Escolar Documentos
Profissional Documentos
Cultura Documentos
TRABAJO DE INVESTIGACIÓN
INGENIERO DE SISTEMAS
TUTOR
GABRIEL ALBERTO PUERTA
TÍTULO DEL DIRECTOR DEL PROYECTO
GLOSARIO .............................................................................................................. 5
RESUMEN ............................................................................................................... 7
INTRODUCCION ..................................................................................................... 8
CONCLUSIONES .................................................................................................. 31
RECOMENDACIONES .......................................................................................... 32
ANEXOS ................................................................................................................ 34
3
LISTA DE FIGURAS
pág.
BCM. Ciclo de vida del negocio, institución del fomento al talento humano, 2013
recuperado de: ttps://www.fomentoacademico.gob.ec/wp-
content/uploads/downloads/2013/08/plan_de_continuidad_de_negocios.pdf
4
GLOSARIO
PLAN: Se trata de una o varias ideas que son trazadas a través de un diagrama o
flujograma a seguir, donde se detallan los paso que se ven a realizar en función del
tiempo, tiene como propósito dar solución a una problemática y resolver una
situación crítica.
AMENAZA: Persona, situación o evento natural del entorno (externo o interno) que
es visto como fuente de peligro, catástrofe o interrupción. Ejemplos: inundación,
incendio, robo de datos, virus, sabotaje, aplicativos mal diseñados, errores
humanos, fallo de equipos, entre otros. (Gobierno en Línea, Ministerio de
Comunicaciones, 2009).
IMPACTO: Se puede definir como las consecuencias para el negocio dado el daño
del activo o como la evaluación del efecto o consecuencia del riesgo. Generalmente,
la implicación del riesgo se mide en aspectos económicos, financieros, integridad e
imagen de las personas o empresas, disminución de capacidad de respuesta y
competitividad, interrupción de operaciones, entre otros (Gobierno en Línea,
Ministerio de Comunicaciones, 2009).
RESILIENCIA: Este término sirve para indicar que algo puede sufrir un fallo y a
pesar de ello seguir operando. Muchas veces se utiliza como si fuera un valor
absoluto y, sin embargo, como sucede con los términos "cerca" o "lejos" el concepto
5
de robustez es relativo y su alcance debe ser definido en cada utilización. Ejemplo:
La duplicación del suministro eléctrico mejora la robustez ó resistencia de las
instalaciones frente a cortes de electricidad, pero el lugar puede volverse inservible
si el fallo eléctrico afecta a ambos suministros.
6
RESUMEN
Palabras clave:
ABSTRACT
There were such events that result in uncontrollable events such as earthquakes,
floods or the very fact of labor holes, which could generate irrecoverable
catastrophes or impact the continuity of the business that is affected in the productive
process for which it is intended, ie they are a threat, for this purpose it is proposed
to make a business continuity plan (BCP in English Bussines Continuity Planning),
which allows to recover and restore the most vital processes, even when
catastrophic events occur, the BCP considers contemplating the security of the
resources human in the first instance, then recognize the activities and resources
that guarantee the critical functions of the organization, all the practices proposed in
the plan must be tested before their implementation. The plan is based on the ISO
22301 standard, which are the requirements that order or guide business continuity.
Keywords:
7
INTRODUCCION
8
1. ESQUEMA DE UNA BCM
En la figura Nº1, se puede apreciar como el “SGCN toma insumos de las partes
interesadas, requerimientos para la gestión de la continuidad, y a través de las
necesarias acciones y procesos produce resultados de continuidad para cumplir con
los requerimientos”. (ISO 22301:2012) En esta misma figura, se observa cada
componente del modelo. El “establecimiento” es el Plan. Allí se aprecian los
principales requerimientos. Las secciones 4, 5, 6 y 7 de la norma corresponden al
establecimiento. Seguidamente se tiene la “implementación y operación”, el cual es
el Do; esta etapa del proceso está compuesta por los requerimientos de la sección
8. Contemplamos en la figura sus principales requerimientos. Luego se tiene la fase
“monitoreo y revisión”, la cual representa al Check. Allí se pueden apreciar los
principales requerimientos de esta sección. Esta fase comprende los requerimientos
9
de la sección 9 de la norma. Finalmente, se tiene la fase de “mantenimiento y
mejora”, representando a la fase Act, la cual engloba todos los requerimientos de la
cláusula 10 de la norma.
