruebas es poder validar el desarrollo y cumplimiento de


los objetivos específicos, puesto que se encuentra asociado al éxito del presente trabajo. Es
por ello, que se han desarrollado indicadores que podrán:

 Incrementar la responsabilidad: Pueden incrementar la responsabilidad pues


permiten identificar qué proceso de ascenso y servicio de las actividades de registros
290

del personal de la Institución Estatal no han sido implementados correctamente o no se


encuentran implementados.

 Evidencia de cumplimiento de requisitos: Provisión documentada de evidencia que


ayude a demostrar el cumplimiento de la normativa vigente.

 Toma de decisiones: Ayuda a la organización a poder controlar las fallas en inversión


de continuidad de negocio.

Estos indicadores serán aplicados para medir la efectividad de cada uno de los indicadores de
logro detallados en el CAPÍTULO 1 del presente trabajo, a efectos de validar su desarrollo,
cumplimiento y efectividad. A continuación, podremos observar a detalle en la siguiente tabla
los objetivos y su respectivo indicador de éxito, los cuales se presentan a continuación:
291

Tabla 61: Validación de los Objetivos


292

Fuente 63: Elaboración Propia

De este modo, con el objetivo de poder evaluar la planificación realizada, se vio necesario la
identificación de cinco indicadores que ayuden a evaluar el cumplimiento de las políticas y
controles definidos, tales como las siguientes:
293

Tabla 62 Métricas de Indicadores de Logro:


294

Fuente 64: Elaboración Propia

En los indicadores detallados en la tabla anterior contará con los siguientes elementos en su
descripción:

- Código: Identificador específico.

- Definición del indicador: Declaración de medición, generalmente descrita usando una


palabra como "porcentaje", "número", "frecuencia" y "promedio".

- Objetivo: Se determina el propósito de la medición.

- Fórmula de cálculo: Cómo debería ser evaluada, calculada o puntuado.

- Características: Resultado deseado de la medición.

- Partes responsables: Persona responsable de recopilar la información y procesar la


medida.

- Fuente: Posibles fuentes como base de datos, herramientas de seguimiento, organizaciones


externas o roles individuales.

- Frecuencia: Con qué frecuencia se deben recopilar e informar los datos obtenidos.
295

- Formato de reporte: Cómo se deben informar y recopilar estos reportes.

Es importante definir este tipo de medidas a fin que se puedan recopilar los datos y utilizarlos
para múltiples propósitos. Estos mismos datos podrían respaldar una variedad de medidas que
pueden responder a las necesidades de información de las diferentes partes interesadas de la
organización.

5.1.2 Descripción y ejecución de pruebas a realizar:

Para demostrar los resultados y validaciones de los objetivos específicos se procedió a realizar
una evaluación de encuesta virtual que podremos visualizarlo en el anexo posterior. Dicha
encuesta consistió en un conjunto de preguntas, que nos permite medir opiniones y el estado
básico de un Plan de continuidad Operativa para los procesos del área de archivo, con la
finalidad de corroborar el estado de la continuidad Operativa.

Objetivo:

Desarrollar pruebas que permitan demostrar la validez del desarrollo del modelo para gestionar
las incidencias y problemas del área TI propuesto para la Institución del área de archivo de la
oficina de sistemas para la Institución Estatal

Alcance:

El alcance abarca pruebas del desarrollo de modelo de un Plan de Continuidad Operativo en el


proceso del área de archivo.

Procedimientos:

Desarrollaremos los procesos que se realizaran en el desarrollo de las pruebas

Fase de Planificación:
296

En esta fase se debe someter a una evaluación a tus sistemas e infraestructura. Tu plan de
continuidad operativa siempre dependerá de los niveles críticos y en similar medida; del
modelo de infraestructura con la que cuentas. Este diagnóstico te indicará la etapa y las medidas
correctivas a tomar para corregir para darle paso a la implementación del Plan de Continuidad
Operativa bajo estándares ISO 27031:2011.

La institución Estatal debe determinar sus requisitos para el plan de continuidad operativa y la
continuidad de la gestión de continuidad de negocio en situaciones adversas, por ejemplos,
durante una crisis o desastre.

FASE DE DESARROLLO DE PRUEBA:

Validación de logro de objetivos

Se revisan los resultados obtenidos de las pruebas realizadas, validando con los indicadores de
logro y los objetivos trazados.

Estructura del Equipo de Pruebas

Se da ejecución al método de validación seleccionado. No se incluye la implementación de los


controles indicados nivel de criticidad de los recursos críticos y registros vitales de la norma
ISO/IEC 27031:2011, debido a que, la razón del presente proyecto es diseñar un Plan de
Continuidad Operativa para el proceso del área de archivo de la oficina sistemas. Para la gestión
de pruebas de nnivel de criticidad que soportan los procesos y servicios de TI, se realizará
entrevistas no estructuradas entre los integrantes de:

- Coordinador de Continuidad

- Administrador de TI.

- Supervisor de la Oficina de Sistemas

- Supervisor de Soporte Técnico

- Especialista en Redes e Infraestructura


297

- Operador de los Procesos

Restricciones de la prueba

En esta sección deberían anticiparse las restricciones que afectan al proceso de pruebas como
la escasez de personal

5.2 Fase del Desarrollo de Pruebas:

5.2.1.- Plan de Prueba Objetivos Específicos 1:

El Objetivo Especifico I se muestra en la siguiente tabla:

Tabla 63: Plan de Pruebas para Objetivos Específicos 1

Fuente 65: Elaboración Propia


298

5.2.2. Fase de Plan de Pruebas

En el capítulo anterior se desarrolló un Análisis de Impacto al Negocio (BIA). En base a ello,


este objetivo tiene como finalidad la elaboración de los principales niveles de criticidad
asociados a los procesos de ascensos al personal de la institución Estatal. En base a ese, se da
un análisis de flujo de trabajo para su evaluación y validación que se muestra en la tabla.

El comité de continuidad procederá a realizar encuestas al personal de la institución con la


finalidad de obtener una mayor muestra al momento de realizar el análisis de impacto al
negocio.

Tabla 64: Matriz de un Plan de Pruebas P-OE1-01


299
300

Fuente 66: Elaboración Propia


301

Para la prueba se asignan los roles del análisis BIA y Responsabilidades BIA.

- Líder BIA: Coordinador de Continuidad

- Gerente de Proyectos: Coordinador de Continuidad

- Propietarios de procesos: Brindan conformidad de lista de procesos

- Responsable de actividad: Equipo de emergencia.

Encuesta
La encuesta se realizará a través de forma física y por correo de la institución. Esta encuesta ha
sido realizada en base a las consultas hechas en las entrevistas realizadas en el Análisis BIA
del presente trabajo.

5.2.3. Fase de preparación de las pruebas

El Coordinador de Continuidad será el encargado de convocar la reunión a través de un formato


de forma física y/o correo electrónico a una muestra de personal involucrado y detallado en el
Plan de Pruebas del objetivo específico en cuestión. En dicho correo se deberá adjuntar el
documento de Plan de Pruebas para brindar conocimiento de las actividades que se realizaran
y la encuesta “Prueba de Análisis BIA”. Esta encuesta será enviada a cada usuario que cuente
con una cuenta de correo electrónico asociada a la institución. En caso de que sea personal del
área de archivo de la oficina de sistemas, el responsable del equipo de emergencia le hará llegar
la encuesta de forma física.

5.2.4. Fase de ejecución de pruebas

En esta fase se ejecutará cada actividad detallada en el documento de Plan de Pruebas P-OE1-
01.
302

 Actividad 1: Envío de encuesta a una muestra del personal del área de archivo de la
oficina de sistemas para la institución en forma física y/o por correo interno de la
institución Estatal.

La siguiente figura muestra las vistas de la encuesta enviada. El universo a una muestra
de personal del área de archivo de la oficina de sistemas para la institución en forma
física y/o correo interno de la institución personas de todas las áreas de la institución.

Figura 19: Encuesta en forma física y por correo electrónico


Fuente: Elaboración Propia
303

Tabla 65: Universo de usuarios para prueba P-OE1-1

Fuente 67: Elaboración Propia


304

Anexo: Encuesta y Lista de Cotejo, dado por el juicio de expertos.:

El cumplimiento de este objetivo se midió a base de la comparación de una encuesta previa


para el diseño del proyecto. Este objetivo fue de la mano junto al diseño de un Plan de
Continuidad Operativo para el proceso en el área de archivo, ya que para su futura
implementación se requiere que los trabajadores sepan la importancia de la continuidad de
negocio en sus labores diarias. La encuesta consistía en 12 preguntas de proponer actividades
que permitan su recuperación ante posibles amenazas o desastres., las cuales serán analizadas
a continuación:

 Actividad 2: Registro de encuesta por parte del personal involucrado

Luego de finalizada la encuesta a una muestra de personas de la muestra, la cual arroja los
siguientes resultados.

