DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BAJO LA NORMA ISO 22301 EN EL PROCESO PAGO DE PENSIONES DE LA UNIVERSIDAD PRIVADA DE TACNA - 2014

UNIversidad privada de tacnaFacultad de Ingeniera - Escuela Profesional de Sistemas

Primer Informe

PLAN DE TESIS

DESARROLLO DE UN PLAN DE CONTINUIDAD DEL NEGOCIO BAJO LA NORMA ISO 22301 EN EL PROCESO PAGO DE PENSIONES DE LA UNIVERSIDAD PRIVADA DE TACNA - 2014Yudith Milagros Mamani Chata

TACNA, JUNIO 2014

i

4

NDICE GENERALPgina

NDICE GENERAL2NDICE DE TABLAS5NDICE DE FIGURAS5INTRODUCCINviCAPITULO I7DATOS GENERALES71.1.Ttulo del Proyecto71.2.rea de Investigacin71.3.Autor71.4.Asesor71.5.Institucin donde se realizar la Investigacin71.6.Entidades o personas con las que se coordina el proyecto81.7.Duracin del proyecto8CAPITULO II9PLANTEAMIENTO DEL PROBLEMA92.1Planteamiento del Problema92.1.1Descripcin del problema92.1.2Antecedentes del problema112.1.3Formulacin del problema182.2Justificacin e importancia de la investigacin182.2.1Justificacin de la investigacin182.2.2Importancia de la investigacin192.3Alcances y limitaciones202.4Objetivos de la investigacin222.4.1Objetivo General222.4.2Objetivos Especficos222.5Elaboracin de hiptesis222.5.1Hiptesis general222.5.2Hiptesis Especficas222.6Variables de estudio, operacionalizacin e indicadores222.6.1Operacionalizacin de variables222.6.2Proceso de Operacionalizacin24CAPITULO III25MARCO TERICO253.1Antecedentes253.1.1BS 25999-1:2006263.1.2BS 25999-2263.2Bases tericas cientficas293.2.1Plan de Continuidad del Negocio293.2.2Plan de Recuperacin ante Desastres313.2.3Ciclo PDCA313.2.4Anlisis de Riesgos323.2.5Desarrollo de Estrategias de Recuperacin393.2.6ISO 22301403.2.7Normas relacionadas453.3Definiciones49CAPITULO IV53MARCO METODOLGICO534.1Tipo de Investigacin534.2Diseo de la Investigacin534.3Poblacin y muestra de estudio544.3.1Poblacin544.3.2Muestra544.4Tcnicas e Instrumento de la Investigacin56CAPITULO 558ADMINISTRACIN Y PRESUPESTO585.1. Plan de Acciones y Cronograma585.2 Asignacin De Recursos595.2.1. Recursos Humanos595.2.2. Recursos Materiales605.3Presupuesto Bienes y Servicio60CAPTULO 662ESQUEMA TENTATIVO DE TESIS62BIBLIOGRAFA65ANEXOS67Anexo 01 Matriz de Consistencia67Anexo 02. Entrevista N 0168Anexo 03. Cuestionario N0170

NDICE DE TABLASPgina

Tabla 1 Operacionalizacin de variables24Tabla 2 Probabilidad36Tabla 3 Parmetros de Probabilidad36Tabla 4 Impacto36Tabla 5 Parmetros de Impacto37Tabla 6 Niveles de Riesgo37

NDICE DE FIGURASPgina

Figura 1 Historia de las normas acerca de Continuidad de Negocio25Figura 2 Periodo de transicin de la norma BS 25999 y la norma ISO 2230128Figura 3 Elementos del PDCA31Figura 4 Matriz de Riesgo38Figura 5 Diagrama de la norma ISO22301 Proceso de Implementacin41Figura 6 reas de la continuidad del negocio42

70

INTRODUCCIN La investigacin del presente tema consiste en el Desarrollo de un Plan de Continuidad del Negocio que tiene como objeto realizar el anlisis correspondiente en la Universidad y desarrollar el plan que ayude a la continuidad del proceso de Pago de Pensiones. Debido a la carencia de un BCP para la entidad es que se requiri esta investigacin. Un plan de Continuidad del Negocio nos ofrece estrategias para hacer frente a las amenazas que pueden a llegar generar cuantiosas prdidas financieras, tiempo de operatividad e inclusive vida humanas. Se busca beneficiar a la entidad, puesto que se aplica sobre sus procesos ms significativos; ya que un Plan de Continuidad de Negocio brinda la seguridad para que los procesos crticos sigan continuando con normalidad ante un posible incidente. Adems el BCP busca resolver los incidentes que afecten la productividad de una organizacin por lo que su aplicacin reducira los costes por la interrupcin del proceso que este bajo las estrategias de recuperacin.

El Autor.

