Business Continuity Planning (BCP)

Aspectos Clave
DRP – Disaster Recovery Plan
• El BCP y sus elementos Clave
• Gente – Procesos de Negocio
• TIC´s
• Planes de Acción

16/11/2018 BCP-DRP 2
Business Continuity Planning (BCP)
• Continuidad del Negocio es un concepto
que abarca tanto el Planeamiento para
Recuperación de Desastres (DRP) como el
Planeamiento para el Restablecimiento del
Negocio. Recuperación de Desastres es la
capacidad para responder a una
interrupción de los servicios mediante la
implementación de un plan para restablecer
las funciones críticas de la organización (es
decir la parte operativa del negocio).

16/11/2018 BCP-DRP 3
Efecto de No Contar con BCP-DRP
• Se cree que algunas empresas gastan hasta
el 25 % de su presupuesto en proyectos de
recuperación de desastre, sin embargo,
esto lo hacen para evitar pérdidas más
grandes.
• De las empresas que tenían una pérdida
principal de registros automatizados el 43 %
nunca vuelve a abrir, el 51 % cierra en
menos de dos años, y sólo el 6 % sobrevivirá
el largo plazo.

16/11/2018 BCP-DRP 4
Razones para recurrir a un DRP
• Existen diferentes riesgos que pueden
impactar negativamente las operaciones
normales de una organización. Una
evaluación de riesgo debería ser realizada
para ver que constituye el desastre y a que
riesgos es susceptible una empresa
específica, incluyendo:
16/11/2018
• Catástrofes.
• Fuego.
• Fallos en el suministro eléctrico.
• Ataques terroristas.
• Interrupciones organizadas o deliberadas.
• Sistema y/o fallos del equipo.
• Error humano.
• Virus, amenazas y ataques informáticos.
• Regulaciones legales.
• Huelgas de empleados.
• Conmoción social o disturbios.
BCP-DRP 5
Que es un DRP
• Se le llama así a un proceso de recuperación de los servicios clave que soportan a los procesos
de negocio críticos que necesitan brindar atención a los clientes del negocio. La recuperación de
dichos servicios incluye datos, hardware y software críticos para la operación de una empresa.
• Esta estrategia es planteada para que en caso de una emergencia, desastre natural, falla mayor
de tecnología o ataques cibernéticos, la organización pueda continuar con los procesos clave sin
afectar los compromisos adquiridos con sus clientes.
• El Plan de Recuperación de Desastres (o DRP por sus siglas en inglés) suele relacionarse con
empresas de gran tamaño pero en realidad ninguna está exenta de estos sucesos y éste podría
significar la diferencia entre la recuperación de la empresa o la quiebra.
• Además los DRP´s también pueden ayudar ante la salida de una persona clave dentro de la
organización o la pérdida repentina de información.

16/11/2018 BCP-DRP 6
Ciclo de un DRP

16/11/2018 BCP-DRP 7
 • La premisa del BCP-DRP soportar los
Procesos Críticos del Negocio.

16/11/2018 BCP-DRP 8
Como definir el
Alcance de un DRP

• La definición del alcance de un DRP la realiza el

negocio en base a al BCP y los procesos críticos
que necesita que estén disponibles para brindar
servicio a sus clientes.
• El BIA es una herramienta para identificar para
estimar la afectación que podría padecer una
organización como resultado de la ocurrencia de
algún incidente o un desastre.
• El alcance puede ser Gradual.
• El sitio Alterno puede ser Pasivo y con ello se
puede alcanzar un nivel adecuado de servicios a
los clientes.
16-Nov-18 BCP-DRP 9
 End To End – Procesos de Negocio / Clave o Criticos

Política de Negocio
Directrices Generales

Reglas de Negocio
Criterios Empoderamiento y Toma Decisión Dueño Procesos (Impares / Cumple 3 de 5) Ejemplo
Directrices Especificas

Inicio Fin
Dueño Dueño
Cadena Procesos End To End Dueño Dueño Dueño
Proceso Proceso Proceso Proceso Proceso

