Recuperacin de Desastres

y Continuidad del Negocio

(DRP / BCP)

Introduccin

Marco Contextual
MONITOREO
M1 Monitoreo de los procesos
M2 Evaluar la adecuacin del Control Interno
M3 Obtener garanta independiente
M4 Proveer auditora independiente

ENTREGA Y SOPORTE
DS1 Definicin de Niveles de Servicio
DS2 Administracin de Servicios prestados por
Terceros
DS3 Administracin de Desempeo y Capacidad
DS4 Aseguramiento de Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificacin y Asignacin de Costos
DS7 Educacin y Entrenamiento de Usuarios
DS8 Apoyo y Asistencia a los Clientes de Tecnologa
de Informacin
DS9 Administracin de la Configuracin
DS10 Administracin de Problemas e Incidentes
DS11 Administracin de Datos
DS12 Administracin de Instalaciones
DS13 Administracin de Operaciones

PLANEACION Y ORGANIZACION
PO1 Definicin de un Plan Estratgico de Tecnologa de Informacin
PO2 Definicin de la Arquitectura de Informacin
PO3 Determinacin de la direccin tecnolgica
PO4 Definicin de la Organizacin y de las Relaciones de TI
PO5 Administracin de la Inversin en Tecnologa de Informacin
PO6 Comunicacin la direccin y aspiraciones de la gerencia
PO7 Administracin de Recursos Humanos
PO8 Aseguramiento del Cumplimiento de Requerimientos Externos
PO9 Evaluacin de Riesgos
PO10 Administracin de proyectos
PO11 Administracin de Calidad

ADQUISICION E IMPLEMENTACION
AI1 Identificacin de Soluciones Automatizadas
AI2 Adquisicin y Mantenimiento de Software de Aplicacin
AI3 Adquisicin y Mantenimiento de Infraestructura de Tecnologa
AI4 Desarrollo y Mantenimiento de Procedimientos
AI5 Instalacin y Acreditacin de Sistemas
AI6 Administracin de Cambios

Componentes de un BCP

COOP
OEP

CIRP

BCP

ITCP

CCP
BRP

Instalaciones

TI

DRP

Negocio

Impacto Mayor

BCP (Business Continuity Plan)

Propsito. Proporciona procedimientos
para mantener las operaciones esenciales
del negocio mientras se realiza la
recuperacin (continuidad).
Alcance. Orientado a procesos de negocio,
solamente se orienta a TI en caso de que
se requiera soporte de sistemas para
procesos de negocio.

BRP (Business Resumption Plan)

Propsito. Procedimientos para la
recuperacin de las operaciones del
negocio inmediatamente despus de que
ocurre un desastre (en el sitio primario).
Alcance. Orientado a procesos de negocio,
no est enfocado en la tecnologa,
solamente se orienta a TI en caso de que
se requiera soporte de sistemas para
procesos de negocio.

COOP (Continuity of Operacions

Plan)
Propsito. Procedimientos y capacidades
para mantener las funciones de negocio
esenciales y estratgicas de una
organizacin en un sitio alterno (Alta
Direccin).
Alcance. Orientado a el subconjunto ms
crtico de procesos de la empresa, no est
enfocado en la TI, generalmente se
redacta a los ms altos niveles de la
organizacin.

ITCP (IT Contingency Plan)

Propsito. Procedimientos y capacidades
para recuperar una aplicacin mayor o un
sistema general de soporte.
Alcance. Orientado a fallas en los sistemas
de TI, no est enfocado en los procesos de
negocio.

CCP (Crisis Communications Plan)

Propsito. Procedimientos para la
diseminacin de reportes de estado al
cliente, al pblico y al personal.
Alcance. Orientado a comunicacin en
general, no enfocado a TI.

CIRP (Cyber Incident Response Plan)

Propsito. Estrategias para detectar,
responder a, y limitar las consecuencias de
un incidente malicioso.
Alcance. Enfocado a la respuesta de
sistemas de seguridad a incidentes que
afectan el funcionamiento de los sistemas
o las redes.

DRP (Disaster Recovery Plan)

Propsito. Procedimientos detallados para
facilitar la recuperacin de capacidades en
un Centro Alterno.
Alcance. Enfocado a TI, enfocado a daos
mayores con efectos de largo plazo.

OEP (Occupant Emergency Plan)

Propsito. Procedimientos coordinados
para minimizar el dao a personas o la
prdida de vidas, as como a la proteccin
de propiedades en el caso de una
amenaza fsica.
Alcance. Enfocado en el personal y
edificios principalmente, no a los procesos
de negocios ni a TI.

