Unidad temática No.

3: Análisis de la
Continuidad del negocio

i. Análisis de Impacto de negocio (BIA)

ii. AIA - MARC
iii. Análisis de riesgos y Amenazas (TRA)
 i. Análisis de la Continuidad del Negocio

Recordemos…

Qué es un Plan de Continuidad del Negocio(BCP)?

• Es el conjunto de procedimientos y estrategias de una organización para asegurar la
reanudación oportuna y ordenada de los procesos del negocio en un plazo
predefinido y con un coste acotado ante un incidente o interrupción.

• Un Plan de Continuidad del Negocio está orientado al mantenimiento del

conocimiento del negocio de la organización, para poder priorizar las operaciones
críticas necesarias para poder continuar en funcionamiento después de un incidente
no planificado.

• La activación de un Plan de Continuidad debería producirse solamente en situaciones

de emergencia y cuando las medidas de seguridad hayan fallado.
 i. Análisis de la Continuidad del Negocio

METODOLOGÍA (ISO 22301)

 La Norma ISO, la primer norma internacional para la gestión de la continuidad

del negocio (SGCN)

 Reemplaza a la norma británica BS25999

 La norma ISO 22301 la norma proporciona a las organizaciones un marco que

asegura puedan continuar trabajando durante las circunstancias mas difíciles
en caso de un desastre.
 i. Análisis de la Continuidad del Negocio

BENEFICIOS
Identifica los eventos que podrían impactar sobre la continuidad de las
operaciones y su impacto financiero, humano y de reputación sobre la
organización.

Previene y minimiza las pérdidas para el negocio en caso de desastre.

Clasifica los activos para priorizar su protección en caso de desastre.

Obliga a conocer los tiempos críticos de recuperación para volver a la

situación anterior al desastre sin comprometer al negocio.

Mantener el servicio prestado por los sistemas de información a los

procesos del negocio, minimizando el impacto en la operación.
 i. Análisis de la Continuidad del Negocio

Análisis del Negocio

 Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es

conocer y entender cuáles son los procesos de negocio que son esenciales
dentro de la Compañía en la cual se desarrollará el Plan.

 Para el área de TI debería crearse su propio BIA

i. Análisis de la Continuidad del Negocio

Análisis del Negocio

 i. Análisis de la Continuidad del Negocio

Análisis de Impacto en el Negocio

(Business Impact Analysis - BIA)
 Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es
conocer y entender cuáles son los procesos de negocio que son esenciales
dentro de la Compañía en la cual se desarrollará el Plan.

Determinar los Procesos Críticos

Conocer las actividades de los Relación de los

procesos procesos

Relación de Tiempo de
Relación de
Departamentos Recuperación
Aplicaciones
y Usuarios Objetivo
 i. Análisis de la Continuidad del Negocio

Alcance - BIA

 Evaluación de los procedimientos, donde se establece cuáles son requeridos

para la continuidad del negocio.
 Determinación de los impactos de una interrupción y cuando empiezan.
 Priorización y establecimiento del período de tiempo (RTO) en el que los
sistemas, aplicaciones y funciones deben ser recuperados después de la
interrupción.
 Determinación del orden de recuperación.
 Establecimiento del tiempo máximo tolerable permitido de pérdida de
información ante una interrupción en los sistemas de información (RPO).
 Definición de los recursos necesarios para el buen desarrollo de los
procedimientos a nivel de: Tecnología, personal, infraestructura y soporte
proveedores.
i. Análisis de la Continuidad del Negocio
 i. Análisis de la Continuidad del Negocio

Análisis de Impacto en el Negocio

(Business Impact Analysis - BIA)

 Cada área debe contar con un Líder de BCP-PCN, quien en conjunto con el
Líder del Proceso evalúan los procedimientos asignados.
 Todos los procedimientos y recursos tecnológicos que soportan las
actividades deben ser clasificados de acuerdo a su prioridad de recuperación.
 Para lo anterior se mide el tiempo que puede dejar de realizar la actividad sin
que ello cause quejas de los clientes, pérdidas financieras, multas legales o
contractuales.
 Hablando de continuidad todo gira alrededor del impacto, buscando sostener
la operación crítica de la entidad.
 i. Análisis de la Continuidad del Negocio

Cuestionario de evaluación - BIA

 Para cada uno de los aspectos que se deseen calificar sea cualitativa o
cuantitativamente deber ser definidos previamente escalas de valoración para
garantizar métricas homogéneas.