CAPITULO IDATOS GENERALES1.1. Ttulo del ProyectoAplicacin de la Metodologa BCP bajo la norma ISO 22301 en los Procesos Crticos del rea Administrativa de la Universidad Privada de Tacna - 2014 1.2. rea de InvestigacinEl rea tomada para la investigacin est involucrada con la Seguridad de Informacin, cuyo tema est comprendida en los cursos finales de la carrera de Ingeniera de Sistemas en la Universidad Privada de Tacna. 1.3. AutorYudith Milagros Mamani Chata1.4. AsesorIngeniero Roberto Liendo 1.5. Institucin donde se realizar la InvestigacinUniversidad Privada de Tacna ubicada en la ciudad de Tacna, provincia de Tacna, departamento de Tacna en el Per.1.6. Entidades o personas con las que se coordina el proyectoLa entidad involucrada es la Universidad Privada de Tacna, puesto que la informacin y entrevistas se realizarn en dicha entidad.1.7. Duracin del proyectoLa duracin del proyecto es de 6 meses.

CAPITULO IIPLANTEAMIENTO DEL PROBLEMA1 2 Planteamiento del ProblemaDescripcin del problemaEn la actualidad los procesos, servicios o productos de una empresa se ven amenazados por eventos alteradores que impiden su funcionamiento normal y su continuidad, por ello se requiere del uso de soluciones o estrategias que sean capaces de recuperarse de estos eventos o que reduzcan en lo ms mnimo la magnitud de prdida y el tiempo de perdida. El hecho de que un evento alterador tenga la probabilidad de volverse realidad es lo que se denomina como Riesgo y es lo que se busca mitigar.En el Per claramente existen toda clase de dificultades que amenazan la seguridad y continuidad de procesos de negocio por lo que en su mayora las entidades financieras se ven obligadas a requerir de planes de continuidad, de contingencia y derivados; inclusive existe una resolucin dictada por la Superintendencia de Banca, Seguros y AFP (SBS) en el cual el Artculo 20 describe:Las empresas debern elaborar un Plan de Contingencia de Riesgo de Mercado que les permita afrontar escenarios de estrs que impacten negativamente en sus resultados. ()Con ello se puede deducir que el desarrollo de este tema est respaldado bajo leyes y normas que controlan aspectos que se consideran importantes a tal punto que es necesaria su regulacin para su correcto cumplimiento. Las entidades ubicadas en Tacna desarrollan deficientemente las normativas que aseguran la continuidad en los Procesos de Negocio, se piensa que trminos como Seguridad va dirigida slo a empresas de mbito financiero pero dicha propiedad es necesaria para cualquier Empresa de cualquier mbito, ya que en un momento aleatorio se encuentran con incidencias o eventos de seguridad que deben afrontarse.La Universidad Privada de Tacna, es una de las Universidades de mayor prestigio ubicada en el departamento de Tacna, no cuenta con un Plan de Continuidad del Negocio. Si bien sigue procedimientos informales, no estn listos para cada riesgo que amenace los procesos crticos. Es por ello que se desarrollar esta investigacin.Para observar la situacin de la entidad se realiz una entrevista al actual Jefe del centro de cmputo y se identific que no se contena con procesos bien definidos/documentados, no se haba determinado los riesgos crticos, por lo tanto no tena lo necesario para un Plan de Continuidad del Negocio (Ver Anexo 01). Debido a ello es que se propone la investigacin actual. Antecedentes del problemaEl tema de la presente Investigacin cuenta con variedad de documentacin acerca de la misma y aplicndose diversas metodologas, se consider como base de antecedentes aquellos relacionados con BCP, DRP, SGCN y Plan de Contingencias de los cuales son los siguientes:1. PROPUESTA DE DISEO DE UN PLAN DE CONTINUIDAD DE NEGOCIO (BCP) EN EL PROCESO DE ABASTECIMIENTO DE UNA EMPRESA EMBOTELLADORA DE GASEOSAS (Reyes, 2013)Cuya investigacin fue desarrollada por Reyes, A.Sus objetivos fueron: Disear una propuesta de Plan de Continuidad del Negocio, con la finalidad de una vez aplicado luego de la decisin de la Empresa tenga la continuidad de los subprocesos crticos del proceso y su flujo de trabajo, previniendo grandes impactos cuantitativos y cualitativos.Sus conclusiones: Todas las empresas en la actualidad deben mtodos en lo que sus operaciones no sean afectadas, debido a los constantes cambios en las condiciones climticas, polticas, culturales, etc. Por lo que la empresa Embotelladora de Gaseosas consider la importancia de disear un Plan de Continuidad (BCP) para sus procesos ms crticos. El objetivo general de la investigacin se ha cumplido con el desarrollo del Plan de Continuidad (BCP) para el proceso de Abastecimiento, el mismo que fue aprobado por la gerencia. El Sponsor estableci como segunda etapa del proyecto un programa de capacitacin y pruebas con el personal involucrado en el proceso. Los objetivos especficos de este proyecto fueron cumplidos, debido a que se realizaron entrevistas en donde se identificaron los eventos de riesgo del proceso de Abastecimiento, se categorizaron de acuerdo a las fuentes genricas, se identificaron los riesgos de mayor probabilidad e impacto y de los cuales se dise estrategias de recuperacin.