Responsabilidades
BCP, BRP, COOP El Cliente, usuario
DRP, ITCP, CIRP El rea de Sistemas
CCP Relaciones pblicas y Sistemas
OEP Area de Seguridad

Proceso diseado para reducir riesgos

ante interrupcin inesperada de
funciones crticas (manuales o
automatizadas) y garantizar continuidad
del nivel mnimo de operaciones
crticas

Planeacin del (BCP) y (DRP)

Considerar a toda la organizacin, no slo a la TI
Responsabilidad de ALTA GERENCIA (Salvaguarda activos
y viabilidad de empresa)
Responsables de recursos crticos son quienes
reaccionarn ante un desastre mientras se lleva a cabo la
recuperacin
Participacin de Gerencia y Usuarios ... Vital para xito del
plan
Gerencia Usuarios identificar procesos, tiempos crticos de
recuperacin y recursos necesarios para recuperacin

Casos de Desastre y Otras Interrupciones

Desastre
Interrupcin que hace, que los recursos
crticos de TI, queden inoperantes por un
tiempo que impacte adversamente al negocio
Obligan a tomar acciones para recuperar
estado operativo
En el peor de los casos, se usar instalacin
alterna, se restaurar software y datos
resguardados en sitio alterno

Casos de Desastre
Causados por Desastres Naturales
Terremotos
Inundaciones
Tornados
Tormentas Elctricas Severas
Incendios

Casos de Desastre

Choque de dos tormentas causan olas enormes

en Manila, Filipinas.
Fuente: AP / Fecha de publicacin: 30/03/2004

Tormenta en Panama City Beach, Florida.

Fuente: AP / Fecha de publicacin: 30/03/2004

Casos de Desastre

Enorme tormenta de arena ataca la ciudad de

Phoenix, EU.
Fuente: AP / Fecha de publicacin: 30/03/2004

Vientos de ms de 90 millas por hora azotan el

puerto de Key West, Florida.
Fuente: AP / Fecha de publicacin: 30/03/2004

Casos de Desastre

Terremoto ocurrido en la poblacin de Wan-Fo

Taiwan destruyendo el templo de la localidad.
Fuente: AP / Fecha de publicacin: 30/03/2004

El terremoto de magnitud 6 ocasion severos

daos en la poblacin de Armenia, Colombia.
Fuente: AP / Fecha de publicacin: 30/03/2004

Casos de Desastre
Causados por Seres Humanos
Terrorismo
Hackers
Ataques

Casos de Desastre

Casos de Desastre

Casos de Desastre

Otras Interrupciones
Interrupcin de servicios que pueden
provocar eventos desastrosos
Suministro Energa Elctrica
Telecomunicaciones
Gas Natural
La interrupcin del servicio de SI causada por un mal
funcionamiento, puede no generar desastres, pero si
eventos de alto riesgo
(Errores, eliminacin de archivos accidental, ataques de negacin del
servicio, intrusin, virus)

Otras Interrupciones

La gente hace llamadas a sus familiares tras

registrarse el apagn en Nueva York.
Fuente: AP / Fecha de publicacin:

Un BCP deber considerar

Un sistema de clasificacin de riesgos que
apoye la toma de decisiones.
Todos los acontecimientos que impacten
instalaciones TI crticas y funciones
operativas normales.
Estrategias de marcha atrs de corto y
largo plazo (Ejemplo: Instalacin alterna o
nueva permanente, respectivamente)

Un BCP deber considerar

Seguridad del personal
Rentabilidad y posicionamiento de la
empresa en el mercado
Obligaciones contractuales
Cumplimientos de leyes y regulaciones
Imagen y percepcin pblica
Impacto Social
Atencin a clientes
Seguridad y confiabilidad de la informacin

Etapas del Proceso de Planeacin del BCP

1. Anlisis del
Impacto sobre el
Negocio
6. Monitoreo

5. Prueba e
Implementacin
del Plan

4. Programa de
Entrenamiento y
de
Concientizacin

Captulo 5 pgina 35

2. Clasificacin
de Operaciones y
Anlisis de
Criticidad

3. Desarrollar el
BCP y
procedimientos
de recuperacin
de desastres

1 2 3 4 5 6

Anlisis del Impacto Sobre el Negocio

Marco
Filosfico

Modelo
Estratgico

Modelo de
Operaciones

Procesos de Soporte

Para desarrollar el BIA

es importante entender
la organizacin, sus
procesos clave y los
recursos de TI que los
soportan (Aplicaciones,
Datos, Redes, SW del
sistema, Instalaciones,
Equipos, Centros de
proceso)

1 2 3 4 5 6

Anlisis del Impacto Sobre el Negocio

Implica identificar eventos que podran

impactar la continuidad de operaciones e
impactar en recurso humano, imagen y
financieramente
Respaldo de Alta Gerencia y participacin
de SI y usuarios indispensable
Adems de los tradicionales (mainframe),
incluir redes y recursos implementados
por usuarios

1 2 3 4 5 6

Anlisis del Impacto Sobre el Negocio

CONTROLES
GENERALES

CONTROLES DE
APLICACIN

Controles
ControlesaaNivel
Nivel
Corporativo
Corporativo

Administracin
Corporativa

Estructura
Estructura
Polticas
Polticas
Corporativas
Corporativas
Gobierno
Gobierno de
de TI
TI
Colaboracin
Colaboracin
Controles
ControlesGenerales
Generales
Desarrollo
Desarrollo yy
cambios
cambiosaa
programas
programas
Desarrollo
Desarrollo ee
Implementacin
Implementacin
Operacin
Operacin de
de
cmputo
cmputo
Acceso
Accesoaa
Programas
Programasyy
Datos
Datos

Controles
Controles de
de
Aplicacin
Aplicacin

Procesos
de
Negocio

Procesos
de
Negocio

Procesos
de
Negocio

Procesos
de
Negocio

(Finanzas)

(Manufactura)

(Logstica)

(Etc.)