Figura 20: Pregunta 1 de encuesta de prueba


Fuente 68: Elaboración Propia

En la figura 23, se determina que el 100% de los encuestados conocen los procesos que rigen
las operaciones del área de archivos de la oficina de sistemas para la institución.
305

Figura 21: Pregunta 2 de encuesta de prueba


Fuente 69: Elaboración Propia

En la figura 24, se determina que para las encuestas los 3 procesos críticos más importantes
para la empresa son: Desarrollar estrategia de producción de los procesos en el área de archivo
de la oficina de sistemas, Gestionar y mantener los activos productivos de los procesos,
Aprovisionar suministro, repuesto y equipos de servicios.

Figura 22: Pregunta 3 de encuesta de prueba


306

Fuente 70: Elaboración Propia

De la figura 25, se determina que las 3 áreas más importantes que brinda apoyo son: Logística,
Tecnologías de la información y Operaciones.

Figura 23: Pregunta 10 de encuesta de prueba


Fuente: Elaboración Propia

De la figura 27, se observa que previo al proyecto se determina que el 80% de la muestra del
personal no conoce cómo se protegen los recursos que se utilizan para mitigar los escenarios
de desastre.
307

Figura 24: Pregunta 11 de encuesta de prueba


Fuente: Elaboración Propia

De la figura 27, se determina que el 100% de la muestra de personal tiene conocimiento de que
procedimientos seguir en caso no cuenta con el servicio de TI para realizar su proceso.

Figura 25: Pregunta 12 de encuesta de prueba


Fuente: Elaboración Propia
308

De la figura 28, se determina que el 100% de una muestra del personal encuestado conoce el
tiempo en el que deberían retomarse las actividades de su proceso en caso ocurra una
emergencia o escenario de desastre.

Figura 26: Pregunta 13 de encuesta de prueba


Fuente: Elaboración Propia

De la figura 30, los encuestados de una muestra del personal del área de archivo opinan que el
tiempo de restauración de los servicios de TI para retomar sus actividades es, en su mayoría,
de 6 horas que representan el 67% del total de encuestados. En segundo lugar, consideran que
12 horas debería ser el tiempo de restauración, este número representa el 13% del total.

 Actividad 3: Tomar nota de la información provista en el informe de la encuesta Como


resumen, según la encuesta los procesos críticos son los siguientes:

Tabla 66: Procesos críticos según encuesta de prueba

Fuente 71: Elaboración Propia


309

Tabla 67: Servicios de TI de Soporte a los procesos críticos

Fuente 72: Elaboración Propia

 Actividad 5: Verificar el resultado obtenido

De las Tabla 64 y 65 se confirman los resultados obtenidos en comparación a lo analizado en


la solución propuesta. Los datos corresponden a los procesos críticos y servicios de TI
prioritarios para el correcto funcionamiento de las operaciones en el área de archivo de la
Oficina de Sistemas para la institución Estatal.

5.2.5. Fase de Evaluación

En esta fase de evaluación podemos concluir que las entrevistas realizadas en el proceso de
solución de la propuesta a los responsables de cada proceso confirman lo obtenido en los
resultados de las encuestas a una muestra de 15 personas de la población total de colaboradores
de la Institución Estatal. Todos los resultados obtenidos confirman el correcto desarrollo de la
solución propuesta en el análisis BIA y la identificación correcta de los procesos críticos a
tratar.

5.2.6. Plan de mejora

Debido a que el trabajo no incluye la implementación del SGCN, sino su diseño, no se incluye
mejoras de implementación. Sin embargo, dentro de las pruebas de encuesta realizadas,
mientras la institución no decida implementar el SGCN,
310

De la encuesta realizada a una muestra de personal se desprende el poco conocimiento de los


colaboradores por las protecciones, controles y planes de continuidad que soportan los
servicios. Como mejora se debe realizar una capacitación en la que se explique cuáles son tales
recursos.

5.3.- Plan de pruebas Objetivo Especifico 2

En la siguiente tabla se describe el objetivo específico 2, así como su indicador de logro y la

métrica asociada.

Tabla 68: Indicador de logro y métrica del Objetivo Especifico 2

Fuente 73: Elaboración Propia


311

5.3.1 Fase de planeación de las pruebas

Previo al Plan de Pruebas ejecutado el comité de continuidad procederá un análisis de las causas
que generan la activación de los escenarios de amenazas con nivel de riesgo “Alto”. Para la
prueba se asume la activación del escenario de amenaza descrito como declaración de riesgo.

Para obtener los análisis de riesgos se va a realizar un análisis retrospectivo para identificar si
realmente son riesgos altos críticos para la el área de archivo de la Institución Estatal. Además,
dar inicio a la validación si realmente esos riesgos altos que se han identificados son reales o
no y si es que realmente el nivel de ponderación que se ha colocado. Por lo tanto, se va validar
las amenazas y vulnerabilidades a través de una especie de auditoria interna en la cual se va ser
requerimientos en los siguientes detalles:

- Documentos de los controles que existen en la institución Estatal (Registros de revisión,


personal encargado de documento, si es confidencial, clasificado y reservado) de los
incidentes hallados en el área de archivos.

- Realizar entrevista con las personas que están relacionados con riesgos altos que se han
identificados.

El flujo a seguir para la ejecución de la prueba es el siguiente según se ha detallado en el Plan


de pruebas.

Figura 27: Flujo Escenario de amenaza en retrospectiva


312

Fuente: Elaboración Propia

Para identificar y conocer más sobre los riesgos de las amenazas y vulnerabilidades se toma en
consideración lo siguiente:
313

Tabla 69: Matriz de Plan de Pruebas para el Objetivo Especifico 2


314
315

Fuente 74: elaboración Propia

5.3.2 Fase de Preparación de las pruebas

En la siguiente fase el Coordinador de Continuidad será el encargado de convocar la reunión a


través del formato de correo electrónico a una muestra de personal involucrado y detallado en
el Plan de Pruebas del objetivo específico en cuestión. En dicho correo se deberá adjuntar el
documento de Plan de Pruebas para brindar conocimiento de las actividades que se realizaran.

5.3.3 Fase de ejecución de pruebas

En esta fase se ejecutará cada actividad detallada en el documento de Plan de Pruebas P-OE-
01.

 Actividad 1. Determinar el escenario de amenaza activado

En la siguiente tabla muestra la declaración del riesgo y el escenario de amenaza con el cual se

realizarán las pruebas en retrospectiva.


316

Tabla 70: Escenarios de amenaza con riesgo alto

Fuente 75: Elaboración Propia

 Actividad 2. Revisar documentación de controles actuales que existen en el área de


archivo en la Institución Estatal (Registro de revisión, personal encargado de
documento si es una amenaza) de los incidentes hallados en el área de archivo.

En el siguiente proyecto se verifico la documentación actual de controles y se constató que la


carencia de servicio VPN debido a la falta de compatibilidad por tener un software obsoleto
que brinda el servicio de conexión remota VPN. Esto se validó con el documento del
mantenimiento realizado al equipo. Como se ve en el informe, se realizó el mantenimiento
dentro de los plazos programados, sin embargo, se encontraron algunas observaciones con
respecto a los componentes. Estas observaciones fueron levantadas por el área de archivos de
la oficina de sistemas y la herramienta quede operativo.

 Actividad 3. Analizar con el equipo de continuidad y personal usuario las amenazas y


vulnerabilidades concernientes a dicha incidencia

Para que esta actividad se lleve a realizar se hará uso del diagrama causa-efecto a través de una
tabla. Esta tabla nos ayudara a conocer las causas que han originado la activación de amenaza
que han originado la activación del escenario de amenaza que ha ocasionado el servicio de
conexión remota.
317

Tabla 71: Lista de causas, amenazas y vulnerabilidades

Fuente 76: Elaboración Propia

 Actividad 4. Realizar comparación del resultado de las encuestas con análisis de riesgo
propuesto y se valida si se ha llegado al mismo resultado en el presente trabajo

Luego de la ejecución de actividades de la prueba se identificaron vulnerabilidades y amenazas


relacionadas a las causas señaladas en la tabla de causa-efecto. En la cual, estos fueron
corroboradas e identificadas en su totalidad en el informe de Análisis y Evaluación de riesgos

5.3.4 Fase de Evaluación

En esta fase de evaluación logramos concluir que la matriz de análisis y evaluación de riesgos
propuesto en el proyecto muestra con efectividad los escenarios de amenaza identificados en
base a el análisis de las amenazas y vulnerabilidades recopiladas durante el proceso de
investigación y levantamiento de información del presente trabajo.
318

5.3.5 Plan de mejora

A causa de que el presente trabajo no incluye la implementación de un Plan de Continuidad


Operativo, sino su diseño, no se incluye mejoras de implementación. Sin embargo, dentro de
las pruebas retrospectiva realizadas, mientras la institución no decida implementar el Plan de
Continuidad Operativo, se recomienda realizar en plazos de 02-03 meses nuevas métodos de
pruebas retrospectiva a las ya realizadas, esto debido a que puede haber algún servicio critico
en el área de archivo que en el tiempo varió su criticidad o impacto.