1. PLAN DE CONTINGENCIA DE LOS EQUIPOS Y SISTEMAS INFORMTICOS EN EL GOBIERNO AUTNOMO DESCENTRALIZADO MUNICIPAL DEL CANTN JUNNFuente especificada no vlida.Sus objetivos fueron:Objetivo GeneralElaborar un plan de contingencia para proteger los equipos y sistemas informticos en el Gobierno Autnomo Descentralizado Municipal del Cantn Junn con el fin de precautelar la informacin, componentes fsicos y lgicos del mismo.Objetivos Especficos Determinar los activos relevantes para la Organizacin, su interrelacin y su valor actual. Detectar los riesgos y amenazas tanto fsicas como lgicas que puedan causar fallos en el normal funcionamiento de los sistemas de informacin. Definir las actividades de ejecucin de las tareas destinadas a proteger la informacin contra los daos y perjuicios producidos por corte de servicios, fenmenos naturales o humanos. Establecer un plan de recuperacin, formacin de componentes e instruir al personal, para recuperar la operatividad del sistema en el menor tiempo posible.Sus conclusiones: Mientras el valor del hardware se deprecia en su valor monetario el valor de la informacin incrementa de una manera considerable para la Institucin. Con la ponderacin del riesgo se puede establecer que los activos dentro de la institucin estn propensos a mltiples amenazas de diversa ndole que podran materializarse en cualquier momento. Con la utilizacin de actividades destinadas a la proteccin de los equipos y sistemas de informacin se puede mitigar el riesgo de una forma considerable para la institucin. Con la implementacin de cualquier tipo de salvaguardas no existe la seguridad de eliminar totalmente la amenaza y por ende el riesgo que conlleva para los activos. El Plan de contingencia servir como una gua didctica en caso de que se materialice una amenaza afectando al normal funcionamiento de la Institucin. Estableciendo adems una manera ordenada de actividades que se deben de poner en prctica, el Municipio del Cantn Junn contar con una herramienta muy importante la cual le permitir recuperarse ante las posibles fallas y siniestros ocasionados por agentes internos o externos a la misma.

1. DISEO DE UN SISTEMA DE GESTIN DE CONTINUIDAD DE NEGOCIOS (SGCN) PARA LA RENIEC BAJO LA PTICA DE LA NORMA ISO/IEC 22301. Fuente especificada no vlida.Siendo una tesis presentada para optar el ttulo de Ingeniero Informtico, que presenta el bachiller Laura Daiana Castro Marquina en la PONTIFICIA UNIVERSIDAD CATLICA DEL PER.Objetivo GeneralDisear un modelo de Sistema de Gestin de Continuidad de Negocios (SGCN) para el Registro Nacional de Identificacin y Estado Civil (RENIEC)bajo la ptica de la norma ISO/ IEC 22301.Objetivos EspecficosOE1. Modelar los procesos del negocio establecidos como alcance de la gestin de continuidad de negocios OE2. Elaborar el Anlisis de Riesgos de la Organizacin.OE3. Elaborar un Anlisis de Impacto al Negocio (BIA).OE4. Elaborar un Plan de Manejo de Crisis.OE5. Realizar un Plan de Emergencia bajo escenarios de desastres especficos.OE6. Elaborar un Plan de Recuperacin de Desastres (DRP).OE7. Elaborar un Plan de Continuidad de Negocios (BCP).OE8. Desarrollar un Plan de Pruebas que sea consistente con el alcance del Plan de Continuidad de Negocios y permita manejarlo de forma precisa.Conclusiones Respecto al modelamiento de los procesos se identific que es relevante el mantenerlo actualizado, pues el no tener documentados ni actualizados los procesos de negocio en RENIEC, implic realizar el modelamiento, producindose una demora en la realizacin del SGCN. En el Anlisis de Riesgos, se identific que RENIEC no cuenta con una matriz actualizada de los mismos, lo que implica no identificar riesgos que a futuro pueden ser perjudiciales para la organizacin e incluso para la continuidad del negocio. El Anlisis de Impacto de Negocios abarc ambos procesos core de RENIEC (Proceso de Identificacin y de Registros Civiles) y los tiempos objetivos de recuperacin hallados estn estrechamente ligados a cambios en los procesos o manejo de los mismos. Las Estrategias de Continuidad de Negocios han sido propuestas y divididas a nivel estratgico, tctico y operacional que implica cubrir toda la organizacin y que se deben adoptar en RENIEC para lograr una recuperacin de las reas implicadas garantizando que aplicaciones crticas se encuentren disponibles para uso en el Sitio Alterno de Operaciones luego de ocurrido el desastre.

1. DISEO E IMPLEMENTACIN DE UN DRP (DISASTER RECOVERY PLAN) PARA DEPARTAMENTO DE INGENIERAS DE LA EMPRESA CONTINENTAL TIRE ANDINA. Fuente especificada no vlida.