Servicios de TI
(Sistemas Operativos, Telecomunicaciones, Red, Etc.)

(Controles
(Controles
incorporados
incorporadosen
en
aplicaciones
aplicacionesque
que
brindan
brindansoporte
soporteaalos
los
procesos
procesosde
denegocio)
negocio)
Completes
Completes
Exactitud
Exactitud
Validacin
Validacin
Autorizacin
Autorizacin
Separacin
Separacinde
de
funciones
funciones

1 2 3 4 5 6

Clasificacin de las operaciones y

anlisis de criticidad

Clasificacin de los sistemas

CRITICOS
VITALES
SENSITIVOS
NO CRITICOS

1 2 3 4 5 6

Clasificacin de las operaciones y

anlisis de criticidad

CRITICOS
Funciones pueden realizarse slo si las capacidades
se reemplazan por otras idnticas
No pueden reemplazarse por mtodos manuales
Muy baja tolerancia a interrupciones
Muy ALTO COSTO de interrupcin

VITALES
Pueden realizarse manualmente por periodo breve
Un poco ms de tolerancia a interrupciones vs
Crticos
Costo de interrupcin un poco ms bajos, slo si son
restaurados dentro de un tiempo determinado (5
menos das)

1 2 3 4 5 6

Clasificacin de las operaciones y

anlisis de criticidad

SENSITIVOS
Funciones pueden realizarse manualmente por un
periodo prolongado, a un costo tolerable
Proceso manual difcil, requiriendo personal adicional

NO CRITICOS
Funciones pueden interrumpirse por tiempos
prolongados a un costo pequeo o nulo
No requiere de esfuerzos para ponerse al da

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Desarrollar y presentar diferentes estrategias y seleccionar

la + apropiada para recuperarse de un desastre
La seleccin depende de:

Criticidad del proceso y aplicaciones que lo soportan

Costo
Tiempo requerido para recuperarse
Seguridad

Estrategia + Apropiada = Aquella con costo aceptable y

razonable para el tiempo de recuperacin, impacto y
probabilidad de ocurrencia determinada en el BIA
Costo de Recuperacin = Costos de prepararse para
interrupciones + Costos de funcionamiento de lo planeado

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Para cualquier amenaza, la accin + efectiva

debe estar orientada a:
Eliminar las amenazas completamente
Minimizar la probabilidad de ocurrencia
Minimizar el efecto de ocurrencia
(Las primas de seguro pueden reducirse si hay un BCP adecuado)

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Cada plataforma TI que soporte una funcin crtica

del negocio, deber contar con una estrategia de
recuperacin.
Para instalaciones de Mainframes y Redes,
considerar:

Hot Sites
Warm Sites
Cold Sites
Instalaciones duplicadas
Acuerdos Recprocos con otras compaas

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Hot Sites

Totalmente configurados y listos para operar en algunas horas

Equipo y Sw del sistema debe ser compatible con instalacin

primaria

Slo se necesita: personal, programas, datos y documentacin

Costos asociados altos, pero las aplicaciones crticas lo justifican

La cobertura del seguro puede compensar los costos incurridos

Los montos incluyen:

Costo bsico de suscripcin

Costo mensual
Costo pruebas
Costo de activacin
Cargos de uso por hora o da

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Hot Sites
Algunos proveedores imponen costo elevado
activacin para desalentar uso innecesario

de

Otros promueven su uso para casos no relacionados

con desastres (sobrecarga de procesamiento)
Limitado para operaciones de emergencia por un tiempo
limitado no prolongado (varias semanas), para proteger
a otros abonados
Incluir aspectos como redundancia y capacidad
suficiente en diferentes vas para redireccionar en caso
necesario

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Warm Sites
Configurados parcialmente, con conexiones de red y
ciertos equipos perifricos seleccionados (discos,
cartuchos, controladores), pero sin la computadora
principal
A veces equipado con un computador menos potente
Se basa en el supuesto de que una computadora puede
ser conseguida e instalada rpidamente (siempre y
cuando sea un modelo usado ampliamente).
Esto reduce un poco los costos

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Cold Site
Slo tiene el ambiente bsico (cableado
elctrico, aire acondicionado, etc.)
Listo para recibir equipo
La activacin del sitio puede demorar
varias semanas

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Instalaciones Duplicadas
Sitios de recuperacin que pueden respaldar las
aplicaciones crticas
Desde un Hot-site hasta un Acuerdo Recproco
con otras compaas
Se basan en el supuesto de que en esta opcin
habra menos problemas para coordinar la
compatibilidad y disponibilidad

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Instalaciones Duplicadas
Para asegurar la viabilidad de esta opcin considerar:
Sitio alterno no estar sujeto a mismos desastres naturales que el
primario
Haber una coordinacin estratgica de Hw y Sw, para lograr una
compatibilidad razonable
Garantizar disponibilidad de los recursos. Evitar que las cargas
de trabajo afecten su disponibilidad
Efectuar pruebas regularmente (copias de respaldo)

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Acuerdos Recprocos

Celebrados entre 2 o ms empresas con equipos o aplicaciones

similares

Bajo acuerdo, los participantes prometen proveerse mutuamente

de tiempo de procesamiento en caso de emergencia

Ventajas Bajo costo, Puede ser la nica opcin en caso de

proveedor nico

Desventajas
No se puede exigir el servicio
Las diferencias en las configuraciones de los equipos requieren de
modificaciones en los programas para que operen efectivamente
Los cambios en las cargas de trabajo o en las configuraciones, que no
se notifican, hacen limitado o intil el acuerdo

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Acuerdos Recprocos

Preguntas crticas que se deben incluir:

Cunto tiempo se tendr disponible en el sitio anfitrin ?