Cuando una organización desea iniciar la implantación del modelo ISO 22301:2012
siempre se genera la interrogante de ¿por dónde empezar? ¿Será conveniente
iniciar con el Business Impact Analysis? ¿O con la estructura para responder a
incidentes? En fin, hay una serie de opciones disponibles. La manera adecuada es
ir de lo general a lo particular. En la figura Nº 4, se han categorizado las cláusulas
de la norma en “globales” y “focales”. Para el inicio del proceso de implantación es
recomendable atender primero a las cláusulas globales y luego iniciar las focales.
Las cláusulas globales, permiten crear la plataforma inicial en la construcción del
SGCN. Las cláusulas focales son la parte netamente técnica de la norma y
requieren para su desarrollo de la infraestructura que desarrollan las globales. El
comité 223 de ISO está actualmente trabajando en la elaboración del Lineamiento
22313. Este documento consistirá en buenas prácticas y recomendaciones,
indicando qué prácticas una organización debiera desarrollar para implementar un
SGCN eficaz. Este documento podrá ser utilizado como guía para la implantación
del modelo, o también para efectos de usarlo como autoevaluación. Se estima que
este documento estará publicado a finales de 2012 o primer trimestre de 2013.
10
2. DETERMINACION DE LAS AMENZAS.
Una Amenaza es un posible evento o acción que puede generar un riesgo para una
organización tanto en su infraestructura, como en su operatividad, es por ello que
determinar esas amenazas es indispensable para el plan de continuidad del
negocio, por ejemplo, los sucesos de origen físico como eventos naturales o daños
causados por la intervención humana son importantes en la determinación de su
causa, impacto y posible solución.
Límite
Nivel Límite superior
inferior
0>= Bajo <=3
NIVEL
IMPORTANCIA
AMENAZAS ACTIVO AFECTADO PROBABILIDAD DEL
DEL RIESGO
RIESGO
Aplicativos Bajo 4 8
Robo o
Equipos Bajo 4 12
perdida
Hardware Medio 4 12
11
Redes Bajo 4 6
Soportes de Datos Medio 4 8
Información Sensible Medio 4 7
Software Bajo 4 5
Equipos Alto 4 5
Acceso no
autorizado / Hardware Medio 2 5
Intrusiones / Redes de
Bajo 2 5
ataques Comunicaciones
Soportes de
Medio 3 9
Información
Instalaciones Físicas Bajo 3 5
Información Sensible Alto 4 10
Software Medio 4 5
Borrado/ Equipos Bajo 3 5
Modificación Hardware Bajo 3 5
/ Copia de Redes de
Información Medio 3 5
Comunicaciones
Soportes de
Medio 3 12
Información
Software Medio 2 5
Equipos Medio 3 12
Fallos o Hardware Medio 3 5
caídas de Comunicación de
sistema Alto 2 5
Redes
Soportes de
Medio 2 7
Información.
Información Sensible. Bajo 3 12
Software. Bajo 3 12
Equipos Bajo 3 12
Hardware Bajo 3 10
Vandalismo Redes de
Bajo 3 12
Comunicaciones.
Soportes de
Bajo 3 10
Información.
Instalación Físicas Medio 4 10
Información Sensible Bajo 3 12
Catástrofes Software. Bajo 3 12
Naturales Equipos Bajo 3 12
Hardware Bajo 3 10
12
Redes de
Bajo 3 12
Comunicaciones
Soportes de
Bajo 3 10
Información
Instalaciones Físicas Bajo 4 12
Información Sensible Bajo 3 8
Software. Bajo 3 10
Eventos de Equipos Bajo 3 12
Factor Hardware Bajo 3 10
Humano Redes de
(huelga Bajo 3 12
Comunicaciones
Laboral) Soportes de
Bajo 3 8
Información
Instalaciones Físicas Bajo 4 12
Riesgos en Personas
Riesgos en Procesos
• Falta de administración
• Carencia de dueños de procesos.
• Falta de controles
• Falta de procedimientos alternos
• Dependencias entre procesos
• Limitaciones de capacidad
• Falta de definición de acuerdos de nivel de servicio.
• Falta de documentación
• Dependencia y falta de control de proveedores.
13
Riesgos en Infraestructura Tecnológica
14
3. IDENTIFICACIÓN DE COMPONENTES CRÍTICOS.
Los procesos definidos como críticos se seleccionan con base en los resultados y
análisis de las entrevistas realizadas a los dueños de procesos. Los procesos que
no se incluyeron en el análisis de impactos y la evaluación de riesgos son aquellos
que tienen que ver con la estrategia y control y los procesos de planeación y
factibilidad.