TESIS PREVIO A LA OBTENCIN DEL TITULO DE MAGISTER EN GERENCIA DE SISTEMAS DE INFORMACIN en la ciudad de Cuenca-Ecuador por el ingeniero Ing. Marcelo Rolando vila Vsquez.Objetivo General Elaborar un directorio de procedimientos, planes de contingencia en caso de presentarse eventualidades, desastres, en el sistema integrado de manufactura (SIM), dentro del departamento de Ingenieras de la Empresa Continental Tire Andina, basado en estndares y normas fijadas por la divisin de TI de Continental Tire Amricas.Objetivos Especficos Analizar los sistemas existentes dentro del departamento de Ingenieras para definir requisitos previos, como el tipo de informacin, aplicaciones (por ejemplo: el Sistema Integrado de Manufactura, los Sistemas de Control, Supervisin y Adquisicin de Datos, etc.), infraestructura, entre otras. Especificar tcnicamente los requisitos en base a los estndares y normas fijadas por Continental Tire Amricas, necesarios para establecer, implantar e implementar un DRP dentro del departamento de Ingeniera de la empresa Continental Tire Andina S.A.Conclusiones El anlisis de riesgo efectuado en Continental Tire Andina S.A., permiti identificar las amenazas y vulnerabilidades tales como la probabilidad de impacto de riesgo de Inundacin debido a la ubicacin de la planta a la orilla de un ro y riesgo de un desastre areo por estar dentro de la ruta despegue y aterrizaje. De acuerdo al anlisis de riesgo se determin la falla de los computadores (IPC) por efecto de la temperatura, en planta para el control de proceso, debido a la contaminacin por Negro de Humo en la planta que especialmente se da en el rea de Mescladores. Se ha identificado la alta probabilidad e impacto de infeccin por virus informtico por efecto de conectar dispositivos de almacenamiento externos o reproductores de msica, etc. en las PC e IPC de registro de datos y control de maquinaria por parte de los obreros. Se detect tambin la falta de una campaa de socializacin de las normas y polticas internas de IT, para el manejo y uso de los recursos informticos, dirigida a los obreros y empleados de la compaa. El Anlisis de Impacto en el Negocio (BIA), permiti desarrollar estrategias de recuperacin que permiten restaurar los procesos y recursos crticos de la empresa de forma rpida y eficaz. Los procedimientos de recuperacin establecidos en el DRP, permitirn restaurar en el menor tiempo posible (8 horas = 1 Turno) los procesos crticos del rea de Ingenieras (Sistema Integrado de Manufactura, Programas PLC, Configuraciones de OPC, etc.), infraestructura, las comunicaciones de tal forma que la produccin de la empresa no se pierde y no genere prdidas. Al realizar las pruebas de recuperacin en las IPC se observ que ya se disponen en el mercado Unidades de Almacenamiento IDE, por lo que se migr a otro tipo de unidad de almacenamiento.Formulacin del problemaProblema General La Universidad Privada de Tacna cuenta con una gestin de continuidad del Negocio consolidado?Problemas especficos La Universidad Privada de Tacna cuenta con procesos identificados y documentados? La Universidad Privada de Tacna ha identificado riesgos que pueden originar paralizaciones?Justificacin e importancia de la investigacinJustificacin de la investigacinLa investigacin del presente tema es debida a la poca profundizacin del mismo, muchas empresas solo tienen como prioridad gestionar la informacin, generar conocimiento o implementar tecnologas. La norma ISO 22301 es beneficiosa ya que es aplicable a todo tipo de organizaciones (como por ejemplo: empresas comerciales, agencias del gobierno y organizaciones sin fines de lucro).El presente tema es importante porque ofrece una solucin constante acerca de los incidentes que ocurren en los procesos de negocio; debido a que un Plan de Continuidad de Negocio es un concepto fresco en la Seguridad de Informacin de la presente Entidad. Se busca beneficiar a la entidad, puesto que se aplica sobre sus procesos ms significativos; la creacin de un Plan de Continuidad del Negocio brinda la seguridad que los procesos de negocios sigan continuando con normalidad ante un posible incidente.Los resultados servirn para aquellos responsables de brindar seguridad en la informacin y para todo aquel que se encuentra a cargo de dar soporte a la entidad. Ya que una de las finalidades es generar estrategias de continuidad ante la amenaza de los riesgos.Esta investigacin ser til para que la organizacin sea capaz de recuperarse de situaciones que vulneran la seguridad de un proceso, en un tiempo tolerable para la continuidad del negocio.Con los resultados se pretende que un BCP pueda salvaguardar las prdidas financieras al recuperarse de un incidente que quebrante el flujo de las operaciones.Con el Plan de Continuidad del Negocio se consigue reducir las interrupciones de los procesos calves de una organizacin, ya que provee procedimientos que permiten incuso la toma de decisiones en caso de ocurrir un evento alterador. Importancia de la investigacinLa presente investigacin tomar el reconocimiento que merece puesto que los Procedimientos de Continuidad de Negocio es de vital importancia puesto se encargar de proteger los activos de informacin de la organizacin.En la actualidad no solo trata que una organizacin tenga lo ltimo en tecnologa o que gestione complejos sistemas de informacin. Salvaguardar los activos de informacin, hacerlos accesibles en el momento necesario slo al personal autorizado es lo que marca diferencia de otras organizaciones. La seguridad de la informacin implica tambin evitar aquellos eventos que la infringen y sobrellevarlas de modo que puedan restablecer aquellos procesos de negocio de valor.Alcances y limitacionesSe va a investigar la realizacin de Procedimientos de Continuidad de Negocio bajo la norma ISO 22301 el cual tendr el desarrollo sobre la Universidad Privada de Tacna.Los Procedimientos de Continuidad del Negocio tienen como objeto realizarse sobre los procesos de negocio en la Universidad Privada de Tacna en el ao 2014 y el desarrollo se precisa en el Proceso de Pago de Pensiones para su correcta objetividad. En la presente tesis de investigacin se regir de ISO 22301, y para la gestin de entregable se considerar las fases determinadas para seguir el procedimiento adecuado: proceder las etapas PDCA (Planificar, Hacer, Verificar y Actuar).Adems, si una organizacin desea implementar la norma ISO 22301, necesita la siguiente documentacin o por lo menos algunos de estos puntos: Lista de requisitos legales, normativos y de otra ndole Alcance del SGCN Poltica de la Continuidad del Negocio Objetivos de la continuidad del negocios Evidencia de competencias del personal Registros de comunicacin con las partes interesadas Anlisis del impacto en el negocio Evaluacin de riesgos, incluido un perfil de riesgo Estructura de respuesta a incidentes Planes de continuidad del negocio Procedimientos de recuperacin Resultados de acciones preventivas Resultados de supervisin y medicin Resultados de la auditora interna Resultados de la revisin por parte de la direccin Resultados de acciones correctivasEn las limitantes se tiene por entendido que se aplicara bajo la Norma de Continuidad de Negocio ISO 22301, el cual es el nico en su tipo en la serie 27000. No se aplicaran normas de la serie 27000 por ejemplo: ISO 27001, ISO 27002 u otras que no abarcan el BCP. Y se tomaran como inconvenientes para la realizacin de esta instigacin: El Acceso a la informacin requerida para la investigacin Resistencia al cambio por parte de los colaboradores de los procesos de negocio BurocraciaAdems cabe resaltar que las realizaciones de Pruebas no se aplicarn en el presente Plan de Continuidad puesto que requiere de mayor inversin, del cual no se cuenta con suficiente financiamiento con respecto a la aplicacin del Plan, pero en un aspecto positivo si se cuenta con financiamiento para el Anlisis y Diseo del BCP el cual se denomina como Desarrollo de estas fases. Objetivos de la investigacinObjetivo General Disear Procedimientos de Continuidad del Negocio para los riesgos de alto impacto en los procesos crticos.Objetivos Especficos Establecer una metodologa de documentacin de Procesos. Establecer una metodologa de documentacin de Riesgos.Elaboracin de hiptesisHiptesis general El desarrollo de los Procedimientos de Continuidad del Negocio permitir la operatividad del proceso frente a un evento alterador.Hiptesis Especficas El desarrollo de la Metodologa mejorar los procesos. El desarrollo de la Metodologa mejorar la identificacin de riesgos.Variables de estudio, operacionalizacin e indicadoresOperacionalizacin de variablesVariables independientes: Procedimientos de Continuidad del Negocio.Indicadores: Integridad Disponibilidad Prdida de Datos Informacin Tiempo de TrabajoVariables dependientes: Elementos de Continuidad Indicadores: Criticidad de Riesgos Criticidad de Procesos