Procesos Negocio (1) Procesos Negocio (2) Procesos Negocio (3) Procesos Negocio (4) Procesos Negocio (N)
(Que Resultados o (Que Resultados o (Que Resultados o (Que Resultados o (Que Resultados o
Transformación se realiza) Transformación se realiza) Transformación se realiza) Transformación se realiza) Transformación se realiza)
El cliente es el Centro del Mismo El cliente es el Centro del Mismo El cliente es el Centro del Mismo El cliente es el Centro del Mismo El cliente es el Centro del Mismo

Procesos Críticos Procesos Básico Procesos Críticos Procesos Críticos Procesos Clave

Procedimiento SN (Como

Procedimiento TN (Como
Realizan Pasos Proceso)
Procedimiento D4 (Como
Procedimiento C2 (Como

Procedimiento H3 (Como
Procedimiento Y1 (Como

Procedimiento K3 (Como
Procedimiento X1 (Como

Procedimiento A2 (Como

Procedimiento B2 (Como

Procedimiento E4 (Como
Procedimiento Z1 (Como

Procedimiento F4 (Como
Procedimiento J3 (Como
se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan
se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan

se Soporta o Realizan
Actividades Proceso)

Actividades Proceso)

Actividades Proceso)

Actividades Proceso)

(Como se Soporta o
Procedimiento RN
Tareas Proceso)
Pasos Proceso)

Pasos Proceso)

Pasos Proceso)

Pasos Proceso)

Pasos Proceso)

Pasos Proceso)

Pasos Proceso)

Pasos Proceso)

Pasos Proceso)
Manual Manual Manual Manual Manual Manual Manual Manual Manual Manual Manual Manual Manual Manual Manual
X1.a Y1.a Z1.a A2.a B2.a C2.a H3.a J3.a K3.a D4.a E4.a F4.a RN.a SN.a TN.a

Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo Instructivo
X1.a.1 Y1.a.1 Z1.a.1 X1.a.1 Y1.a.1 Z1.a.1 H3.a.1 J3.a.1 K3.a.1 D4.a.1 E4.a.1 F4.a.1 RN.a.1 SN.a.1 TN.a.1

16/11/2018 BCP-DRP 10
• Gente
• Procesos de Negocio.
• TIC´s.
= Arquitectura Empresarial

16/11/2018 BCP-DRP 11
 Relación entre el
DRP y el BCP
• El Business Continuity Plan – Plan de continuidad de
negocio busca mantener una buena reputación
ante una situación de desastre o disrupción de la
operación del negocio.
• Ejemplo: ¿Cuál sería el impacto para una
organización financiera si la aplicación de banca
electrónica o los cajeros “se cayeran” un día de
“quincena”?
• Plan de continuidad del negocio (BCP - Business
Continuity Plan) están diseñados ante un eventual
desastre y garantizar que los procesos críticos del
negocio estén disponibles, para ello se involucra a
toda la organización en preparar se para tal evento.

16-Nov-18 BCP-DRP 12
 1
3

Rol del Negocio en el

DRP
• Existen una serie de criterios para priorizar los procesos
que deben ser soportados en el DRP.
• Identificar los procesos críticos, así como los actores
responsables en dichos proceso (Dueños de Proceso), los
mecanismos para recuperar parcialmente la operación y
la estrategia de DRP de TI para que los servicios
necesarios este disponibles, así como la estrategia de
DRP de las operaciones criticas del negocio.
• Es por ello que el alcance de un DRP es definido por un
equipo multidisciplinario.
• Los procesos identificados como los mas críticos y claves
serán los que los servicios de TI deben de soporta.
Adicionalmente deberán de preparar los procedimientos
para que sea factible un DRP.