Los factores que primaron para seleccionar los procesos críticos son: la
participación en la entrega directa de servicio a los clientes y como una interrupción
en el proceso puede afectar esta entrega e incumplir los acuerdos de servicio
pactados con los clientes actuales.
Procesos Financieros
Tabla de nivel de impacto: se presenta una tabla con el nivel de impacto en cada
proceso crítico.
Límite
Nivel Límite superior
inferior
0>= Bajo <=3
15
Para comprender mejor el impacto en el proceso financiero de la empresa se
presenta la siguiente tabla con la que se pretende resumir y tener un concepto
general de lo que sucede en caso de que se presente una catástrofe natural o si por
algún motivo la organización deja de realizar su actividad comercial.
Perdida Dias de
Funciones
Procesos Monetaria Impacto supervivencia
Proceso de
Ventas $35.000.000 Alto 30 días.
Ventas
Despachos $2.500.000 Alto 3 día
Facturación $150.000 Alto 10-15 días.
Proceso de
compra $7.450.000 Alto 10 días
Recepción
Compras Mercancía. $3.480.000 Alto 12 días
Facturación $100.000 Alto 10-15 días.
Calidad $10.000.000 Medio 20 días
Proceso de
Atención al Atención $4.750.000 Alto 5 días
Cliente Solución de
quejas $2.300.000 Alto 5 días
Procesos Operativo.
Tabla de nivel de impacto: se presenta una tabla con el nivel de impacto en cada
proceso crítico.
Límite
Nivel Límite superior
inferior
0>= Bajo <=3
16
Uno de los procesos fundamentales para el buen funcionamiento de la organización
es la operatividad, que implica el flujo que genera la compra y venta de productos
comerciales es por ello, que se presenta la siguiente tabla para entender de forma
general el impacto en tan vital proceso.
Dias de
Funciones
Procesos Personal Impacto supervivencia
Proceso de
Ventas Técnico Comercial Alto 30 días.
Ventas
Despachos Logística Alto 3 día
Facturación Contable Alto 10-15 días.
Proceso de
compra Técnico Comercial Alto 10 días
Recepción
Compras Mercancía. Logística Alto 12 días
Facturación Contable Alto 10-15 días.
Calidad Logística Medio 20 días
Proceso de
Atención al Atención Técnico Comercial Alto 5 días
Cliente Solución de
quejas Técnico Comercial Alto 5 días
Procesos Legales.
Tabla de nivel de impacto: se presenta una tabla con el nivel de impacto en cada
proceso crítico.
Límite
Nivel Límite superior
inferior
0>= Bajo <=3
17
Se presenta entonces una tabla que permita la fácil comprensión de donde el
impacto en procesos critico legal y sus consecuencias
Dias de
Funciones
Procesos Sanciones Impacto supervivencia
$
Proceso de Ventas - Alto 30 días.
$
Ventas
Despachos - Alto 3 día
-$
Facturación 7.500.000 Critico 10-15 días.
$
Proceso de compra 159.000 Alto 10 días
$
Recepción Mcia. - Alto 12 días
Compras
$
Facturación 100.000 Alto 10-15 días.
$
Calidad 700.000 Critico 20 días
$
Atención al Proceso de Atención - Alto 5 días
Cliente $
Solución de quejas - Alto 5 días
OTROS IMPACTOS
Los otros impactos que se dimensionaron por parte de los encuestados fueron:
Deterioro de servicio al cliente: el servicio al cliente se ve afectado desde el primer
minuto de interrupción, podríamos clasificar, en el sector de severo, los clientes
corporativos, que dependen totalmente de la organización como socio de negocio
para los servicios contratados.
18
Pérdida de productividad: después de una semana de interrupción se afecta de
manera importante la productividad de las personas, que puede aumentar el
impacto económico percibido.
Interrupción a otras áreas y/o entes externos: las interrupciones de otras áreas
(clientes internos), que ocasionaría en cadena una interrupción a los clientes
externos, además de afectar socios comerciales o filiales.
Afectaciones al estado de ánimo del personal: este es uno de los impactos que
refleja menor grado de severidad en las primeras horas, sin embargo, con eventos
superiores a una semana, se vuelve crítico para encontrar soluciones.
19
4. PLAN DE CONTINUIDAD.
20
PROCESOS DE ADMINISTRACIÓN DE LA CONTINUIDAD
21
y de tres a seis analistas de continuidad, con fortalezas en los diferentes temas y
dimensiones de continuidad (riesgos, impactos, procesos, cultura, tecnología,
infraestructura física, proveedores); sin embargo, en la implementación del sistema
de gestión de continuidad se determinará el número más adecuando de personas.