Qu instalaciones y equipos se tendr a disposicin ?

Se proveer asistencia el personal ?
Con qu velocidad se podr acceder a la instalacin anfitriona de recuperacin ?
Pueden establecerse enlaces de comunicacin de datos y voz en el sitio anfitrin ?
Por cunto tiempo puede continuar la operacin de emergencia ?
Con qu frecuencia se puede probar la compatibilidad del sistema ?
Cmo se mantendr la confidencialidad de los datos ?
Qu tipo de seguridad se podr tener para las operaciones y los datos de los SI ?
Con cunta anticipacin se requiere dar aviso para usar el sitio anfitrin ?
Hay alguna fecha del ao en que la instalacin no est disponible ?

1 2 3 4 5 6

Desarrollar Estrategias de
Recuperacin

Contratos con Hot, Warm y Cold Sites debe

incluir:

Configuraciones
Desastres
Velocidad de disponibilidad
Abonados por sitio
Abonados por rea
Preferencia
Seguros
Perodo de uso
Comunicaciones
Garantas
Auditora
Pruebas
Confiabilidad

1 2 3 4 5 6

Seguros

Basado en una poltica multiriesgo diseada para

proveer diversos tipos de cobertura de SI
(Las compaas de seguros) Deben construirlo de
manera modular para que se adapte al ambiente de SI
de la empresa
Los tipos de cobertura pueden ser:

Equipo e Instalaciones de SI
Reconstruccin de medios (Sw)
Gastos adicionales
Interrupcin del Negocio
Documentos y registros valiosos
Errores y omisiones
Cobertura de fidelidad
Transporte de medios

1 2 3 4 5 6

Seguros

Equipo e Instalaciones de SI
Cobertura de daos fsicos
Cuidar seguros equipo rentado de quin es responsabilidad ?
y tipo de reemplazo para que se entreguen equipos nuevos
idnticos al daado y no otros de clase y calidad similares

Reconstruccin de Medios (Sw)

Cobertura de daos a los medios tanto en el sitio de
procesamiento normal, como en el alterno o trnsito de un sitio
al otro
Cubre costo real de reproduccin
Los costos para reproducirlos, gastos de respaldos y reemplazo
fsico de dispositivos, son la consideraciones para determinar el
valor de la cobertura

1 2 3 4 5 6

Seguros

Gastos Adicionales
Cubir los gastos adicionales que ocasionan la continuidad, luego
de los daos o destruccin del sitio
El valor se basa en la disponibilidad y costo de las instalaciones
y operaciones de respaldo alternativo
Pueden cubrir la prdida de las ganancias causadas por los
daos o suspensin de operaciones (aunque no haya daos en
equipos e instalaciones)

Interrupcin del Negocio

Cubre prdidas financieras debido a la interrupcin de la
actividad de la compaa por causa de un mal funcionamiento
de SI

1 2 3 4 5 6

Seguros

Documentos y Registro Vitales

Cubre valor real efectivo de documentos y registro valiosos (no
definidos como medios)

Errores y Omisiones
Proteccin legal de responsabilidad en caso de que el
profesional cometa un acto, error u omisin que tenga como
consecuencia la prdida financiera para un cliente
Protegen a analistasa, diseadores, programadores,
consultores, etc.

1 2 3 4 5 6

Seguros

Cobertura de Fidelidad
Fianzas
Cubre prdidas por actos deshonestos o fraudulentos
Muy usada por empresas del sector financiero

Transporte de Medios
Prdida o dao potencial a los medios en trnsito hacia sitios
fuera del primario
Como precaucin, estos deben ser filmados o copiados antes de
ser transportados

1 2 3 4 5 6

Desarrollo de BCP y DRP

Los factores que deben considerarse son:

Estar preparados ante un desastre

Procedimientos de evacuacin
Como declarar un desastre
Identificar los Procesos de Negocio y los Recursos TI que
debern ser recuperados
Identificar claramente:
Las responsabilidades en el Plan
Las personas responsables de cada funcin
La informacin de los contratos

Explicacin paso a paso de la recuperacin

Identificar claramente los recursos requeridos
recuperacin y continuidad de las operaciones
Aplicacin paso-paso de la fase de construccin
Documentarlo y redactarlo con un lenguaje claro

para

la

1 2 3 4 5 6

Organizacin y Asignacin de
Responsabilidades

El Plan debe contemplar Equipos de Trabajo con

responsabilidades asignadas en caso de desastre
Identificar personal clave de SI y usuarios para
toma de decisiones
La participacin de los equipos depende de la
interrupcin y del tipo de activos afectados
Matriz correlacin Equipos que van a participar y
Esfuerzo estimado para recuperar la interrupcin
recomendable

