FACULTAD DE INGENIERIA

Plan de Continuidad del negocio

Dr. Erbert Osco M.

 Contenido
• Antecedentes
• Plan de continuidad del negocio
• Marco metodológico ISO 27001, ISO 22301
BCP
• Análisis de impacto al negocio
• Estrategias de recuperación
• Plan de recuperación de desastres.
• Pruebas y actualización del Plan
• Conclusiones
 Antecedentes
• A pesar de los efectos negativos en las organizaciones,
muchas empresas aun no toman medidas para contar
con planes que les permitan lograr la continuidad del
negocio.

• 72% de todos los negocios tienen alguna de estas

condiciones:
– No tienen Plan de continuidad el negocio.
– Si lo tienen, nunca lo han probado.
– Su Plan falló cuando lo probaron.

• Solamente 18% de los datos de usuario final están

protegidos.

3
 …Antecedentes
• Entre las causas más frecuentes de caídas de
sistemas se tienen:

•Pueden variar, zonas sísmicas, zonas conflictivas, lo importante es tomar una actitud
proactiva. 4
El proceso de planeacion de la continuidad
debe incluir al menos los siguiente:

Analisis de impacto del negocio

Estrategias de recuperacion de las
operaciones
Desarrollo de un Plan detallado
Implementacion del Plan
Pruebas y actualizacion del Plan
5
43% de las compañías de los USA, nunca reabren después de
un desastre y 29% mas cierran a los 3 años.

93% de las compañías que sufren una perdida significativa de

datos salen del negocio a los 5 años

20% de negocios pequeños a medianos sufren un desastre

mayor cada 5 años.

78% de organizaciones que carecían de planes de contingencia

y sufrieron perdidas catastróficas estaban fuera a los 2 años…
la mayoría tenían seguros y varias habían cubierto la
interrupción del negocio.

6
 Desastres en el mundo
Incendio Banco Credit Lyonnais –Edificio Principal – Paris
Terrorismo WTC, NY -USA Francia
32 quemados

7
 Desastres en el mundo
Terremoto y Tsunami Sudeste
Terremoto México Asiatico

8
 Desastres en el mundo
Apagón a gran escala Nordeste
USA, Canadá Epidemia SARS China

9
Tsunami Japón

10
 Desastres
• Terremoto ICA

• Terremoto en Chile:

11
 CASO DE ESTUDIO
Lo que funciono y no funciono durante el 11 de
setiembre en el atentado a las torres gemelas WTC

12
 Lecciones 11 set: LO QUE FUNCIONO
• Pronta comunicación del desastre
• Había personal entrenado para recuperar y continuar
las operaciones del negocio.
• Planes efectivos para la adm de crisis, respuesta de
emergencia y centros de comando predeterminados.
• Seguimiento de planes documentados y probados.
• Priorización de las funciones de negocio y de TI A
recuperar.
• Almacenamiento externo de documentos críticos
• Backups de data completos y actualizados.

13
 Lecciones 11 set: Lo que NO FUNCIONO
• Insuficiente rapidez en la reubicación de empleados.
• Demora en la respuesta de los equipos humanos, de
información y tecnología
• Falta de disponibilidad de gerentes claves responsables
de administración de la crisis.
• Negligencia en los procedimientos de evacuación, falta
de procedimientos de comunicación y falta actualizar la
información de contactos.
• Dependencia de un solo proveedor
• Backup de información de las empresas de las torre 1 en
la torre 2 y en algunos casos en la misma torre pero en
diferentes pisos.
• Colapso de las redes de voz y datos.
14
 ¿Qué perdemos si no estamos
preparados?
Reputación Edificios
Clientes
Dinero
Información VIDAS
Trabajo
Imagen NEGOCIO
Objetivos y Metas
Proyectos
15
 Continuidad del negocio - BCP
• Es un proceso mas que un proyecto.

• La meta ultima del proceso es poder responder

mejor a incidentes que puedan impactar en la
gente, las operaciones y la capacidad de entregar
bb y ss al mercado

• BCP es principalmente responsabilidad de la alta

Gerencia, ya que ella es encargada de
salvaguardar tanto los activos como la viabilidad
de la organizacion.
16
 Plan de continuidad del negocio
Planificación Estrategia

• Es una estrategia planificada y constituida por

un conjunto de recursos de respaldo, una
organización de emergencia y procedimientos
de actuación, con el objetivo de recuperar
progresiva y rápida los servicios de negocios
afectados por una paralización total o parcial
de la capacidad operativa de la empresa
producto de una crisis o desastre.
Minimizar el
Rapidez Continuidad impacto
17
Modelo Certificable y auditable 18
 ¿Cuál es el objetivo de tener un BCP?