En el análisis en retrospectiva nos ayudó a poder revisar los controles existentes y observar
desde otra perspectiva los elementos de un análisis de riesgos. En consecuencia, como resultado
del análisis de riesgos se debe comprobar la efectividad de los controles existentes, con esto
aseguramos una mejor lectura de los niveles de riesgo de los escenarios de amenaza.

5.4 Plan de Prueba Objetivo Especifico 3

En la siguiente tabla se describen los objetivos, así como sus indicadores de logro y las métricas
asociadas.

Tabla 72: Indicador de logro y métrica del Objetivo Especifico 3

Fuente 77: Elaboración Propia


319

5.4.1 Fase de planeación de las pruebas

En esta fase el comité de continuidad realizara la simulación de la ejecución, a nivel de


estrategias de recuperación de desastres, para constatar su funcionamiento llegado el momento.
Para tal motivo, las pruebas del objetivo específico 3, en donde se evidenciará la efectividad
de las estrategias propuestas para los escenarios de amenaza, se analizará el tiempo de
restauración de los niveles de servicio seleccionadas sean menor o igual a los propuestos

Tabla 73: Matriz de un Plan de Pruebas P-OEIII-01


320
321

Fuente 78: Elaboración Propia


322

Tabla 74: Matriz de Plan de pruebas P-OE3-02


323

Fuente 79: Elaboración Propia


324

5.4.2 Fase de Preparación de las pruebas

En esta fase el Coordinador de Continuidad se encargará de convocar la reunión a través del


formato de correo electrónico a una cierta cantidad de personal involucrado y detallado en el
Plan de Pruebas del objetivo específico en cuestión. En dicho correo se deberá adjuntar el
documento de Plan de Pruebas para brindar conocimiento de las actividades que se realizaran.
Estas medidas aplican para todas las pruebas realizadas en este objetivo específico.

Para el caso del plan de pruebas con código P-OE3-01, la información confidencial solicitada
deberá ser aprobada por la gerencia general junto con la firma de la carta de confidencialidad.

5.4.3 Fase de ejecución de pruebas

Después de saber cuáles son los servicios TI de la institución, se identifican riesgos y amenazas
a los que la institución se enfrenta. Es por eso, se debe determinar estrategias de continuidad
que se usarán para poder tener un mejor control de los riesgos cuyo valor exceda el máximo
tolerable por la Institución Estatal.

En esta fase primero se ejecutarán las actividades detalladas en el documento de plan de


pruebas P-OE3-01.

 Actividad 1: Comprobar perdida de acceso a servicio VPN


El usuario conectado a un servicio de internet residencial también y al servicio VPN, pierde
conectividad con el servidor de archivos la red de la institución. Los servidores con los que se
realizaran las pruebas son los siguientes: SERVAP01 (VLAN de oficinas) y SERV02 (VLAN
del área de Archivo). Por la cual, se realiza una prueba de la desconexión de la VPN y se
verifica que se pierde la conexión con los servidores.

 Actividad 2: Permitir alternativa de solución del servicio VPN


En esta prueba se implementarán el servicio de Azure VPN a través del portal Azure que la
institución Estatal tiene disponible. La prueba contempla la instalación del Azure VPN Client
en los equipos de trabajo de los usuarios de prueba.

 Actividad 3: Desarrollar pruebas de conexión con VPN


325

En esta prueba se llevará a cabo conectando el servicio de VPN Azure Client con una cuenta
de prueba asociada al Active Directory de la institución Estatal. A partir de esta actividad se
procederá a analizar los niveles de servicio.

 Actividad 4: Obtenemos el resultado y se valida los tiempos de recuperación del


servicio VPN desde su interrupción.

Como resumen de actividades se tiene lo siguiente:

- El usuario verifica perdida de conexión a la VPN al no tener respuesta de los servidores


(8:30 a. m.).

- El usuario reporta incidencia a personal de continuidad encargado (8:31 a. m.).

- El encargado muestra que proceda con la activación del plan de continuidad VPN (8:32
a. m.).

- Se realizan pruebas de conectividad desde el equipo del usuario y desde la central a


través de monitoreo de red (8:35 a. m.). Se valida la recuperación del servicio.

- El responsable del equipo de recuperación deberá notificar al Coordinador de


continuidad las actividades realizadas (8:40 a. m.).

En segunda fase, se ejecutarán las actividades detalladas en el documento de Plan de Pruebas


P-OE3-02.

 Actividad 1: Inicio de prueba: se convoca a un grupo de personal para la sesión de


pruebas
 Actividad 2: Resumen de actividades de la prueba

- Se declara el incidente a las 10:00 a. m. en la Oficina de Sistemas.

- Se comunica al coordinador de continuidad acerca del incidente y convoca a una


reunión de comité.
326

- A las 10:30 a. m., la gerencia de Planta Lima brinda conformidad para que proceda la
activación del servidor de contingencia del plan de continuidad del servicio del area de
archivo.

- A las 11:00 p. m. el personal del comité de emergencia entra en operaciones y procede


a ejecutar los procedimientos del plan de continuidad.

- A las 11:45 p. m. se adquiere levantar el servicio en el proceso dando acceso al servidor


de contingencia.

- El coordinador de continuidad informa a la alta dirección acerca de la activación del


plan de continuidad del servicio del Sistema de la Oficina de Sistemas

- A la 12:00 p. m. el operador puede conectarse y realizar operaciones de supervisión,


registro y monitoreo del sistema.

- A la 12:30 p. m. se prepara la lista de tareas post-emergencia, detalle de los elementos


a recuperar, lista de proveedores y presupuesto para la adquisición del componente
fallado o un nuevo servidor.

- A las 1:00 p. m. se da por finalizada la prueba al no haber mayores incidentes.

 Actividad 3: Rellenar plantilla del plan de continuidad utilizado


Figure 2: Formato de pruebas de plan de continuidad

Fuente 80: Elaboración Propia


Actividad 4: Cierre de prueba
Por último, la prueba finaliza con el cierre del informe del plan de pruebas de la Tabla 69 en la
que figura como resumen lo realizado en la prueba.

5.4.4 Fase de Evaluación

En esta Fase de evaluación basándose en el caso de la prueba P-OE3-01, podemos concluir de


la siguiente tabla que los tiempos de recuperación antes considerados para este servicio era de
8 horas, sin embargo, ahora se puede proponer a la institución un objetivo de 4 a 10 minutos
en promedio para la restauración. Con las pruebas se logra demostrar que la solución es mucho
más eficaz de lo que se tuvo contemplado para este servicio de TI.

Tabla 75: Tiempos de recuperación del servicio de TI de prueba P-OE3-01

Fuente 81: Elaboración Propia

En este caso de la prueba P-OE3-02, se puede dar a relucir que los tiempos de recuperación
antes considerados para el servicio del sistema del área de archivo era de 4 horas, sin embargo,
luego de la prueba se ha concluido que en ese mismo escenario el tiempo de recuperación sería
de 2 horas. Por lo tanto, como resultado de las pruebas se logra demostrar la eficacia de la
propuesta de alternativa de solución brindada.
329

Tabla 76: Tiempos de recuperación del servicio de TI de prueba P-OE3-02

Fuente 82: Elaboración Propia

5.4.5 Plan de mejora

 Para el caso de la prueba P-OE3-01, como opción de mejora se recomienda actualizar


o migrar de forma completa a la nueva plataforma de Azure VPN para tener una mejor
disponibilidad en el servicio de conexión remota VPN. Se debe cubrir los
requerimientos de ancho de banda y licencias necesarios para una buena comunicación.

 Para el caso de la prueba P-OE3-02, como opción de mejora luego de haber realizado
la prueba se propone que el cambio de sistema de control de proceso sea de forma
automática en vez de ser manual, como se ha establecido en la alternativa de solución.
Con esto se obtiene una mayor disponibilidad y un tiempo de recuperación menor al
establecido
330

5.5 Plan de Prueba Objetivo Especifico 4

En la siguiente tabla se describen los objetivos, así como sus indicadores de logro y las métricas
asociadas.

Tabla 77:Indicador de logro y métrica del Objetivo Especifico IV

Fuente 83: Elaboración Propia

5.5.1 Fase de planeación de las pruebas

En esta fase el comité procederá a realizar el análisis de los niveles de inversión de las
alternativas de solución en base a cotizaciones obtenidas por parte de los proveedores y pruebas
de escritorio para validar la información de tiempos de implementación de las alternativas de
solución que figuran en las cotizaciones.

Se tomará como muestra las estrategias y alternativas de solución con escenarios de amenaza
con nivel de riesgo “Alto”.
331

Tabla 78: Matriz de un Plan de Pruebas P-OE4-01


332

Fuente 84: Elaboración Propia

Las alternativas de solución de mayor acercamiento a la necesidad de continuidad operativo


para el proceso del área de archivo son los más recomendados para su elección, esto de la mano
de un análisis costo-beneficio y la experiencia del personal del comité de continuidad de la
institución estatal.

La efectividad que se busca está en base a la incorporación de una alternativa de solución que
brinde continuidad dentro de los tiempos establecido para cada proceso.