1 2 3 4 5 6

Organizacin y Asignacin de
Responsabilidades

De acuerdo a las funciones que realizaran, los EQUIPOS

que pueden conformarse son:
Respuesta a Incidentes

Comunicaciones

Accin ante Emergencias

Transporte

Evaluacin de Daos

Hardware del Usuario

Administracin de Emergencia

Preparacin de Datos y Archivos

Almacenamiento alterno (Offsite)

Soporte Administrativo

Software

Suministros

Aplicaciones

Salvamento

Seguridad

Reubicacin

Operaciones de Emergencia

Coordinacin

Recuperacin de Red

Asuntos Legales
Entrenamiento

1 2 3 4 5 6

Organizacin y Asignacin de
Responsabilidades

Equipo de Respuesta a Incidentes

Esta orientado a recibir la informacin sobre todo
incidente que pueda ser considerado como una
amenaza a los activos / procesos.
Coordinar incidentes en curso y/o para un anlisis
post-mortem.
Genera conocimiento para actualizar los planes
de recuperacin

1 2 3 4 5 6

Organizacin y Asignacin de
Responsabilidades

Equipo de Accin ante Emergencias

Dar la primera respuesta
Bomberos designados o personal asistente
Su funcin ... Tratar con incendios u otros escenarios de emergencia
que requieran respuesta
Evacuacin ordenada del personal y garantizar vidas humanas

Equipo de evaluacin de daos

Conformado por personal que tengan capacidad de hacer apreciacin
de daos, identificacin de causas e impactos y estimacin del tiempo
de recuperacin
Personal experimentado y familiarizado con equipos de pruebas,
sistemas y redes
Entrenado en reglamentaciones y procedimientos de seguridad

1 2 3 4 5 6

Organizacin y Asignacin de
Responsabilidades

Equipo de Administracin de Emergencia

Coordinar y supervisar actividades de todos los equipos

Tomar decisiones clave
Determinan la activacin del plan
Organizar las finanzas de la recuperacin, manejo de asuntos legales,
relaciones pblicas y medios de comunicacin
Coordinarn entre otras actividades:

Recuperacin de datos crticos y vitales a partir de almacenamiento alterno

Instalacin y prueba Sw del sistema y aplicaciones en sitio de recuperacin
Identificacin, compra e instalacin de Hw en sitio de recuperacin
Operacin desde el sitio de recuperacin
Redireccin del trfico de comunicacin de la red
Restablecimiento de la red de usuarios y sistemas
Transportacin de usuarios al sitio alterno
Reconstruccin de bases de datos
Proveer de mobiliario, formularios y suministros
Programa de actividades para usar sistemas y trabajo de empleados

1 2 3 4 5 6

Organizacin y Asignacin de
Responsabilidades
Equipo de
Respuesta a
Incidentes

Equipo de Accin
de Emergencia

Equipo de
Evaluacin de
Daos

Equipo
Administrador de
la Emergencia

Almacenamiento alterno (Offsite)

Preparacin de Datos y Archivos

Software

Soporte Administrativo

Aplicaciones

Suministros

Seguridad

Salvamento

Operaciones de Emergencia

Reubicacin

Recuperacin de Red

Coordinacin

Comunicaciones

Asuntos Legales

Transporte

Entrenamiento

Hardware del Usuario

1 2 3 4 5 6

Prueba e Implementacin del Plan

Muchos BCP carecen de pruebas totales con todas las

reas
Realizarlas, total o parcialmente, ayuda a saber si funciona
bien o qu partes necesitan mejorarse
Hacerlas cuando las interrupciones afecten menos la
operacin (fines de semana, vacacionales forzosas)
Participar personal clave del equipo y poner esfuerzo
Considerar componentes crticos y simular condiciones
reales de procesamiento de horas principales

1 2 3 4 5 6

Prueba e Implementacin del Plan

Especificaciones

Ejecucin de la
Prueba

Documentacin
De
Resultados

1 2 3 4 5 6

Prueba e Implementacin del Plan

Anlisis de
Resultados

Mantenimiento
del
Plan

1 2 3 4 5 6

Prueba e Implementacin del Plan

Especificaciones
Tratar de realizar las tareas siguientes:
Verificar que el BCP est completo y sea preciso
Evaluar el desempeo del personal que particip
Evaluar entrenamiento y conciencia de continuidad de Externos
Evaluar coordinacin entre el equipo de continuidad y
proveedores
Medir posibilidad y capacidad del sitio alterno
Determinar capacidad de recuperar registros vitales
Evaluar estado y cantidad de equipos y suministros reubicados
en el sitio de recuperacin
Medir desempeo general de actividades operativas y
procesamiento de SI, relacionadas con el mantenimiento del
negocio

1 2 3 4 5 6

Prueba e Implementacin del Plan

Ejecucin de la Prueba
Prueba Previa
Acciones para establecer escenario para prueba real
Colocar mobiliario en rea de recuperacin de operaciones
Transportar e instalar equipos de apoyo

Prueba
Accin real y prueba del estado de preparacin para responder a emergencias
Ejecutar verdaderas actividades operativas para probar objetivos del BCP
Ocurrir: entrada de datos, realizar llamadas, procesamiento de SI, manejo de rdenes,
movimiento del personal, equipos y proveedores
Se evala al personal realizando tareas designadas