A pesar de la interrupción se mantenga la continuidad de atención a clientes, la continuidad financiera y se

minimice el tiempo de recuperación para no afectar la viabilidad del negocio.

El objetivo del Plan de Continuidad de Negocio (BCP), disminuir el impacto y el caos ante cualquier incidente
y que la empresa esté preparada para poder responder y accionar oportunamente ante estos eventos.

La continuidad del negocio es un tema que cada día preocupa más a los directivos, pues se compromete el
crecimiento, estabilidad y permanencia de la empresa en el mercado. Por este motivo es necesario proteger
los principales procesos de negocio críticos de la organización a través de planes previamente elaborados y
desarrollados para que reduzcan el impacto y riesgo del negocio.
El estándar ISO 22301 Sistemas de continuidad del negocio-requisitos, se aplica PDCA.
Modelo creado en consistencia con otros estándares como ISO 9001, 27001, ISO 14001
21
BIA

22
 23
GAPS: Brechas
 Plan de continuidad del negocio
Teniendo un origen global en el año 2007, bajo la Norma BS 25999, la cual se constituyó en el primer
estándar certificable que definía unos requisitos y buenas practicas a seguir por cualquier Organización, sin
importar su tamaño. A partir de allí y de una serie de revisiones, nació el estándar ISO 22301: 20

Cómo una Organización debe recuperar y restaurar sus funciones críticas de manera parcial o total, las cuales se
hayan visto interrumpidas de manera súbita o no deseada dentro de un tiempo específico.
 Se deben clasificar los procesos del negocio con base en su actividad y que es
más importante de atender y partir de allí, tener aspectos claros como:

Una estrategia para la recuperación, consiste en interrelacionar medidas

detectadas y correctivas que permitan eliminar la amenaza, minimizar la
posibilidad de ocurrencia y minimizar su efecto.
 10 pasos para desarrollar tu plan de Continuidad de
Negocios
1.Determinar el propósito y alcance de tu PCN y seleccionar un líder de
equipo responsable de llevarlo a acabo.
2.Determinar las actividades prioritarias de tu empresa y los tiempos de
recuperación ideales.
3.Determinar que necesitas para la continuidad de tu negocio.
4.Evaluación de riesgos, conozca sus escenarios de riesgo.
5.No olvidar protección previa al desastre y métodos de mitigación
6.Respuesta de emergencia ante el desastre.
7.Estrategias para la continuidad de negocios temprana.
8.Estar preparado financieramente.
9.La práctica hace que el plan sea funcional
10.Revisión continua y mejoramiento del plan.
 METODOLOGIA PCN

0. Iniciación y Administración del Proyecto

1. Establecer la necesidad de la continuidad del
negocio
2. Comunicar la necesidad de un BCP
3. Comprometer la Alta Gerencia en los
procesos de BCP
1 4. Establecer el Comité de Proyecto
5. Identificar y ejecutar los requerimientos
presupuestales
6. Identificar los equipos de planificación y sus
responsabilidades
7. Desarrollar y coordinar las actividades de
implementación del BCP
8. Dar respuesta a los requerimientos de la
Gerencia y de documentación de los procesos
de BCP
9. Reportar y obtener aprobación del avance del
proyecto
 METODOLOGIA PCN

1. Análisis de riesgos

1.1. Identificar los ambientes operativos que se pueden

ver afectados en caso de un siniestro.
1.2. Identificar los principales escenarios de falla y los
recursos e infraestructura critica.
1 1.3. Identificar oportunidades de mejora o exposiciones
críticas a riesgos de falla
1.4. Identificar las políticas y mejores prácticas de
seguridad existentes
1.5. Revisión de instalaciones físicas, centros de
cómputo e infraestructura tecnológica en general.