5.5.2 Fase de Preparación de las pruebas

En esta fase de la preparación de las pruebas el Coordinador de Continuidad será el encargado


de convocar la reunión a través del formato de correo electrónico a un grupo personal
333

involucrado y detallado en el Plan de Pruebas del objetivo específico en cuestión. En


mencionado correo se deberá adjuntar el documento de Plan de Pruebas para brindar
conocimiento de las actividades que se realizaran.

5.5.3 Fase de ejecución de pruebas

En esta fase se realiza la ejecución de cada actividad detallada en el documento de Plan de


Pruebas P-OE4-01.

 Actividad 1: Brindar las cotizaciones de las alternativas de solución

Tabla 79: Costos y tiempos de implementación de las alternativas de solución.

De esta manera según la cotización de costo mensual por el servicio de Azure VPN es de $
1700. Obteniendo como calculo final de la solución es anual debido al presupuesto otorgado
por la Alta dirección al gasto de los servicios de TI para el área de archivo.

 Actividad 2: Análisis costo-beneficio de alternativas de solución

Tabla 80: Análisis costo beneficio de alternativa A04


334

 Actividad 3: Reunión para la revisión del cronograma y recursos necesarias en la


implementación.

En esta actividad de acuerdo a la reunión se llevó a cabo un acuerdo con el proveedor el


cual propuso las actividades dentro del cronograma de implementación detallando el
trabajo a realizar con los recursos y métodos que se necesiten para la implementación ce
esta alternativa de solución.
335

Tabla 81: Cronograma para el Diseño de continuidad de Negocio.

Fuente 85: Elaboración de Propia


336

 A 4: Análisis de los resultados de las pruebas

En esta actividad el resultado de las pruebas se describe lo siguiente:

- Se revisó el nivel de inversión y los beneficios de estos para la continuidad del servicio
de conexión remota VPN.

- Se validaron las actividades por parte del proveedor acerca del tiempo de
implementación requerido para la solución.

5.5.4 Fase de Evaluación

En esta fase de evaluación la prueba de la inversión requerida para la solución es acorde a lo


que se necesita para poder brindar continuidad del servicio de acceso remoto VPN. Además, el
tiempo de implementación de la solución está dentro de los parámetros de tiempo indicados en
la cotización. Para cumplir con el objetivo de la alternativa de solución deberá tener en costos
y tiempos de implementación un menor impacto. En este caso los resultados satisfacen lo
requerido por el indicador de logro y métricas del objetivo.

5.5.5 Mejora Continua

Se plantea como plan de mejoras realizar pruebas en alto tráfico de usuarios conectados a través
de la red e internet y confirmar si existe latencia en sus conexiones. En caso se requiera es
posible realizar el incremento del ancho de banda de la alternativa propuesta ya que la solución
contempla posibles modificaciones en su configuración con variación en el nivel de inversión.
337

5.6 Plan de Prueba Objetivo Especifico 5

El Objetivo Especifico 5 se muestra en la siguiente tabla:

Tabla 82:Indicador de logro y métrica del Objetivo Especifico V

Fuente 86: Elaboración Propia

En este objetivo específico se realizará los cálculos de tiempo en proyectos de seguridad de la


información. Poder conocer la efectividad de los proyectos que se detallan en el Plan
Estratégico de Seguridad de la Información, debemos evaluar cómo han venido evolucionando.

6.5.1 Fase de planeación de las pruebas


338

Tabla 83: Matriz de un Plan de Pruebas P-OE5-01


339

6.5.2 Fase de Preparación de las pruebas

En esta fase el Coordinador de Continuidad operativa será el encargado de requerir la reunión


en la cual se dará la intervención de los usuarios en el centro de responsables o de comando
para practicar la recuperación de un proceso o área completos siguiendo una guía. El tipo de
pruebas deben realizarse de preferencia los fines de semana por la baja carga laboral. Por lo
tanto, debe tener registrada la documentación precisa del levantamiento de las anotaciones u
observaciones, dificultades y soluciones. Esta documentación ejerce como una considerable
información ante un escenario verdadero como una interrupción o desastre. Igualmente, se
realizará la documentación en la cual colabora a efectuar un análisis preciso de las fortalezas y
debilidades del plan de continuidad operativa.
340

6.5.3 Fase de ejecución de pruebas

En esta fase se realizará una prueba total o completa para la elaboración del plan de continuidad
operativa para los procesos y servicios críticos de TI. Luego se da por concluido todo el trabajo
mediante actividades.

Para la elaboración de un plan de continuidad operativa, se requiere realizar las siguientes


actividades:

1. Análisis de riesgo
En esta parte se tomó como referencia la norma ISO 27005:2018 reducirá el riesgo de brecha
en la seguridad informática, ya que ambos proponen una metodología para una buena gestión
de riesgos.

El método que se propuso es el siguiente:

Figura 28: Propuesta para el análisis de Riesgo

Fuente 87: Elaboración Propia

1.1 Listar los servicios de TI


En esta lista se menciona los principales procesos y servicios de TI, ya sea los servicios básicos
de red y los sistemas de TI del área de archivos de la Oficina de Sistemas para poder entender
cuáles son los que generan valor a la institución estatal. Los servicios son los siguientes:
341

Tabla 84: Servicios básicos de Red

Fuente 88: Elaboración Propia


342

Aparte de los servicios básicos, existen servicios críticos que generan valor al área archivo de
la oficina de sistemas y no pueden parar de funcionar y deben de seguir con su operación. Los
servicios principales se identifican analizando el impacto al negocio.

1.2 Identificación de Amenazas


En la siguiente tabla se menciona las posibles amenazas que puede sostener la institución
estatal.
Tabla 85: Posibles Amenazas en el área de archivo de la Oficina de Sistemas
344
345
346

Fuente 89: Elaboración Propia

1.3 Vulnerabilidades y controles en general


Tabla 86: Matriz de Vulnerabilidades y controles en general
347
348
349
350
351

Fuente 90: Elaboración Propia

1.4 Escenarios de amenazas


1.3.1 Escenarios de amenazas evaluados

Figura 29: Escenarios de amenazas evaluados

Fuente 91: Elaboración Propia


Tabla 87: Vulnerabilidad y Controles actuales
353
354

Fuente 92: Elaboración Propia


Tabla 88: Escenarios de amenazas evaluados
356

Fuente 93: Elaboración Propia

Los procesos que se realizan en el área de archivo de la Oficina de Sistemas:


- Proceso de registros e identificación del personal de la institución
- Proceso de Evaluación Profesional de ascenso del personal de la Institución

Como se detalla en la tabla anterior se muestran distintos escenarios amenazas, pero sólo se
tomaron dos escenarios (RT 03, y RT 11) que son los más comunes que suceden en la institución
en un evento real.

1.5 Informe del Riesgo

Para Finalizar con un buen análisis de riesgo, se debe realizar un informe donde reducir todo lo
realizado para tener un registro documentado, el informe debe contener como mínimo los servicios
357

de TI, catálogo de amenazas, evaluación de los riesgos, estadísticas, vulnerabilidades, controles


para cada escenario de amenaza.

2.- Análisis de Impacto al negocio

En el Análisis de Impacto al Negocio (BIA), se tomó como referencia la norma ISO 22317:2015,
ya que plantea una metodología para una buena gestión de impacto al negocio y nos establece
niveles de servicios (MTPD, RTO, RPO y WRT) que serían los tiempos de recuperación
aceptables para los servicios críticos de TI. El método que se propuso es el siguiente:

Figura 30: Metodología del IBA

Fuente 94: Elaboración Propia

2.1 Establecer funciones y procesos

En esta etapa, se debe listar los procesos más relevantes del área de archivo de la oficina de
sistemas, cabe recalcar que de toda la lista que se aprecia en la siguiente tabla se identificará sólo
lo más críticos junto a sus servicios de TI.
358

Tabla 89: Nivel de criticidad

Fuente 95: Elaboración Propia

Calculo del promedio:


Tabla 90: Procesos críticos y niveles de impacto:
360
361

Fuente 96: Elaboración Propia


Tabla 91: Procesos Críticos más importante del área de archivo de la oficina de sistemas
Procesos Nivel 1 Responsable de Proceso

Abastecer Materia Prima para los procesos y servicios Jefe de Logística


críticos de TI

Producir/ Procesos de asensos y servicios críticos Gerente de Planta

Administrar actividades de procesos en los servicios de Gerente de Logístico


TI

Fuente 97: Elaboración Propia

2.2 Impactos Organizacionales (económico y operacional)

Aplicación de la Metodología:

- Tal como se aprecia en la Tabla 91 los servicios críticos con mayor prioridad de
recuperación son aquellos que soportan en el área de archivo a los procesos de producción
en los procesos de registros e identificación y Evaluación Profesional de ascenso del
personal de la Institución Estatal.