Prueba Posterior
Limpieza de actividades de grupo
Devolver todos los recursos y personal a donde pertenecen, desconectar equipos,
eliminar datos en sistemas de terceros, evaluar el plan e implementar mejoras

1 2 3 4 5 6

Prueba e Implementacin del Plan

Tipos de Pruebas
Prueba en Papel
Repaso total o parcial sobre papel
Principales involucrados razonan sobre lo que ocurrira en ciertas interrupciones
Precede a la prueba del estado de preparacin

Prueba de Preparacin
Se realiza sobre diversos aspectos localizados del plan
Forma eficiente (costos) de saber si el plan es bueno e irlo mejorando
Se gastan recursos en simular un colapso del sistema

Prueba Operativa Total

Prcticamente un desastre
Primero hay que hacer las dos anteriores

1 2 3 4 5 6

Prueba e Implementacin del Plan

Documentacin de los Resultados

Observaciones, problemas y resoluciones de cada
etapa
Informacin histrica que
recuperacin de un desastre

puede

facilitar

Ayuda a analizar puntos fuertes y dbiles

la

1 2 3 4 5 6

Prueba e Implementacin del Plan

Anlisis de los Resultados

Medir xito del plan y probarlo vs objetivos predefinidos
Calibrar resultados observando
Tiempo.

El transcurrido para completar tareas, entrega de equipos,

reunir personal y arribar al sitio de recuperacin

Cantidad.

De trabajo realizado en el sitio de recuperacin

Conteo.

Registros vitales llevados exitosamente al sitio de recuperacin

vs el requerido. Suministros y equipos solicitados vs recibidos. Sistemas
crticos recuperados con xito.

Exactitud.

Exactitud de datos de entrada vs operacin normal.

Resultados vs procesados mismo periodo en condiciones normales

1 2 3 4 5 6

Prueba e Implementacin del Plan

Mantenimiento
Revisar y actualizar planes y estrategias
reconociendo requerimientos cambiantes
Una estrategia apropiada puede no serlo a medida que cambian
las necesidades de la organizacin
Desarrollar o adquirir nuevas aplicaciones
Cambios en estrategia del negocio pueden alterar importancia
de aplicaciones crticas o adicionar otras
Obsolescencia por cambios en ambiente de Hw y Sw

1 2 3 4 5 6

Prueba e Implementacin del Plan

Mantenimiento

Responsabilidades del Coordinador del Plan (responsable de

mantenerlo)
Cronograma para revisin y mantenimiento peridico, comunicando roles y
fechas compromiso para entregar comentarios y revisiones
Revisar comentarios y revisin (30 das dentro de fecha de revisin)
Hacer arreglos y coordinar pruebas programadas y no programadas
Pruebas programadas al menos 1 vez al ao
Evaluar e integrar resultados
Cronograma para entrenamiento en procedimientos de emergencia y
recuperacin
Mantener registros de actividades, pruebas, entrenamiento y revisiones
Actualizar directorio con cambios de personal, telfonos, responsabilidades (al
menos cada 3 meses)

1 2 3 4 5 6

Bibliotecas fuera del Sitio (Off-Site

Libraries)

(Medios de almacenamiento secundario para guardar programas y datos y

ayudar a la continuidad de las actividades del negocio)

Almacenarlos en una o ms instalaciones fsicas

Considerar disponibilidad de uso y riesgos de interrupcin
Bibliotecario debe mantener inventario perpetuo, controlar
accesos y rotar medios

1 2 3 4 5 6

Riesgo / Controles de la Biblioteca en

el Sitio Alterno

Riesgo:
Accesos no autorizados puede generar prdida o cambios no
autorizados a datos e impactos en capacidad para proveer
continuidad de servicios.

Controles:

Garantizar acceso fsico a contenido de bibliotecas

Construccin con resistencia al fuego/calor (al menos 2 horas)
Ubicar biblioteca lejos de sala de computadoras
Slo personal autorizado tendr acceso
Inventario perpetuo de medios y archivos almacenados
Mantener registros de traslados, contenidos, versiones y ubicacin

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

Piso falso

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

Tan segura y
controlada como el
sitio primario

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

Accesos fsicos
(cerrojos en puertas,
no ventanas,
vigilancia humana)
No identificarse
desde el exterior y sin
letreros de ubicacin

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

No estar sujeta al
mismo desastre del
sitio primario
Detectores de humo,
agua

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

Monitoreo y control
ambiental (humedad,
temperatura, aire)
para ptimas
condiciones para
medios, papelera,
equipos y dispositivos

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

Suministro
ininterrumpido de energa

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

Piso Falso

1 2 3 4 5 6

Seguridad / Controles de la Biblioteca

en el Sitio Alterno

Sistema de extincin operando

y probado

1 2 3 4 5 6

Monitoreo

Tareas del Auditor de SI:

El BCP es adecuado y actualizado ? Evaluar y comparar

con estndares y reglamentaciones de gobierno

El BCP es efectivo para asegurar que las capacidades

de procesamiento sean reanudadas prontamente ?
Revisar resultados de pruebas

El Almacenamiento Fuera del Sitio es adecuado ?