Proceso de OperacionalizacinTabla 1 Operacionalizacin de variablesVariablesDefinicin ConceptualDefinicin OperacionalIndicadoresInstrumento

Variable Independiente:Procedimientos de Continuidad del Negocio.Representa toda aquella respuesta o estrategia para la prevencin de algn evento o incidente de seguridad.Tiene una escala de acuerdo al grado de aceptacin en la Universidad Privada de Tacna.IntegridadDisponibilidadPrdida de DatosInformacin Tiempo de TrabajoCuestionariotems 1-4

Variable Dependiente:Elementos de Continuidad

Representa lo caracterstico en la Continuidad del Negocio, definir los procesos y riesgos es parte de ello.Toma medidas de acuerdo a la criticidad de los Procesos y Riesgos.

Criticidad de RiesgosCriticidad de ProcesosCuestionariotems 5-11

CAPITULO IIIMARCO TERICO3 AntecedentesLas normas acerca de Continuidad de Negocios se han visto a travs del tiempo del siguiente modo:Figura 1 Historia de las normas acerca de Continuidad de Negocio

Fuente: ISO 22301El Plan de Continuidad de Negocios se dio a conocer con la norma britnica BS25999 teniendo dos partes publicadas en aos consecuentes, la primera en el ao 2006 y la segunda en el ao 2007.Debido a que las normas BS 25999 1 y 2 son las normas antecesoras a la norma internacional actual (ISO 22301) se vern a continuacin conceptos de cada una:BS 25999-1:2006Qu es BS 25999-1:2006?BS 25999-1:2006 es el cdigo para la prctica de Gestin de la Continuidad del negocio. Proporciona una visin general de los principios, procesos y terminologa de la planificacin de la continuidad del negocio y protege las funciones esenciales en tiempos de crisis. BS 2599-1:2006 acta como un nico punto de referencia para todas las organizaciones, industrias y sectores, que resumen las mejores prcticas para el desarrollo y la implementacin de un plan de gestin de la continuidad. BS 25999-1:2006 describe los requisitos para lograr la certificacin de la continuidad del negocio. Cmo funciona? BS 25999-1:2006 es el primero de la BS 25999 en dos partes. Se introduce la norma de gestin de continuidad del negocio y da una visin general del marco BS 25999. Todos los elementos del cdigo de conducta estn claramente definidos, tales como: alcance poltica identificar las funciones crticas del negocio desarrollo y gestin de un plan de continuidad especifica de negocio supervisar y mantener el rendimiento incorporar una cultura de conciencia de continuidad del negocio de la organizacin.BS 25999-2Una norma lder sobre continuidad del negocioLa BS 25999-2 es una norma britnica emitida en 2007 que rpidamente se ha convertido en la principal norma para gestin de la continuidad del negocio; aunque se trata de una norma nacional britnica, se utiliza tambin en muchos otros pases y se predice que pronto ser aceptada como una norma internacional (ISO 22301).Igual que las normas ISO 27001, ISO 9001, ISO 14001 y otras normas que definen los sistemas de gestin, la BS 25999-2 tambin define un sistema de gestin de la continuidad del negocio que contiene las mismas cuatro fases de gestin: planificacin, implementacin, revisin y supervisin; y por ltimo, mejora. El objetivo de estas cuatro fases es que el sistema se actualice y mejore permanentemente para que sea til si se produjera un desastre.Los siguientes son algunos de los procedimientos y documentos ms importantes requeridos por la BS 25999-2: alcance del SGCN: identificacin precisa de la parte de la organizacin en la cual se aplica la gestin de la continuidad del negocio; poltica de GCN: definicin de objetivos, responsabilidades, etc.; gestin de recursos humanos; anlisis de impactos en el negocio y evaluacin de riesgos; definicin de estrategia de continuidad del negocio; planes de continuidad del negocio; mantenimiento de planes y sistemas; mejoras.Plan de continuidad del negocioEl plan de continuidad del negocio incluye planes de respuesta a los incidentes, procedimientos de activacin para el plan de continuidad del negocio, como tambin planes de recuperacin para actividades crticas; todos estos planes se redactan en base a la estrategia de continuidad del negocio.Un plan de respuesta a los incidentes debe especificar cmo determinar tipos de incidentes, canales de comunicacin, tipo de respuesta, responsabilidad, etc.Los planes de recuperacin deben especificar roles y responsabilidades, pasos claves para la recuperacin, ubicaciones, recursos que se utilizarn y dnde se ubicarn, prioridades, cmo actuar cuando finaliza la recuperacin, etc.Mantenimiento de planes y sistemas; mejorasLa norma establece lo siguiente: ejercitar y probar regularmente los planes para familiarizar al personal con los planes y para verificar su actualizacin; realizar auditoras internas peridicas; revisiones por parte de la direccin para asegurarse de que el SGSI funciona y para realizar las mejoras correspondientes; tomar medidas preventivas y correctivas para mejorar no slo los planes sino tambin otros elementos del sistema.La Norma ISO 22301 hizo su aparicin en el ao 2012 para el reemplazo de la anterior norma britnica. Figura 2 Periodo de transicin de la norma BS 25999 y la norma ISO 22301