Impacto operacional:

En este impacto se toma como ejemplo:

- Si el proceso se interrumpe, ¿Cuál es el impacto en otros procesos o áreas? (3 severo)

Impacto Económico:

En este impacto se toma como ejemplo

- ¿Es posible estimar las pérdidas económicas en dinero? Si


- ¿Cuál es el tiempo máximo en el que el proceso debería ser recuperado para no causar un
impacto económico significativo? 8 Horas

A continuación, se procede a listar los procesos críticos:


363

Tabla 92: Niveles de servicios de TI y los procesos (MTPD,RTO,RTO y WRT)

Fuente 98: Elaboración Propia

MTPD= Duración del RTO + WRT

Luego del análisis BIA realizado se tiene un RTO de 6 horas como tiempo máximo tolerable para
los servicios de TI de los procesos críticos en el área de archivos.
364

Figura 31: Niveles de Criticidad

Niveles de Criticidad de procesos

12%
4%
BAJO
MEDIO
20% SEVERO
64% MODERADO

Fuente 99: Elaboración Propia


365

Tabla 93: Encuesta Solicitada en el Área de Archivo

Fuente 100: Elaboración Propia


En la tabla anterior, se definen los niveles de servicios, que vendrían a ser los tiempos de
recuperación para cada servicio crítico de TI. Estos se calcularon en base al MTPD.

2.5 Identificación de recursos y registros vitales


366

Se procede a identificar los recursos que los soporta.

Tabla 94: Matriz de Recursos y Registros Vitales :

Fuente 101: Elaboración Propia

2.6 Informe del BIA

Para concluir con un buen análisis de impacto al negocio, se debe elaborar un informe donde
resuma todo lo realizado para tener un registro documentado, el informe debe contener como
mínimo los servicios críticos de TI, los impactos organizacionales (económico y operacional), Los
niveles de servicio; es decir los tiempos de recuperación, estadísticas, recursos y registros vitales
del área de archivo de la oficina de sistemas.

3. Estrategia de recuperación y alternativa de solución

Luego de identificar los escenarios de amenazas y los impactos del negocio con sus tiempos de
recuperación, se debe de elaborar estrategias y alternativas de solución para los principales
procesos y servicios de TI para que estos no tengan interrupción en continúen funcionando. A
367

continuación, en la tabla se muestra las estrategias y alternativas su tiempo e implementación y


costos. En este caso solo se usaría las estrategias y alternativas que han usado como ejemplo.

Acciones a considerar de las Alternativas de Solución

1) RT-04: La Indisponibilidad de servicio VPN debido incompatibilidad por obsolescencia de


software sucede la paralización de los servicios red privada virtual de los procesos en el área de
archivo como en los registros, identificación y evaluación profesional del personal de la
institución de debido a la alta probabilidad de las fallas de hardware en el servidor.

Alternativa de solución: A04

a) Experiencias y conocimientos. Se debe contar con documentación de los procesos de


programación, puesta en marcha. Capacitación al personal del área de soporte de TI de la
oficina de sistemas para revisar y evaluar las conexiones.

b) Instalaciones. E l personal debe contar con la conexión a internet y otros requerimientos


para trabajos fuera de la institución.

c) Tecnología. Con el fin de garantizar la integridad de la comunicación a través de una red


externa vía VPN y así brindar continuidad al servicio de TI que este soporta se propone
adquirir lo siguiente:

 VPN. El proveedor de servicios de Microsoft Azure mantendrá la conexión vía un túnel


de comunicación. La solución brindará la disponibilidad que se requiere en caso el equipo
principal se interrumpa.

En este caso la alternativa debe contar con la capacidad suficiente al personal involucrado para la
conexión de sus usuarios externos.

a) Proveedores. Contratos de nivel de servicio con el proveedor se realizará 7*24*365 días


al año.

b) Costos y tiempos de implementación de las alternativas de solución.


368

La decisión se efectuó en base a la disposición en el cambio del equipo de respaldo en vez de


cambiar de estación de trabajo y conectarse a un equipo virtual.

2) RT-09: Acceso no disponible al Sistema de los procesos y servicios críticos en el área de


archivo de forma remota en cuestión de una pandemia u otro evento que impida que el personal
acuda de forma presencial.

Alternativa de solución: A06

a) Experiencias y conocimientos. La capacitación en el procedimiento de conexión al


servicio VPN. El área de soporte de TI de la Oficina Sistemas cuenta con personal
capacitado para elaborar la implementación, configuración y puesta en marcha de la
solución.

b) Tecnología. Para implementar la propuesta es necesario la adquisición de ciertos equipos:

 Acceso remoto a los sistemas.

- Servicio VPN: Servicio en marcha dentro de los servicios que brinda la Institución
Estatal y el área de Soporte de TI de la Oficina de Sistemas.

 Red Internet para la Institución Estatal.

Para realizar esta propuesta es necesario permitir la comunicación entre la red


administrativa y la red institucional, ya que las dos redes son independientes y no
conversan entre sí. Luego se configura el switch core con las VLAN de cada una de sus
puertas de enlace y así lograr la comunicación entre redes.

c) Procesos. Proponer un nuevo proceso en el cual como medida de continuidad se utilice una
conexión VPN para luego conectarse de forma remota a las estaciones de trabajo de áreas
de la Institución Estatal.
369

d) Costos y tiempos: La decisión se efectuó en base a la vertiginosa y menos costosa solución


en comparación con la otra solución propuesta. Debido a que la necesidad es conectarse y
monitorear de forma externa la primera solución A07 es la más recomendada.

3. RT -07: La inoperatividad del sistema de los procesos y servicios críticos de TI en el área


de archivo creado por el deterioro interno de componentes. Para esto la indisponibilidad
de equipo de administración de Sistema de los proceso y servicios críticos en el área de
archivos por ausencia de suministro eléctrico. La cual causaría la paralización del servicio
de Registros de Identificación de su Tarjeta de Identidad y los procesos de evaluación por
la alta probabilidad de la interrupción de este sistema Eléctrico.

Alternativa de solución: A08

a) Experiencias y conocimientos.

- Contar con el personal de mantenimiento delegado para ejecutar y llevar a cabo el plan
de continuidad durante las 24 horas en los 3 diferentes turnos.

- Contar con personal capacitado y procedimientos establecidos para la ejecución del


plan de continuidad Operativa de esta alternativa de solución.

b) Tecnología.

 Estación de trabajo. La solución plantea tener una estación configurada de respaldo ante
una casual falla de hardware en el equipo.

c) Datos. En cuestión de datos es necesario contar con un procedimiento de backups de la


estación de trabajo cada vez que se realice algún cambio en la configuración del sistema
370

de automatización. Esta copia de respaldo deberá realizarse a través del método de


clonación que será utilizada posteriormente en la recuperación del equipo principal.

d) Proveedores.

- Proponer las facilidades para la adquisición de las recomendaciones tanto en


hardware como en software.

e) Costos y tiempos de alternativas de solución.

La decisión se efectuó en base a la facilidad en el cambio del equipo de respaldo en vez de cambiar
de estación de trabajo y conectarse a un equipo virtual.

4) RT -09: El sistema ERP SAP Procesos no se encuentra disponible por motivo de la


perdida de información necesaria para la recuperación del sistema en caso se genere un
daño parcial o total del servidor.

Se debe realizar las siguientes acciones inmediatas si ocurre un incidente respecto a la falla
en el servidor principal que almacena los datos de todo el personal de la Institución Estatal.

- Elevar la solicitud de soporte de inmediato al proveedor del servicio.

- Se debe garantizar el óptimo funcionamiento del servidor de respaldo restaurando


la copia de información más reciente de la última replica.

- Garantizar que el servidor del servicio del registro de todo el personal de la


Institución Estatal de respaldo se incorpore al funcionamiento adecuadamente y
alertar a los responsables de los servicios críticos de soporte de TI de la Oficina de
Sistemas.

Alternativa de solución: A12


371

a) Experiencias y conocimientos. La capacitación del personal para dar a conocer y


concientizar al personal usuario acerca del plan de continuidad.

b) Tecnología. Para implementar la propuesta es necesario la adquisición de ciertos equipos:

 Servidor físico. Sera el delegado de brindar alojamiento del servidor virtual que brindará
continuidad al servicio ERP SAP en caso el equipo principal falle. Se recomienda el siguiente
producto.

- 1 Servidor Virtual en Plataforma

- 1 licencia Sistema Operativo: Windows Server 2012 o superior

 Servidor Base de Datos. La solución propone un servidor en replicación, es decir, que se


completará al servidor principal con una réplica de la información cada 1 minuto con toda
la información que este último almacena en su base de datos.

Se recomienda el siguiente producto con cotización adjunta.

c) Datos. Los datos serán importados y sincronizados desde el servidor de base de datos del
sistema ERP SAP de hechos vitales. Los datos se replicarán de un servidor principal a uno
secundario de backup.

d) Procesos. Se considera el proceso de continuidad de servicio ERP SAP de hechos vitales


desde el nivel usuario donde se ofrezca información de los procedimientos y funciones de
los participantes del proceso.

e) Proveedores. Proponer las facilidades para la adquisición de las recomendaciones dentro


de los plazos establecidos en la cotización.

f) Costos y tiempos de implementación de las alternativas de solución.


372

La alta dirección selecciono por la alternativa de solución A10 debido a que es menos compleja
y costosa, y además pronto la institución realizara la migración a la plataforma 365.