Revisar contenido, controles de seguridad y ambientales

El personal de SI y Usuarios respondern con eficacia

a una emergencia ? Evaluar personal, procedimientos de
emergencia, entrenamiento, resultados de pruebas y ejercicios

1 2 3 4 5 6

Monitoreo

Revisar el Plan de Continuidad del Negocio

Obtener copia vigente

Obtener muestra de copias distribuidas y verificar que estn al da

Evaluar efectividad de procedimientos documentados para iniciar

ejecucin

Evaluar y determinar:

Si todas la aplicaciones crticas fueron identificadas

Apoyo planeado para aplicaciones crticas, incluyendo aquellas

desarrolladas en PC y por el propio usuario

Si se revis el nivel de tolerancia de las aplicaciones

1 2 3 4 5 6

Monitoreo

Revisar el Plan de Continuidad del Negocio

Evaluar, revisar y determinar:

Si el Sitio de Recuperacin tiene las versiones correctas de todo el Sw y

que sean compatibles

Lista de personal de continuidad del negocio, contactos en Sitio de

Recuperacin, vendedores, para que sean apropiados y completos

Telfonos, direcciones y que tengan copia del plan, en una muestra del
personal asignado. Entrevistarlos para ver que entienden las
responsabilidades asignadas

Procedimiento para actualizar el manual y ver si los cambios se aplican y

distribuyen a tiempo

Responsabilidades de mantenimiento estn documentadas

BCP/ DRP

INTRODUCCI
INTRODUCCIN

CONCEPTOS
DE
OPERACI
OPERACIN

ACTIVACI
ACTIVACIN Y
NOTIFICACION

RECUPERACI
RECUPERACIN
DE
OPERACIONES

Procedimientos de
recuperaci
recuperacin en
sitio alterno

Prop
Propsito

Arquitectura

Procedimientos de
Activaci
Activacin y
Notificaci
Notificacin

Aplicaci
Aplicacin

Portafolio de
aplicaciones

Procedimientos de
Evaluaci
Evaluacin de
Da
Daos

Alcance

Responsabilidades

Procedimientos de
Evaluaci
Evaluacin de
Alternativas

RETORNO A
OPERACIONES
NORMALES

ANEXOS

Procedimientos de
Pruebas en
Paralelo

Contactos

Procedimientos del
Plan de
desactivaci
desactivacin

Especificaciones y
Equipo

Marco Legal

Referencias

Procedimientos de
TI

Requerimientos

An
Anlisis de
Impacto en el
negocio

Registros de
Cambios

Planes de
Continuidad

Conclusiones

Para Recordar
BIBLIOTECAS
FUERA DEL
SITIO
PRUEBAS
DE L
B CP

ANLISIS IMPACTO
NEGOCIO
R
LA S
OL IA
RR EG N
S A A T CI
DE TR ERA
E S CU P
RE

S
E
T
N
E CP
N B O
O
P UN IV
M
T
C
E
O
C D FE
E

BCP /
DRP

AUDITORIA
AL BCP

ORGANIZACIN Y
RESPONSABILIDADES

ticos
r
C
s
o
roces
P
/
p
ticos
r
C
s
o
s
Recur
BIBLIOTECAS
FUERA DEL
SITIO

BCP /
DRP

ANLISIS
IMPACTO
NEGOCIO

N
I S
CC I A
LE EG N
SE RAT ACI
R
T
ES UPE
C
RE

CO
M
DE PON
EF U N EN
EC B TE
T I CP S
VO

P R UE B A S
DEL
BC P

AUDITORIA
AL BCP

ORGANIZACIN Y
RESPONSABILIDADES

rticos
C
n

i
c
cupera
e
R
e
d
s
Periodo
Clas
ifica
cin

de S
iste
mas

BIBLIOTECAS
FUERA DEL
SITIO

AUDITORIA
AL BCP

ANLISIS IMPACTO
NEGOCIO

P R UE B A S
DEL
BC P

CO
M
DE PON
EF UN EN
T
EC
TI BCP ES
VO

IPF Duplicada

BCP /
DRP

ia
c
n
da

icac
ione
s

in
erac

ist
S
r

PC
n
.e

N
Pr
o
oc
ha
ed
a
s
ce
U
.
r
M
na
an
da
ua
importantes
+
Prod.
Ctes./Prov./
le
s

Cold Site
Acuerdos
Recprocos

dun
e
R
d
Re

up
Re c
Voz

En Existencia

Hw

o
v
i
at

e
on
isi

Vendedores

rn
e
lt

f
n
i
a
M des
Re

Tele
com
un

c
De

ORGANIZACIN Y
RESPONSABILIDADES

Warm Site

e
m
ra

DESARROLLAR
ESTRATEGIAS
RECUPERACIN

Hot Site

nto
e
i
m
a
cion
Direc ativo
n
Alter

Direccionamiento
Diversificado

Div
Pr
e
o
t
Lo ec
Lar rsidad
go A
op ci
R
Lo n
lcan ed
ca
ce
l

CO
S MPO
D
EF E U NE N
EC N
T
T I BC E
VO P

P R UE B A S
DEL
BC P

de
Eq

ORGANIZACIN Y
RESPONSABILIDADES

Eq

Tr

Eq.

.
Eq

Ad

n.
o
m

ia
c
en
g
r
me

no
r
e
lt
A
c.
a
m
Al
.
are
Eq
w
t
f
So
E q.