1. 2. Análisis de impacto del negocio (BIA)

2.1. Verificación del inventario de procesos

2.2. Identificación de impactos
2.3. Definición de tiempos y secuencia de recuperación
2.4. Identificación de Interdependencias entre procesos
2.5. Identificación de los procesos críticos del negocio.
 METODOLOGIA PCN

3. Selección de la estrategia de continuidad

3.1.Definir requerimientos mínimos para cada recurso.
3.2.Identificar configuraciones alternativas de recursos
3.3.Determinar las redundancias de equipos y de comunicaciones
3.4.Analizar las diferentes posibilidades en procesamiento y en
comunicaciones
3.5.Determinar las opciones estratégicas de procesamiento
1 internas externas y acuerdos mutuos de servicio disponibles.
3.6.Establecer las principales ventajas y desventajas de cada una
de las opciones.
4.Ejecución y Desarrollo del Plan
4.1.Definir los planes de continuidad y restauración
4.2.Elaborar el manual del plan
4.3.Definir las condiciones que se deben cumplir para que el plan
tenga éxito.
5.Evaluación y Mantenimiento
5.1.Desarrollar las tareas necesarias para garantizar la
operatividad del plan
5.2.Lograr una efectiva concientización sobre la importancia del
plan
5.3.Socializar el plan en el comité de continuidad y en toda la
organización
5.4. Designar un responsable del plan para su actualización y
mantenimiento
 ENTREGABLES
1. Política de Continuidad de Negocio:

Esta relacionado con el espacio que tiene dentro de una empresa el

desarrollo de un plan de continuidad de negocio. En esta cuestión
también se encuentra involucrado el hecho de plantear un
mantenimiento constante para que nunca se llegue al momento de una
contingencia sin lo que se necesita para hacerle frente.

2. Análisis de Impacto al Negocio (BIA):

Con este segmento de análisis se busca tomar conciencia del perjuicio

que se puede tener dentro de una empresa cuando un sector, algún
procedimiento o algún área no funciona. De esta manera se podrá más
fácilmente jerarquizar sobre qué se necesita salvaguardar en un Plan
de Continuidad de Negocios.

3. Análisis de riesgos (RA):

Este entregable está vinculado con la anticipación para ver qué es lo

que podría suceder pero también para poder proyectar de manera
efectiva soluciones.
 ENTREGABLES
4. Estrategias de continuidad de negocio.

Consiste en elaborar estrategias en las que se planifiquen acciones, se tome nota de los recursos
que se necesitan y de otros factores que se deben tener en cuenta para iniciar un plan de
contingencia que se pondría en marcha en caso de que ocurriera una calamidad. Tendrá que ver
con una secuencia de qué hacer en cada caso, quiénes y qué insumos están involucrados en cada
etapa del recupero.

5. Estructura de respuesta y finalización de incidentes:

Cuestiones vinculadas al modo en que se transmite un desastre, cómo se comunica, en qué orden
son las que tienen que ser resueltas en esta etapa. Se trata de todo lo que tiene que ver con la
comunicación con el personal y el modo en que se hará efectivo el contacto en caso de una
contingencia. Para resolver esta tarea será muy útil la elaboración de un organigrama o una
cadena telefónica que muestre de manera jerarquizada cómo se irá divulgando la comunicación.

6. Plan de Pruebas y Mantenimiento:

Todo el proceso que se ha elaborado a lo largo de los puntos anteriores tiene que ser efectivo y
tiene que tener en cuenta todas las variables de manera simultánea. Para saber que el recupero
ante una contingencia podrá realizarse de manera efectiva lo mejor será hacer las pruebas
necesarias poniendo en marcha a modo de simulacro el Plan de Continuidad de Negocio, corregir
los fallos que se vayan presentando y hacer un mantenimiento periódico para saber que todo
continúa funcionando de la misma manera en que fue diagramado.
Como se activa el plan de continuidad

TIME

33
PRD: Plan de recuperación de desastres 34
PCO: Plan de continuidad de operativa
Fases del plan de continuidad del negocio

35
Fuente:isaca
 Metodología para el desarrollo del PCN

Planificación: PMBOK (Coordina, plantillas, herramientas, definir escenarios, plan de w