5) RT 03: Paralización de los servicios de los procesos en el área de archivo como en los
(registros, identificación y evaluación profesional del personal de la institución) debido a
la alta probabilidad debido a la perdida de acceso a sistema de del área de archivo por falla
en disco duro virtual.

Alternativa de solución: A1 y A2

a) Experiencias y conocimientos. Preparación en el procedimiento de apagado de equipos


servidores, equipos de comunicación entre del tiempo de autonomía de la solución
realizada de sistema continuo de energía eléctrica.

b) Tecnología. Con el fin de garantizar la integridad de los equipos del centro de datos y
continuidad de los servicios de TI que estos soportan se propone adquirir lo siguiente:

 UPS. Su funcionamiento es por un periodo no menor a 2 horas. La solución debe contar


con este requerimiento para poder cumplir con el procedimiento de apagado de servidores
sin poner en riesgo la integridad del equipo al apagarse de forma abrupta.

c) Grupo electrógeno. El generador deberá tener la capacidad suficiente para a área de


sistemas. Se debe realizar el cálculo de la energía que se necesita para cubrir la base de
datos de la oficina de sistemas de forma continua. Para este proyecto se realizó la consulta
al área de TI el cual indica que el consumo requerido es de 9 KVA.
d) Proveedores.
- Facilidades para la adquisición de las recomendaciones dentro de los plazos
establecidos en la cotización.
- En caso de que el tiempo estimado de reparación supere las 8 Horas, deberá realizar
reposición del equipo inmediatamente.
e) Costos y tiempos alternativas de solución.
373

Al superar el tiempo de autonomía del UPS, se activará el procedimiento de bypass a la energía


brindada por la siguiente alternativa de solución, el grupo electrógeno.
Tabla 95: Matriz de Alternativa de Solución
375
376

Fuente 102: Elaboración Propia


De acuerdo a la ejecución de pruebas del objetivo específico v respecto a las métricas
establecidas, se cumple en el Área de Archivo de la Oficina de Sistemas con realizar el plan de
continuidad operativa final junto al nivel de inversión requerida del plan que será de acuerdo a
los costos y el tiempo de implementación de cada estrategia y alternativa de solución a corto,
mediano y largo plazo que la institución estatal deba elegir conforme a su necesidad. Este logro
es debido a que el personal contó con una adecuada técnica para poder desarrollar el plan de
continuidad operativa para el proceso del área de archivo de la oficina sistemas para una
institución estatal con base en la norma ISO/ IEC 27031/2011.

6.5.4 Fase de Evaluación de los resultados

En esta fase de evaluación cabe resaltar, en el presente proyecto, se enfoca mayormente en las
mediciones de tiempo, debido a que en el objetivo específicos V se establecieron tiempos
correctos que son tolerables por el área de área de archivo de la oficina de sistemas para
permanecer con los servicios críticos de TI. Así mismo como resultado se realizó un plan de
continuidad operativa de acuerdo sólo a los escenarios establecidos, este plan se puede aplicar
para para cualquier institución estatal o privada con el fin de mantener la continuidad en sus
operaciones y mitigar las posibles interrupciones que podrían ocurrir.

6.5.5 Plan de mejora

En el área de archivo de la oficina de sistemas, debe mejorar constantemente la aplicación


acerca de las acciones preventivas y correctivas para que sean correctas a los impactos
perjudiciales establecidos por el estudio de la institución del BIA y sus riesgos.

Acciones correctivas

El área de archivo de la oficina de sistemas debe considerar las acciones correctivas ante
algún incidente o falla en los servicios críticos de TI y los demás recursos del ATCN
378

(Adecuación de TIC para la Continuidad de Negocio). la documentación para las acciones


correctivas debe describir los siguientes criterios:

a. Identificación de las fallas e incidencias en los procesos del área de archivos y de


los servicios críticos de TI.

b. Identificación de las causas de las fallas e incidencias en los procesos del área de
archivos y de los servicios críticos de TI.

c. Analizar la necesidad de aceptar las prevenciones para garantizar que las no


conformidades no sean reiterativas.

d. Establecer e implementar las acciones correctivas necesarias para el plan de


continuidad operativa.

e. Anotar todos los resultados válidos y no válidos de las acciones correctivas.

f. Repasar las acciones correctivas admitidas.

Acciones preventivas

El área de archivos de la oficina de sistemas debe reducir las posibles debilidades de los
elementos la ATCN (Adecuación de TIC para la Continuidad de Negocio) y determinar
actividades documentadas para lo siguiente:

a. Identificación de las posibles fallas e incidentes en los procesos del área de archivos
y de los servicios críticos de TI.

b. Identificación de las causas de las fallas e incidencias en los procesos del área de
archivos y de los servicios críticos de TI.

c. Establecer e implementar las acciones correctivas necesarias para el plan de


continuidad operativa.

d. Anotar todos los resultados válidos y no válidos de las acciones correctivas


379

6 CONCLUSIONES Y RECOMENDACIONES:

6.1 Conclusiones:

A continuación, se muestran las conclusiones a las que se han llegado luego del trabajo
realizado.

Luego de realizar las pruebas y validaciones se obtiene que el Diseño de un Plan de continuidad
operativo para procesos del área de archivos se pudo establecer acciones y controles para su
recuperación ante la presencia de amenazas y vulnerabilidades a través de la estrategia y
alternativa de solución capaces de mitigar los escenarios de amenazas identificados en el
proyecto dentro de los tiempos establecidos.

1. Con la elaboración del análisis de Impacto al negocio (BIA), nos permitió identificar
los procesos que son críticos para los objetivos del negocio y los impactos que
acarrearía su interrupción parcial o definitiva. Por ejemplo, se identificó que el área de
archivo de la oficina de sistemas no cuenta con una matriz actualizada de los impactos
organizacionales y de los niveles de servicio. Por lo tanto, esto hace parte importante al
plan de continuidad operativa porque podemos contar con métodos cuantificables y no
cuantificables para el impacto económico y operacional de la institución Estatal,
además al contar con los tiempos de recuperación u su priorización con una serie de
componentes establecidos actualizados, se podrá restaurar procesos y los servicios de
TI del área de archivo de la Oficina de sistemas en tiempos tolerables según el impacto
de la magnitud de la eventualidad o desastres no previstos. En conclusión, podemos
decir que el BIA reduce significativamente el impacto disponiendo más recursos a los
procesos vitales para la continuidad operativo de la institución.

2. Con el desarrollo de un análisis de riesgos, se identificó que el área de archivo no cuenta


con una matriz actualizada de escenarios de amenazas, lo que causaría la no
identificación de riesgos que a futuro pueden ser fatales para el área de archivo de la
oficina de Sistemas. En conclusión, la mejora se sostiene debido a una gestión de riesgo
definida por los lineamientos de una metodología especializada. Con se esto se obtiene
que el rendimiento en la búsqueda de escenarios de amenazas.
380

3. Las estrategias de recuperación para tratar los escenarios de amenazas identificados,


han sido propuesta de mejora y divididas a niveles de costo y tiempo de implementación
que permita implicar cubrir toda el área de archivo de la oficina de sistemas de la
Institución Estatal. De tal manera que estas deben adoptar en la Institución Estatal para
poder lograr una restauración del sistema principal garantizando la solución de los
servicios de TI que soportan los procesos críticos que se hallen disponible para el uso
en el lugar alterno de operaciones luego de haber ocurrido una falla o incidente.

4. Se logró plantear la alternativa de solución teniendo un rol muy importante para la


continuidad operativa para mantener operativos los procesos y los servicios críticos de
TI después de una interrupción informático en el área de archivo de la Oficina de
Sistemas. Por lo tanto, de acorde a lo requerido de la institución Estatal. Generalmente
se incluye los siguientes enfoques para restaurar los procesos y servicios de TI
paralizados. Tales como, restauración de las operaciones de los procesos en una
ubicación alternativa y recuperación de operación de procesos utilizando equipos
alternativos.

5. Se demuestra que el diseño de un plan de continuidad operativa para el proceso del área
de archivo de la oficina sistemas, ha creado una mejora en la efectividad de sus
actividades de continuidad al negocio. Con estos procedimientos se irá mejorando cada
vez que se implementen las acciones de mejora definidas dentro del plan de mejora
continua.

6.2 Recomendaciones

Al Culminar el trabajo de tesis se han establecido las siguientes recomendaciones:

- Se recomienda el uso de la metodología propuesta, así como los procesos y


lineamientos de las diferentes fases de este plan de continuidad operativo con la
finalidad de garantizar la disponibilidad de los servicios para los procesos de la
institución.

- Se recomienda dar capacitaciones continuo tanto al personal de continuidad como


charlas de sensibilización a las personas involucradas dentro del proceso de continuidad
381

operativo para los procesos del área de archivo de la oficina de sistemas de la


institución.