 Los impactos a contemplar son:

Regulatorio/Legal Financiero

Reputacional Servicio al Cliente

Operativo
i. Análisis de la Continuidad del Negocio

Cuestionario de evaluación - BIA

i. Análisis de la Continuidad del Negocio

Cuestionario de evaluación - BIA

 Taller 12

Utilizando Excel
• Construya su cuestionario BIA
• Debe incluir columnas para:

Proceso
SubProceso
Actividad
Impactos
Requiere Aplicaciones (S/N)
Pérdidas en 4 Hora
Pérdidas en 1 días - 1 semana
Taller 13
 Taller 14
 Calificación BIA: Indica la sensibilidad en tiempo ante los diferentes impactos
analizados por no ejecutarse el procedimiento. Se obtiene del cuestionario BIA.
 Tiempo Objetivo de Recuperación (RTO): El período de tiempo después de una
interrupción, mediante el cual se debe recuperar las actividades producto de
activar los planes de contingencia para evitar un impacto significativo.
 Valor del BIA: Indica la criticidad del procedimiento basado en la Calificación BIA y
que impulsa el establecimiento de prioridades de recuperación durante una
situación difícil. Una tabla de valoración sugerida es:
VAMOS A SALIR A ALMORZAR!!!

YUJUUUU!!!
Unidad temática No.3: Análisis de la
Continuidad del negocio

i. Análisis de Impacto de negocio (BIA)

ii. AIA - MARC
iii. Análisis de riesgos y Amenazas (TRA)
 i. Análisis de la Continuidad del Negocio

Business Impact Analysis - BIA

 Determinación del Punto de recuperación Objetivo (RPO): Básicamente

determina la periodicidad con la cual deben salvaguardarse los datos de los
procesos de negocio. Cuánto más pequeño sea el RPO más sólido debe ser el
mecanismo de protección de datos (backup, replicación online, etc)

 Requerimientos de Infraestructura:
 Número de colaboradores de tiempo completo para ejecutar el proceso.
 Recurso humano requerido en contingencia.
 Aplicativos tecnológicos utilizados en el procedimiento. Con esta información se determina la
criticidad de los aplicativos. (AIA)
 Elementos logísticos como son: Teléfono, impresora, escáner etc.
 Otros elementos necesarios en el funcionamiento, como por ejemplo: Carpeta compartida,
unidad de red, archivos físicos, etc.
 Información de proveedores Externos: Se identifica la relación de las
actividades y procesos con los proveedores externos.
 ii. AIA - MARC

Application Impact Analysis - AIA

 Esta herramienta permite conocer las aplicaciones críticas del negocio y

establecer el orden de recuperación.

 Lo anterior, a su vez permite identificar los elementos de infraestructura

tecnológica que intervienen y soportan los aplicativos definidos como críticos.

 Se debe relacionar los elementos de la infraestructura tecnológica necesarios,

para permitir la ejecución de las aplicaciones:
 Bases de Datos  Canales de comunicación
 Servidores  Salida a Internet
 Servidores de aplicación  Web Service
 Switch  Proxy
 Router  Firewall
 ii. AIA - MARC

MARC

 Este documento concentra todos aquellos elementos que han sido

identificados y son los necesarios para que la operación pueda realizarse.

 Ayudará a la verificación de accesos y elementos desde el COC.

 Establecer recursos
Determinar ●
BIA necesarios para la ●
BIA-AIA-MARC
Procesos Críticos continuidad del negocio
iii. Análisis de Riesgos y Amenazas

Identificar las
Identificar las ●
posibles
Tabla de Amenazas ●
Tabla Vulnerabilidades
posibles amenazas
Vulnerabilidades

Calcular el
riesgo