16-Nov-18 BCP-DRP
Tipos de Estrategia DRP TIC´s
DRP Acotado / FACTIBLE CORTO PLAZO Alta Disponibilidad – ALTAS INVERSIONES A LARGO PLAZO

Sitio Primario Sitio Alterno

Operación 100% Operación X %

Procesos Negocio Operación 100% Operación 100%
Procesos Negocio Críticos
Procesos Negocio Procesos Negocio

16/11/2018 BCP-DRP 14
 • Líneas de Acción
para un BCP-DRP

16/11/2018 BCP-DRP 15
Tipos de Estrategias DRP - Negocio
Procesos Negocio Automatizados
• Las compañías utilizan las TIC´s como
soporte automatizado de sus procesos
sistematizados de forma cotidiana.
• Las transacciones de Negocio de tipo
administrativo y operativo, soporte,
servicios, logísticos, seguridad, etc., son
soportadas por la automatización de
TIC´s.
• El BCP es el plan que permitirá definir
como se prepararan para evitar y afrontar
situaciones de crisis.
16/11/2018
Prevenir versus Remediar
• Al momento de planificar como hacer
frente a una interrupción indeseada de las
operaciones de una organización, surgen
claramente dos acciones:
• Prevenir la ocurrencia de esta.
• En caso de que ésta ocurra, contar con
una respuesta inmediata que permita
restablece la operatividad a un nivel
adecuado (soportar los procesos críticos y
clave), lo antes posible.
BCP-DRP 16
Tipos de Estrategias DRP - Negocio

Prevenir versus Remediar Gente + Proceso + TIC´s.

• Ambos aspectos son complementarios y
necesarios al trabajar en la planificación de la
PREVENCION de una continuidad de las
operaciones criticas y clave, de forma eficiente.
• La idea de definir un plan preventivo FOCALIZADO
en mitigar aquellos riesgos y circunstancias en las
que se debe activar dicho plan de continuidad de
las operaciones del negocio. Tomando en
consideración que posiblemente no se cuenta con
TIC´s durante un tiempo específico. La ausencia
de Automatización se contrarresta con la
sistematización natural de los procesos de
negocio.
• El tener las líneas de Acción claramente definidas
en un plan de continuidad del negocio (BCP)
permite minimizar las perdidas y el impacto en la
reputación de la organización.

16/11/2018 BCP-DRP 17
Elementos Clave del BCP-DRP
Pensar en el desastre
• Es la primera etapa en la concepción de
un Plan de recuperación ante desastres
(DRP). Aquí es necesario imaginar lo
inimaginable, como un incendio por
ejemplo, para poder imaginar un escenario
de recuperación. A veces se piensa que
eso nunca sucederá, y sin embargo es en
ese momento que se necesita un plan de
recuperación ante desastres...
• Gente Clave
• Procesos Críticos y Clave
• TIC´s Servicios Clave de procesos Críticos
16/11/2018
La gestión humana del riesgo
• Un punto esencial en la implementación
de un DRP tiene que ver con la gestión
humana del riesgo. ¿Quién hace qué en
caso de problemas? ¿Cuál es la
responsabilidad de cada uno? A menudo
no será el Gerente General ni el Director
de sistemas de información que
intervendrán en caso de urgencia para
controlar la crisis. Las personas deberán
ser seleccionadas con anticipación en la
empresa. Esto permitirá ganar tiempo en
caso de problemas.
BCP-DRP 18
Enfoque Ágil para el desarrollo del BCP

Definir Alcance Diseño y Construcción y

Analizar Proceso
BCP (Fases y Planificación del Ejecución del
Críticos y Clave.
Olas). BCP – DRP BCP-DRP

Analizar Despliegue y
Estrategia de Simulación de
Resultados Pruebas Unitarias
Despliegue DRP- DRP – Lecciones
Pruebas y e Integrales del
BCP Aprendidas
Simulaciones BCP + DRP.