- Se recomienda escoger de forma adecuada la infraestructura de hardware y de software


para soportar la continuidad operativa para los procesos del área de archivo. Como se
conoce no siempre el producto o servicio más costoso es el más adecuado a la necesidad
de la institución.
382

7 REFERENCIAS:

028-2015-PCM., R. M. (19 de diciembre de 2020). LEY Nª 29664 LINEAMIENTO PARA LA


GESTION DE LA CONTINUIDAD OPERATIVA DE LAS ENTIDADES PUBLICAS. 31
DE JULIO DEL 2021, de Untitled - Ministerio de Economía y Finanzas - MEF.
22301, I. (23 de Julio de 2017). Gestión de Continuidad de Negocio en la práctica .
Alexander., A. (3 de Junio de 2007). Business Continuity Plan (BCP) y la Gestión de los
Ensayos. 12 de setiembre del 2021, de Noticias de Seguridad Informática Sitio web.
coronavirus., I. 2. (s.f.).
Excelencia, B. d. (24 de Diciembre de 2020). Como Obtener Seguridad y Resiliencia para la
Continuidad de Negocio mediante la Norma ISO 22301.
Integración. (6 de noviembre de 2014). ISO 22301 con ISO 27001.
ISO, 22301. (s.f.). ISO 22301 CONTINUIDAD DEL NEGOCIO.
ISO, C. b. (2012). Obtenido de https://advisera.com/27001academy/es/que-es-iso-22301/.
ISO: 22301:2012. (2012). Negocio., Sistema de Gestión de la Continuidad de. Obtenido de
https://www.pmg-ssi.com/2015/10/iso-22301-2012-sistema-gestion-continuidad-
negocio/.
ISOTools., W. (2021). El plan de continuidad de negocio en las organizaciones II .
Leon, M. (04 de Diciembre de 2017). Sistema de gestión de continuidad de negocio para el
nuevo escenario de data center bajo la óptica de la ISO 22301 usando la metodología
PDCA.
Norma ISO 22301. (9 de Julio de 2020). Elementos claves de un plan de contingencia en épocas
de crisis.
Norma ISO 22317:2015. (2015). Una Guía Práctica en la Elaboracion del BIA – Business
Impact Analysis.
Normalización, D. d. (8 de Enero de 2020 ). Seguridad de la sociedad. Sistemas de gestión de
la continuidad de negocio. Directrices para el análisis de impacto en el negocio (BIA).
01 de agosto 2021, de INACAL Sit.
Nuevo Estándar Internacional en Continuidad del Negocio, I. 2. (2012).
pandemia, C. d. (5 de Mayo de 2020). Recuperado el 21 de setiembre de 2021
Security & Resilience BCMS, I. 2. (2019). Awareness Training.
383

ANEXOS:

Anexo 1: Pre-requisitos BIA


Código ANEXO
PRE-REQUISITOS BUSINESS IMPACT Versión Versión 1.0
ANALYSIS Elaborado por Estefhany
(Sección 4 – ISO/IEC 22317:2015) Mancha Espinoza
Rol Nombre Fecha
Elaborado por Analista de Infraestructura de Redes 28-07-2021
Revisado por Administrador de TI 28-07-2021
Aprobado por Gerente General 28-07-2021
Nombre del Proyecto: Diseño de un plan continuidad operativo para el proceso del área de
archivo de la oficina sistemas para una institución estatal con base en la
norma ISO/ IEC 22301/2019

4.2 Contexto y alcance del programa

4.2.1 Contexto del Programa

4.2.2 Alcance El alcance de este análisis de impacto al negocio es para los servicios de TI
del programa relacionados al proceso o procesos más críticos de la institución.
4.3 Roles del programa
4.3.2 Roles BIA

Patrocinador de Gerente General Gerencia


proyecto General
Área a la que pertenece

Comité Gerente General Gerencia


Directivo del General
Proyecto
Líder BIA Administrador de TI Gerencia
de TI
Project Manager Analista de Infraestructura y Gerencia
Redes de TI
Propietarios de procesos Gerente de Operaciones, Alta
Gerente de Logística, Dirección
384

Gerente Financiero y Gerente


de
Gestión Humana.
Responsables de Analista de Infraestructura y Gerencia
actividad Redes de TI
Fuente: Elaboración Propia

Anexo 2: Plantilla de cuestionario para el análisis de impacto al negocio (BIA)

Cuestionario del Análisis de Impacto al Negocio (BIA) para el Área de Archivo de la


Oficina de Sistemas de la sede principal de la Institución Estatal
1. General
Nombre de la sede
oficina registral
Dirección
Responsables
2. Responsables de la Función y Proceso
Unidad Orgánica
(UO) o Área
encargada:
Nombre del
encargado del
proceso:
Cargo:
Sede:
Dirección
Nombre del Proceso
Descripción:
¿Crítico para la Justifique porqué es
continuidad operativa crítico para la
del negocio? S/N Institución Estatal
3. Impacto Económico
¿Cuál sería la magnitud de las pérdidas económicas si el proceso llegara a ser interrumpido por
algún evento?
Colocar con un aspa “X” el nivel de severidad mediante el periodo
Tipo de Impacto Perdidas Económicas
Nivel Cantidad de Perdidas Económicas Marca con una X
Menor <50.000.00 S/.
Medio >50.000.00 S/. y <1,000.000.00 S/.
Mayor > 1,000.000.00 S/.
4. Impacto Operacional
¿Cuál sería el nivel del impacto operacional si el proceso llegara a ser interrumpido por algún
evento?
Colocar con un aspa “X” el nivel de severidad mediante el periodo
Tipo de Impacto Servicio al Cliente (Cliente externo)
Tiempo de Niveles
interrupción
385

12 horas Mayor Medio Bajo


24 horas Mayor Medio Bajo
48 horas Mayor Medio Bajo
72 horas Mayor Medio Bajo
Tipo de Impacto Personal Interno (Cliente interno)
12 horas Mayor Medio Bajo
24 horas Mayor Medio Bajo
48 horas Mayor Medio Bajo
72 horas Mayor Medio Bajo
Tipo de Impacto Imagen de la Institución Estatal
12 horas Mayor Medio Bajo
24 horas Mayor Medio Bajo
48 horas Mayor Medio Bajo
72 horas Mayor Medio Bajo
5. Niveles de servicio (MTPD, RTO, RPO, WRT)
¿Cuál sería tiempo límite para recuperar las operaciones?
Indicar con un aspa “X” el nivel de categoría.
Nivel de servicio Periodo Máximo Tolerable de Interrupción (MTPD)
Tiempo Niveles
0 a 24 horas Mayor Medio Bajo
24 a 48 horas Mayor Medio Bajo
48 a 72 horas Mayor Medio Bajo
3 a 5 días Mayor Medio Bajo
¿Cuál sería la categoría de tiempo de paralización aceptable del sistema?
Indicar con un aspa “X” el nivel de categoría.
Nivel de servicio Recuperación de Tiempo Objetivo (RTO)
Tiempo Niveles
0 a 8 horas Mayor Medio Bajo
8 a 24 horas Mayor Medio Bajo
24 a 48 horas Mayor Medio Bajo
48 a 72 horas Mayor Medio Bajo
¿Cuál sería la categoría de tiempo de pérdidas de información mínima aceptable?
Indicar con un aspa “X” el nivel de categoría.
Nivel de servicio Punto de Recuperación Objetivo (RPO)
Tiempo Niveles
0 a 4 horas Mayor Medio Bajo
4 a 8 horas Mayor Medio Bajo
8 a 16 horas Mayor Medio Bajo
16 a 24 horas Mayor Medio Bajo
¿Cuál sería la categoría de tiempo para la restauración del sistema?
Indicar con un aspa “X” el nivel de categoría.
Nivel de servicio Recuperación de Tiempo de Trabajo (WRT)
Tiempo Niveles
0 a 8 horas Mayor Medio Bajo
8 a 24 horas Mayor Medio Bajo
24 a 48 horas Mayor Medio Bajo
48 a 72 horas Mayor Medio Bajo
386

Observaciones:
6. Recursos
Recursos mínimos para que pueda operar el proceso de la entidad en caso suceda algún evento.
Colaboradores
Computadoras de
escritorio.
Teléfonos celulares
Software
Terceros o
proveedores
Sitio alternativos
Trabajos Manuales
Describir si habría algún método de respaldo o alterno para poder llevar a cabo este proceso y
que cantidad de tiempo sería capaz de operar.

Fuente 103: Elaboración Propia

Firma del Cuestionario

Nombres y Apellidos:

DNI Nº:
387

Anexo 3: Cuestionarios realizados de los procesos críticos en el área de archivo de la oficina


de sistemas
388
389
390
391
392
393
394
395
396

Anexo 4: Informe de Análisis de Riesgo

INFORME DE ANALISIS DE RIESGOS DE LOS PROCESOS CODIGO:


Y SERVICIOS CRITICOS DE LA OFICINA DE SISTEMAS EVA - 02
Lugar: Institución Estatal Unidad o Área
Elaborado por Estefhany Mancha 18/07/2021 Tecnologías de la
Espinoza
Información
Revisado por Administrador de 18/07/2021 Tecnologías de la
TI la Oficina de
Información
Sistemas
Aprobado por Alta Dirección 18/07/2021 Tecnologías de la
Información
Objetivo El objetivo del Análisis de Riesgo es poder conocer los factores
de riesgo que pueden impactar a la institución para mitigarlos de
forma oportuna.
Alcance Se tendrá una lista de riesgos clasificados por su nivel de
criticidad permitiendo una mejor gestión sobre los más
prioritarios.
Responsable Administrador de soporte de la Oficina de Sistemas
1.- IDENTIFICACION DE AMENAZAS
Se determinan las amenazas que podrían afectar a los procesos y servicios críticos de la oficina
de sistemas. Se listaron todas las amenazas de la oficina de sistemas y se seleccionaron las que
serán aplicables al alcance del proyecto.