Eq. Seg
uridad
Co
Eq
cion
.R
m
es
un
e
Em
c
ic
u
erg
p.
ac
e nc
io
R
ia
e
ne
d
s

an

t
or
sp

ario

Eq
.S
alv
am
en
Eq
to
.S
um
ini
Eq .
str
So
os
p
.
Eq.
Ad
mt
Pre
vo.
p
Ar . D a
chi
vos tos /

c
Ac

n
i

te
n
a

er
m
E

c
ni
e
g

Eq. Aplicaciones

.
Eq

.
Eq

Re

DESARROLLAR
ESTRATEGIAS
RECUPERACI
RECUPERACIN

u
re Us
ardwa
Eq . H

n
i
c
ca
i
ub

BCP /
DRP

De
te
r
Da min
o ac
s in

ANLISIS
IMPACTO
NEGOCIO

Eq
.

AUDITORIA
AL BCP

BIBLIOTECAS
FUERA DEL
SITIO

Ope
ra

Pers

BIBLIOTECAS
FUERA DEL
SITIO

onal
Cve.
P/To
ma D
ecisi
ones

ANLISIS
IMPACTO
NEGOCIO

P R UE B A S
DEL
BC P

COMPONENTES
DE UN BCP
EFECTIVO

BCP /
DRP

N
I S
CC I A
LE EG N
SE RAT ACI
R
T
ES UPE
C
RE

Respa
ldos d
e S um
Re q u e
inistro
ridos
s

AUDITORIA
AL BCP

ORGANIZACIN Y
res en Redes
st
sa
e
D
.
up
ec
R
os
Metod
RESPONSABILIDADES
s
e
r
vido
r
e
n S
e
s
e
astr
s
e
. D
p
u
c
Se
s Re
o
g ur
d
o
os
Me t
Arreglo
Redundante de
Tolerancia Fallas en Servidores
Discos

Especificaciones

Ej e c u c i
Docum
e nt

ar Re
sultad
os

ados
t
l
u
s
e
ar R
Analiz

AUDITORIA
AL BCP
ANLISIS
IMPACTO
NEGOCIO

PRUEBAS
DEL BCP

nto
e
i
nim
COMPONENTES
DE UN BCP
EFECTIVO

BCP /
DRP

N
I S
CC I A
LE EG N
SE RAT ACI
R
T
ES UPE
C
RE

nte
a
M

BIBLIOTECAS
FUERA DEL
SITIO

ORGANIZACIN Y
RESPONSABILIDADES

Res
p
Doc aldo de
ume
ntac Medios
in
y

Segu
r

Procedimientos
Periodicos de
Respaldo

idad

Controles

BIBLIOTECAS
FUERA DEL SITIO
PRUEBAS
DEL BCP

AUDITORIA
AL BCP

BCP /
DRP

ANLISIS
IMPACTO
NEGOCIO
N
I S
CC I A
LE EG N
SE RAT ACI
R
T
ES UPE
C
RE

COMPONENTES DE UN
BCP EFECTIVO

in
c
a
ada
ot
t
R
o
R
e
n
d

i
c
cia
nta
n
e
e
um
cu
c
e
o
r
F
y D
s
o
edi
M
iento
m
e
a
d
n
os
mace el Sitio
l
p
A
i
l
e
T
e ra d
ros d
u
t
s
F
i
g
r re
e
n
e
t
Man

ORGANIZACIN Y
RESPONSABILIDADES

Ev a
lu
Fue ar Alm
ra d
a
el S cenam
ient
itio
o

Entrevistar
Personal
Clave

Evalua
r Prue
bas An
teriore
s

Revisar BCP
BIBLIOTECAS
FUERA DEL
SITIO
PRUEBAS
DEL BCP

AUDITORIA
AL BCP

BCP /
DRP

ANLISIS
IMPACTO
NEGOCIO
N
I S
CC I A
LE EG N
SE RAT ACI
R
T
ES UPE
C
RE

COMPONENTES
DE UN BCP
EFECTIVO

d
i da
r
u
o
Seg l Siti
r
lua a de
a
v
E
el
ue r
d
F
s
nto
ato erno
r
e
i
t
n
o
am
Alt
C
n
e
o
r
ac
isa mient
v
e
Alm
R
a
ces
o
r
P
eguros
S
e
d
a
r
u
t
ber
Revisar Co

ORGANIZACIN Y
RESPONSABILIDADES

Bibliografa

Instituto de continuidad del negocio

2005 CISA Review Course

2005 ISACA All Rights Reserved

Captulo 5 pgina 100

Planeacin y Administracin de
Contingencias

2005 CISA Review Course

2005 ISACA All Rights Reserved

Captulo 5 pgina 101

Janco Associates, Inc

2005 CISA Review Course

2005 ISACA All Rights Reserved

Captulo 5 pgina 102

Instituto Internacional para la Recuperacin

de Desastres

2005 CISA Review Course

2005 ISACA All Rights Reserved

Captulo 5 pgina 103

Archivo

2005 CISA Review Course

2005 ISACA All Rights Reserved

Captulo 5 pgina 104

Agencia Federal de Administracin de

Emergencias

2005 CISA Review Course

2005 ISACA All Rights Reserved

Captulo 5 pgina 105

2005 CISA Review Course

2005 ISACA All Rights Reserved

Captulo 5 pgina 106

FIN