Responsabilidades:
Los analistas del sistema de continuidad de negocio (ASCN) Los analistas del
sistema de continuidad serán responsables por la coordinación y ejecución de las
22
actividades relacionadas con el sistema de gestión de continuidad de negocio. Perfil:
los analistas del sistema de continuidad de negocios deben tener conocimientos
detallados de la metodología implementada para la gestión de continuidad de
negocio en organización, ser líderes en ejecución de actividades, tener
conocimiento del funcionamiento de los procesos, la tecnología, los productos y
servicios entregados por organización. Responsabilidades
• Alinear y orientar a los dueños de los procesos para alcanzar los resultados de
continuidad proyectados y finalizar adecuadamente las actividades definidas en la
planeación. • Ejecutar, en trabajo de campo las actividades específicas definidas en
el plan de trabajo, diseñado por el líder de continuidad, con su asesoría y liderazgo.
23
• Apalanca las estrategias para establecer una cultura de continuidad de negocio
dentro de organización. • Permite mantener actualizados los planes de respuesta
(continuidad, contingencia, crisis, emergencias) de organización. • Mayor confianza
en las actividades de cumplimiento como resultado del seguimiento y la
actualización continúa de los planes de respuesta.
ASPECTOS A CONSIDERAR
Se requiere de personas con una asignación de tiempo completo, que velen por el
cumplimiento y mantenimiento del sistema.
24
EQUIPOS DE RECUPERACIÓN
25
5. PLAN DE PRUEBAS
BCM. Ciclo de vida del negocio, institución del fomento al talento humano, 2013 recuperado de:
ttps://www.fomentoacademico.gob.ec/wp-content/uploads/downloads/2013/08/plan_de_continuidad_de_negocios.pdf
26
Liderazgo de la alta administración
Definición de responsabilidades
Creciente conocimiento
Capacitación
Ejercicios.
Procesos,
Estructura,
Servicios,
Proveedores,
Unidades o líneas de negocios, Productos, etc.
Eventos externos (ej. cambios en normativas o políticas financieras o de
gobierno, desastres naturales, etc.), que afecten la continuidad del negocio.
27
En caso que una amenaza fuera detectada y los controles de riesgo resulten
eficaces: se corrigen solamente aspectos menores del plan para mejorar la
eficacia.
En caso que la amenaza esté prevista pero los controles de riesgo sean
ineficaces: debe analizarse la causa del fallo y proponer nuevos controles de
riesgo.
En caso de que la amenaza no esté prevista: debe promoverse un nuevo
análisis de la Matriz de riesgos. Es posible que los controles de riesgo
adoptados sean eficaces para un evento de riesgo no previsto, no obstante,
esto no es justificativo para evitar el análisis de lo ocurrido.
c.- Simulación Simula el tipo de alteración, permite practicar el plan y validar una o
más partes del plan
d.- Interrupción completa Activa todos los componentes Parte del hecho de que
todos los procesos esenciales se han alterado
o Recursos Humanos
o Recursos Tecnológicos
28
o Recursos no tecnológicos
o Documentación formularios de respaldo, Etc.
29
Cronograma de Pruebas
En el cronograma se especificará:
30
CONCLUSIONES
31
RECOMENDACIONES
32
BIBLIOGRAFÍA O REFERENCIAS
Modelo para el gobierno de las TIC basado en las normas ISO. (2012). España:
AENOR - Asociación Española de Normalización y Certificación. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID
=10637138&tm=1456691942576
Ross, J. W., & Weill, P. (2004). Seis decisiones de TI que no debe dejar en
manos del departamento de TI. España: Ediciones Deusto - Planeta de Agostini
Profesional y Formación S.L. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=1&docID
=10063648&tm=1456691972039
33
ANEXOS
34
Definición de Términos
- Un plan de contingencia,
- Un plan de reanudación,
- Un plan de recuperación.
El éxito del manejo de los procesos frente a cualquier evento estará en función de
la respuesta técnica y la competencia en el manejo de la situación. Está orientado
a asegurar la continuidad del negocio, la satisfacción del cliente y la productividad
a pesar de eventos inesperados. Se ejecuta permanentemente como parte de la
administración de riesgos tanto en la información como en la operación.
35
Seguridad de la Información. - Característica de la información que se logra
mediante la adecuada combinación de políticas, procedimientos, estructura
organizacional y herramientas informáticas especializadas a efectos que dicha
información cumpla los criterios de confidencialidad, integridad y disponibilidad.
36
Integridad. - La información debe ser completa, exacta y válida.
37