Se podra afirmar que sucesos lamentables como lo ocurrido el 11 de septiembre en Estados Unidos de Amrica, son los detonantes para que los BCP hayan sido tomados ms a conciencia. El atentado ocurrido el 11 de septiembre de las Torres Gemelas, genero grandes prdidas de informacin, de vidas humanas y de infraestructura. Las metodologas BCP, DRP, BIA, etc. son capaces de predecir y recuperarse de todo tipo de desastres o aquellos eventos que amenazan con los activos de informacin.Bases tericas cientficasPlan de Continuidad del NegocioEl tema principal es respecto al Plan de Continuidad del Negocio (BCP) de los cuales diferentes autores han dado conceptos diversos: El BCP es cmo la organizacin se prepara para futuros incidentes que pueden poner en peligro la continuidad esto se puede realizar por medio de polticas, procedimientos, protocolos, etc. Es la aplicacin de una metodologa interdisciplinaria, llamada cultura BCM. BCP (Business Continuing Plan) define las acciones a tomar en los casos en que un determinado evento inhabilite o interrumpa algn rea de operaciones o tecnologa; permite recuperar las operaciones crticas definidas del negocio. El Plan de Continuidad del Negocio (BCP) nos ayudar a establecer lo que debemos hacer para asegurar la supervivencia de una empresa o institucin en caso de que sta se viera sometida a una interrupcin no deseada de su negocio o funcionamiento. Por ello decimos que un Plan de Continuidad del Negocio nos da las estrategias, acciones preventivas o aquellas soluciones como prevencin en el caso de que ocurra algn incidente que amenace la operatividad y afecte la productividad de una organizacin.Si se quiere la aceptacin de un BCP se debe realizar una investigacin precisa mostrando los beneficios de la misma, en caractersticas que le interesen a la Alta Gerencia tales como: inversin, retorno de inversin, impacto en el negocio, etc.Sistema de Gestin de la Continuidad del NegocioPor lo tanto para la realizacin de un Plan de Continuidad del Negocio se requiere tener conocimiento acerca de su gestin: El Sistema de Gestin de la Continuidad del Negocio (SGCN) se ha convertido en una exigencia para las empresas que compiten el da de hoy en los mercados globalizados. La tendencia mundial es que ya las empresas no compitan entre s: la competencia es entre cadenas de suministros. Una cadena de suministros, para mantenerse operando, no puede tener ningn eslabn dbil y ninguno de sus componentes puede dejar de operar, ya que si un elemento del todo dejara de funcionar se paraliza toda la serie, generando el caos. Cada miembro del sistema tiene que demostrar que es un proveedor confiable. Esto se logra teniendo en cada empresa un SGCN que proteja a los procesos esenciales que permiten originar los productos o servicios que desea el cliente.Qu es un SGCN? Es parte del sistema de gestin gerencial que establece, implementa, opera, evala, mantiene y mejora la continuidad del negocio. Un SGCN da confianza a terceros, ya que ha identificado los procesos esenciales que soportan a los productos o servicios que se desean proteger de escenarios de amenazas producto del anlisis del riesgo (Alexander, 2007). Cada escenario de amenazas tiene una estrategia de continuidad que se materializa a travs de planes de reanudacin de operaciones que son ensayados regularmente. Una empresa con un SGCN ensayado peridicamente es bien difcil que deje de operar y no pueda suministrar sus productos o servicios.Plan de Recuperacin ante Desastres Este plan prcticamente apoya al Plan de Continuidad del Negocio, tiene como objetivo identificar aquellos eventos alteradores que estn relacionados con el rea de TI y brinda los procedimientos de recuperacin ante los eventos tecnolgicos que amenacen la continuidad. Tiene como punto principal el hecho de que un centro de cmputo da soporte a la organizacin y por ello es que este plan se considera necesaria para la presente investigacin.Ciclo PDCA Para la gestin con respecto a los entregables del Plan de Recuperacin de Desastres, Plan de Pruebas y dems se considera seguir esta metodologa de mejora continua.Figura 3 Elementos del PDCA