Análisis de impacto: análisis de riesgos, validar procesos, funciones, recursos, medidas
implantadas.
Selección de estrategia: Evaluación de estrategias, ubicación física de recuperación, c/b
Elaboración del PCN: responsabilidades, procedimientos, recup infraestructura,
aplicaciones, construir borrador de PCN
Prueba y mantto. Determinar uso del plan, pasos , responsables de recuperación,
acuerdos previos antes del desastre, inventarios, contactos, mapas, manuales, etc
36
 Análisis del impacto

• xx

37
Clasificación de Procesos

38
Ejemplo de procesos críticos

39
40
Probabilidad y consecuencia de amenazas

41
42
 El reto de la recuperación

Se puede concluir que, el análisis de Impacto (BIA), es una etapa

imprescindible para alinear el Plan de recuperación de desastres,
(DRP), con los objetivos de la organización.
43
Costos de estrategias de corrección y
prevención

44
45
 Estrategias de recuperación

La selección de la estrategia depende de:

• Criticidad del proceso a proteger

• El costo de la estrategia
• El tiempo de recuperación objetivo
• El punto de recuperación objetivo

46
 Estrategias de recuperación

• HOT SITE. Listo para operar en pocas horas, se tiene el equipo, red y sistemas
necesarios. Solo falta el staff, datos y documentacion.

• WARM SITE. Puede operar en menos de un dia.

Esta parcialmente configurado, con conexiones de red y equipo periferico seleccionado.
Con capacidad de CPU menor a la de produccion normal. 47
… Estrategias de recuperación
• Cold Site.
Puede tardar varios días en operar
Tiene solo la infraestructura básica: suministro eléctrico, aire
acondicionado, etc.
Esta listo para recibir equipo de computo y comunicaciones.
• Acuerdos recíprocos
Son acuerdos de respaldo entre dos o mas organizaciones,
para apoyarse cuando sucede una emergencia.

48
Estrategias de recuperación en redes de telecomunicaciones

49
PLAN DE RECUPERACION DE DESASTRES

50
 COMPONENTES DEL BCP

51
BIA: Análisis del impacto del negocio DRP: Plan de recuperación de desastres
 ..Estrategias de recuperación
• Se hacen considerando las estrategias globales
de la organización.
• Respecto a tres aspectos fundamentales de
disponibilidad:
– Datos
– Infraestructura tecnológica y
– Gente.

52
53
El plan debe considerar al menos los siguientes factores:

54
Plan de recuperación
De desastres

Team recuperation business

Team recuperation DESASTRE

55
Factores clave para volver a la operación normal

56
 Pruebas y actualización del Plan
• Probar si funciona, para actualizar.
• Probar sin afectar las operaciones normales (fin
de semana)
• Deben comprender elementos críticos, simular
condiciones parecidas a las normales.
• Las pruebas deben incluir tareas:

57
… Las pruebas deben incluir Tareas:

58
Fases del proceso del Plan de prueba

59
Conclusiones

60
• Durante una auditoria de un gran banco, el auditor de SI observa que no se ha
llevado a cabo ningun ejercicio formal de evaluacion del riesgo para que las
diversas aplicaciones de negocio lleguen a su importancia relativa y
requerimientos de tiempo de recuperacion. El riesgo al que el banco esta expuesto
es que:
a) El plan de continuidad del negocio puede no haber sido calibrado para el riesgo
relativo que posee la interrupcion de cada aplicacion para la organizacion.
b) El plan de continuidad del negocio puede no incluir todas las aplicaciones
relevantes y, por lo tanto, puede carecer de totalidad en termnos de su
cobertura.
c) El impacto de un desastre sobre el negocio puede no haber sido correctamente
entendido por la gerencia.
d) El plan de continuidad del negocio puede carecer de una apropiacion efectiva
de los dueños del negocio sobre las aplicaciones.

61
• Cual de lo siguiente es necesario tener PRIMERO en el
desarrollo de un Plan de Continuidad del negocio?
a) Clasificación de sistemas basados en riesgo
b) Inventario de todos los activos
c) Completa documentación de todos los desastres
d) Disponibilidad de hardware y de software

62
• Cual de los siguientes componentes de un Plan de
Continuidad del negocio es PRIMARIAMENTE la
responsabilidad del departamento de SI de la organización?
a) Desarrollar el plan de continuidad del negocio
b) Seleccionar y aprobar la estrategia para el plan de continuidad
del negocio
c) Declarar un desastre
d) Restaurar los sistemas de SI y los datos después de un desastre

63