Pruebas y
Documentar BCP- Entrenamiento
Simulaciones por
DRP BCP-DRP
Oficina BCP-DRP

16/11/2018 BCP-DRP 19
 Oficina BCP-
DRP

16/11/2018 BCP-DRP 20
Lecciones Aprendidas
• El termino lecciones aprendidas puede
definirse como el conocimiento adquirido
sobre un proceso o sobre una o varias
experiencias, a través de la reflexión y el
análisis crítico sobre los factores que
pueden haber afectado positiva o
negativamente.
• Es importante identificar de forma
cualitativa los positivo y negativo de lo
que ocurrió en el desarrollo de la prueba #
1 unitaria (de ciertos sistemas de
información) del DRP (Sin desconectar (o
apagar por completo (Comprobable por
un tercero)) el Sitio Primario), realizadas
el 09-09-2018.
Lecciones Aprendidas
• Fijar una puntuación cuantitativa se hubiera
podido realizar en el caso de entregarse
previamente a la prueba la lista de
información solicitada, así como el alcance
de la prueba, los resultados esperados, los
productos de trabajo o entregables de la
misma, la calidad para dichos productos de
trabajo, por ello en esta ocasión no se
puede establecer una puntuación al
respecto de forma objetiva.

• Utilizar el término Prueba Unitaria es porque

la prueba fue enfocada a una gran cantidad
de elementos tecnológicos que se tienen en
el sitio primario, por lo que los aspectos de
respuesta del BCP-DRP del negocio no
fueron evaluados, por ello la definición de
prueba unitaria.
¿Por qué documentar lecciones aprendidas?
• La documentación de lecciones
aprendidas contribuye a explicitar un
nuevo conocimiento, su diseminación,
aplicación y re-uso. Consiste en el
desarrollo de los elementos claves y la
reconstrucción de la lógica que llevó a la
consecución de los resultados y las
relaciones causales que los
condicionaron, capturadas durante la fase
de identificación de la prueba unitaria del
DRP de los componentes tecnológicos
que se probaron.
 ¿Cómo elaborar una Nota de Conocimiento?
Tema Clave Identificar Descripción Breve de los Beneficios de la Identificación de Temas Clave en las Lecciones Aprendidas

Establecer Categorías para

agrupación de las Definir un set de categorías que permitan agrupar las incidencias, estas categorías pueden tener relaciona a procesos clave (End To End) del negocio o
incidencias. temas Puntuales.

Identificar posibles Causas

El día de la prueba unitaria #1 se registraron una serie de incidencias en determinados momentos, desde el inicio de esta a las 2 AM, hasta la
en las incidencias, en la
finalización a las 11:15 PM del 09-09-2018 / de diferentes aspectos, como de procesos de negocio, como de aspectos tecnológico. Por ello identificar un
mayoría de las incidencias
set de categorías permite que el equipo trabaje en evaluar causas y efectos, así como las soluciones a los mismos para posteriores pruebas. Importante
únicamente tendrán los
colocar un ID único de incidente para esta prueba unitaria que nos permita dar trazabilidad a la resolución posterior y oportuna.
efectos.
Determinar el número
general de incidencias
Solicitar el registro formal en la mesa de ayuda, así como el registro informal realizado por los equipos participantes en la prueba (Auditoria Interna,
presentadas el 09-09-2018
Riesgos, TIC´s)
reportadas en mesa de
ayuda
Consultar con Operaciones
de Agencias las incidencias En el caso de Operación en Agencias es conveniente identificar lo que el negocio identifico que se puede mejorar a nivel de procesos operativos, así
de Negocio que se como acciones de mejora en relación al BCP-DRP desde la óptica del negocio.
presentaron el día.
SIEM - Determinar el número
de eventos registrados en los En el caso de Riesgos, identificar posibles registros en el SIEM (System Information Event Manager) asociados a los sistemas de información críticos
sistemas de información. que estuvieron operando en el centro de datos alterno.
En una Sesión de Conocimiento se puede documentar más
de una lección aprendida.
• Para cada una de ellas se debe incluir un
enunciado claro y estructurado, las
evidencias que justifican la posible relación
causal entre los factores que contribuyeron
al resultado, y las recomendaciones que
permitirían resolver los problemas
identificados, mitigar otros riesgos, y repetir
o reforzar éxitos.
Ciclo Vida BCP-DRP – Evolución y Mejoras

16-Nov-18 BCP-DRP 26
 ¿Preguntas?

Gracias por su
atención.

16/11/2018 BCP-DRP 27