El ciclo PDCA o rueda de Deming, de las siglas en ingls Planificar (Plan), Hacer (Do), Controlar o verificar (Check), Actuar (Action) fue mejorado y llevado a la prctica por el Dr. Deming como una estrategia bsica de los procesos de mejora continua en las empresas. Fuente especificada no vlida.Parmetros del ciclo PDCAPlan Determinar lo que hay que hacer. Objetivos y su medida Determinar mtodos para alcanzar objetivosHacer Educar y ensear Implementar trabajosChequeo (verificar, controlar) El plan Resultados de soluciones Resultados globalesAccin Tomar las decisiones adecuadasAnlisis de RiesgosBusca determinar los eventos y situaciones externas que pueden afectar adversamente a la organizacin y su infraestructura, tanto por una interrupcin como por un desastre, evala el dao que dichos eventos pueden causar, y los controles requeridos para prevenir o minimizar los efectos de prdida potencial. Provee un anlisis costo-beneficio para justificar la inversin requerida para mitigar los riesgos identificados. (Direccion de Tecnologias de Informacion y Comunicaciones, 2014).Esta etapa est orientada a: Entender las prdidas potenciales. Determinar la exposicin de la Organizacin a prdidas potenciales. Identificar controles para prevenir o mitigar los efectos de prdidas potenciales. Evaluar, seleccionar y utilizar apropiadamente herramientas y metodologas para anlisis de riesgos. Evaluar la efectividad de los controles. Evaluar y controlar los riesgos. Administrar los registros vitales para el negocio.Los resultados del Anlisis de Riesgos sern utilizados como insumo para el desarrollo de la estrategia de TI, identificando oportunidades de mejora que ayuden a disminuir la proclividad del negocio a interrupciones. Debe entenderse que los riesgos identificados en este anlisis, nicamente debern ser considerados para preparar una estrategia de mitigacin de riesgos previo a cualquier interrupcin o desastre. No sern utilizados para estrategias o acciones durante o despus de un evento que provoque la interrupcin de los servicios.Anlisis de Impacto en el NegocioDentro del anlisis de riesgos hay que desarrollar un anlisis del impacto del negocio:El Anlisis de Impacto en el Negocio (BIA), dado que algunos de sus propsitos principales son determinar la urgencia por la recuperacin de las funciones del negocio e identificar los recursos necesarios para iniciar y mantener la operacin del negocio en un lugar alterno, deber ser llevado a cabo por todas las reas crticas del negocio.Dicho anlisis deber identificar claramente lo siguiente: Informacin general de las reas funcionales. Informacin de los niveles de impacto (cualitativo, cuantitativo, regulatorio). Informacin de las funciones crticas para la supervivencia del rea. Los requerimientos de recursos para el rea (instalaciones, tecnologa, servicios de soporte, recursos humanos). La actualizacin de este anlisis deber actualizarse al menos una vez al ao o cuando las condiciones en el negocio as lo obliguen.Fuentes de Riesgos Las fuentes de Riesgos nos permitirn categorizar los riesgos en una organizacin, para poder identificar de forma adecuada estos acontecimientos. Los diferentes orgenes son: Segn (Palma Rodrguez, 2011).Recursos HumanosEste riesgo est relacionado con la posibilidad de prdidas financieras asociadas con negligencia, error humano, sabotaje, fraude, robo, paralizaciones, apropiacin de informacin sensible, lavado de dinero, inapropiadas relaciones interpersonales y ambiente laboral desfavorable.ProcesosIdentifica la posibilidad de incurrir en prdidas debido a fallas en los procesos, polticas o procedimientos inadecuados o inexistentes que pueden ocasionar la suspensin de servicios o bien el desarrollo deficiente de operaciones.Tecnologa de Informacin Los fallos tecnolgicos pueden ocasionar prdidas financieras derivadas del uso inadecuado de sistemas de informacin y tecnologas relacionadas, que pueden afectar el desarrollo de las operaciones y servicios.Eventos ExternosEste grupo comprende la posibilidad de prdidas derivadas de la ocurrencia de eventos ajenos al control de la empresa que pueden alterar el desarrollo de sus actividades, afectando a los procesos internos, personas y tecnologa de informacin.Implementacin una Matriz de RiesgosPara la implementacin de una Matriz de Riesgos es necesario saber que un Riesgo tiene al menos dos caractersticas que la clasifican, tales son la Frecuencia y el Impacto. El detectar estas caractersticas nos ayudaran a priorizar y crear nuestro plan de continuidad puesto que nos darn la medicin adecuada para identificar qu Riesgo es el que se va a tratar. La Matriz clasifica los eventos alteradores segn la Probabilidad y el Impacto, debido a ello es que debemos identificar cada Probabilidad e Impacto del Riesgo. El Riesgo se obtiene mediante la siguiente frmula (Calder & Watkins, 2010): Riesgo = Probabilidad * ImpactoEn la Tabla 2 observamos que identificamos cada probabilidad usada en la presente investigacin y el puntaje asignado. Se ha determinado la probabilidad de que el riesgo se origine.Tabla 2 ProbabilidadPuntuacinProbabilidad