2.- AMENAZAS Y CONTROLES EXISTENTES


El siguiente grafico muestra en qué porcentaje las amenazas cuentan con controles
establecidos. La primera conclusión de este análisis es el porcentaje de amenazas sin controles
existentes están en el 38%. De estos el 14% representan a amenazas con riesgos alto y el 30%
a riesgos medios. Sin embargo, para el caso de las amenazas con controles existentes se debe
revisar los controles y las estrategias de recuperación deberán enfocarse en mitigar este riesgo
al mínimo considerable por la Institución Estatal.
397

INFORME DE ANALISIS DE RIESGOS DE LOS PROCESOS CODIGO:


Y SERVICIOS CRITICOS DE LA OFICINA DE SISTEMAS EVA - 02

3.-MATRIZ DE RIESGOS
El análisis y evaluación de riesgos muestra la concentración de amenazas. Del análisis del
grafico se puede concluir que el 19% y 31% de amenazas tiene una ponderación alta y media
según corresponda. Este será el foco de trabajo para poder proponer estrategias de
recuperación para la continuidad de los procesos y servicios críticos para la oficina de
Sistemas.

4.- LISTA DE ESCENARIOS DE AMENAZAS IDENTIFICADOS: DECLARACION


DE RIESGO
El listado de escenarios de amenazas es el resultado de este análisis de riesgos. Con este listado
se deberán contemplar diversas estrategias de recuperación en caso estos riesgos se activen.
Nº DECLARACIÓN DE SERVICIO Nª DECLARACIÓN SERVICIO
RIESGO: INVOLUCRADO DE RIESGO: INVOLUCRADO
ESCENARIO DE ESCENARIO
AMENAZA DE AMENAZA
IDENTIFICADO IDENTIFICADO

1 Paralización de los Sistema de control 7 Acceso no Servicio de


servicios en los procesos de procesos disponible al conexión remota
de registros , Sistema de VPN
identificación y procesos en el área
evaluación profesional de archivo de
398

INFORME DE ANALISIS DE RIESGOS DE LOS PROCESOS CODIGO:


Y SERVICIOS CRITICOS DE LA OFICINA DE SISTEMAS EVA - 02
del personal de la forma remota en
institución de debido a caso de una
la alta probabilidad pandemia u otro
debido a la perdida de evento que impida
acceso a sistema de del que el personal
área de archivo por falla acuda de forma
en disco duro virtual. presencial

2 Paralización de los Servicio de 8 Suspensión del Modulo


servicios VPN (red conexión remota sistema ERP SAP Planificación para
privada virtual) en los VPN por problemas de los procesos
procesos de registros , suministro
identificación y eléctrico debido a
evaluación profesional que no se cuenta
del personal de la con manteni
institución de debido a miento de UPS.
la alta probabilidad de Por lo tanto, esto
las fallas de hardware en causaría
el servidor paralización de los
servicios del
proceso de
identificación del
Personal de la
Institución Estatal
por el nivel de
Riesgo MEDIO

3 Paralización de los Servicio de 9 El sistema ERP Modulo


servicios VPN (red conexión remota SAP Proceso no se Planificación para
privada virtual) en los VPN encuentra los procesos
procesos de registros , operativo por un
identificación y error en la
evaluación profesional programación en
del personal de la el sistema
institución de debido a
la alta probabilidad
debido a que no son
compatible por ser un
software obsoleto

4 El sistema ERP SAP Modulo 10 Paralización de Modulo


Procesos no se Planificación para sistema ERP SAP Planificación para
encuentra disponible los procesos por falla en los procesos
por motivo de la perdida servidor debido a
de información la falta de
necesaria para la mantenimiento
recuperación del sistema Preventivo.
en caso se genere un
daño parcial o total del
servidor

5 Paralización de los Modulo 11 Baja probabilidad Sistema de Control


servicios de procesos en Planificación para de Paralización de de Procesos
el sistemas de registros, los procesos Sistema de Control
identificación y de Proceso por
evaluación profesional falla de hardware
anual del personal de la en servidor
399

INFORME DE ANALISIS DE RIESGOS DE LOS PROCESOS CODIGO:


Y SERVICIOS CRITICOS DE LA OFICINA DE SISTEMAS EVA - 02
institución por la alta principal debido a
probabilidad de daños la indisponibilidad
en el área de archivos equipos de
debido a un desastres contingencia
natural
6 Paralización total del Sistema de Control
Sistema de Control de de Procesos
Proceso por problemas
de suministro eléctrico
debido a problemas
generados por falta de
mantenimiento de UPS.

fuente 104: Elaboración Propia


400

Anexo 5: Evaluación de Niveles de Impacto BIA

Fuente 105: Elaboración Propia


401

Anexo 6: Encuesta de prueba de análisis BIA en la institución estatal

ENCUESTA DE PRUEBA DE ANALISIS BIA EN LA INSTITUCION ESTATAL

*Obligatorio

1. ¿Conoce usted los procesos que rigen las operaciones realizadas en el área de archivos de la
oficina de sistemas para la institución Estatal?

Si
No

2. Dentro de su experiencia ¿Cuáles de estos procesos usted consideraría críticos para la operación
en el área de archivos de la oficina de sistemas para la institución Estatal? (Elija 3 opciones)

Desarrollo la estrategia de negocio


Realizar la gestión de ingresos
Abastecer Materia Prima para los procesos en el área de Archivos
Manejar operaciones de Tesorería
Gestionar relaciones con los empleados
Desarrollar estrategia de producción de los procesos en el área de archivo
Definir el concepto de negocio y la visión a largo plazo
Procesar pagos y adelantos y reembolsar gastos
Gestionar y mantener los activos productivos
Ejecutar y medir las iniciativas estratégicas
Gestionar las proyecciones de la información financiera
Gestionar el negocio de la tecnología de información
Planificar y alinear el abastecimiento, la producción y los despachos
Disponer de los activos productivos y no productivos de la institución
Gestionar las compensaciones y beneficios
Diseñar e instalar activos productivos
Seleccionar y administrar la información del Personal de la Institución
Comunicar internamente al personal de la institución
Generar y definir nuevos productos y mejoras
Planear y adquirir activos no productivos en el área de archivos
402

Aprovisionar suministros, repuestos, equipos y servicios


Planificar estratégicamente el diseño institucional
Administrar actividades de los procesos y almacenamiento

3. ¿Sabe usted que áreas deben establecer procesos de apoyo a su gestión?


Gerencia General
Comercial
Logística
Operaciones
Finanzas
Tecnologías de la Información

4. ¿Conoce usted cuales son los servicios de TI con los que cuenta el área de archivo de la Oficina
de Sistemas?
Si
No

5. ¿Conoce usted los servicios de TI en el área de archivo que apoyan directamente a su área de
gestión?
Si
No

6. ¿Cuáles de estos servicios de TI aplican a su área de gestión?


Servicios básicos de Red
Sistema de control de proceso
Servicio de conexión remota VPN
Modulo Planificación para los procesos
Servicio de comunicación de datos RPV
Software Ofimática: MS Excel
Sistema de asistencia y planillas
Servicio de comunicaciones red en el área de archivo
Servicio de comunicación de datos RPV
Software Ofimática: Ms Excel
Plataforma Ofimática
403

7. ¿Cuáles de estos servicios de TI aplican a los procesos críticos?


Servicios básicos de Red
Sistema de control de proceso
Servicio de conexión remota VPN
Modulo Planificación para los procesos
Servicio de comunicación de datos RPV
Software Ofimática: MS Excel
Servicio de comunicaciones red en el área de archivo
Servicio de comunicación de datos RPV
Software Ofimática: Ms Excel
Plataforma Ofimática

8. ¿Conoce usted las áreas que deben brindar estos servicios de TI?
Si
No

9. ¿Conoce usted que recursos aplican a los servicios de TI?


Si
No

10. ¿Conoce usted como se protegen estos recursos ante algún escenario de desastre?
Si
No

11. ¿Sabe usted como continuar su trabajo si no cuenta con el servicio de TI para su proceso?
Si
No

12. ¿Sabe usted cuanto es el tiempo máximo que puede detenerse su proceso en caso exista algún
escenario de desastre?
Si
No
404

13.Ingrese el tiempo que usted crea conveniente según su experiencia para retomar actividades
luego de la ocurrencia de una emergencia

DEBE SER UN NUMERO

También podría gustarte