1Rara

2Inverosmil

3Frecuente

4Verosmil

5Esperada

Fuente: (Palma Rodrguez, 2011)La Tabla 3 son los Parmetros de la Probabilidad, esta tabla describe cada aspecto.Tabla 3 Parmetros de ProbabilidadPuntuacinProbabilidadEjemplo de frecuencia del evento de prdida

Rara1Insignificante, puede ocurrir solo en circunstancias excepcionalesUna vez cada 30 aos o menos frecuente

Inverosmil2Podra ocurrir alguna vezUna vez cada 10 aos

Frecuente3Debera ocurrir alguna vezUna vez cada 3 aos

Verosmil4Probablemente ocurra una vezAnualmente

Esperada5Ocurrir en muchas circunstancias Al menos mensualmente

Fuente: (Palma Rodrguez, 2011)Lo siguiente es el Impacto, el hecho de un riesgo deje consecuencias sobre la organizacin es lo que denominamos como impacto. La Tabla 4 muestra los puntajes de cada Impacto como una escala del 1 al 5 por ejemplo:

Tabla 4 ImpactoPuntuacinImpacto

1Insignificante

2Menor

3Moderado

4Mayor

5Masivo

Fuente: (Palma Rodrguez, 2011)La Tabla 5 muestra los parmetros de Impacto, vemos cada Impacto con las repercusiones sobre los clientes.

Tabla 5 Parmetros de ImpactoPuntuacinRepercusiones

Insignificante1No impacta a los clientes

Menor2Posibilidades de suspensin de servicios pero el impacto sobre los clientes es insignificante.

Moderado3Repercusiones sobre los clientes significativas

Mayor4Suspensin prolongada del servicios

Masivo5Afecta a muchos clientes

Fuente: (Palma Rodrguez, 2011)Una escala de cinco niveles, son los que se muestran hasta ahora por lo que el Riesgo ser ocupado tambin en cinco niveles: Tal como est en la siguiente Tabla, con los niveles de Riesgo y los tratamientos requeridos del Riesgo:Tabla 6 Niveles de RiesgoNivel del RiesgoAccin requerida de tratamiento del Riesgo

Muy Alta Inaceptable, la accin necesita tomarse inmediatamente.

AltaInaceptable, la accin necesita ser tomada tan pronto como sea posible.

MedioAccin requerida y debe ser tomada sin un plazo razonable.

BajoAceptable, sin accin requerida como resultado de valoracin del Riesgo. Alguna accin podra estar sujeta de un anlisis de costo-beneficio.

Muy BajoAceptable, sin accin requerida.

Fuente: (Calder & Watkins, 2010)La Matriz de Riesgo nos muestra cada combinacin de Probabilidad e Impacto del Riesgo y nos dar a conocer el tratamiento con ayuda de la Tabla anterior puesto que define cada Nivel de Riesgo ya expuesto. Figura 4 Matriz de Riesgo

Fuente: (Calder & Watkins, 2010)Importancia del BIASin un anlisis de impacto del negocio (BIA) no vas a saber el objetivo de tiempo de recuperacin (RTO), las personas necesarias, infraestructura de TI, o las partes externas de la recuperacin, los datos crticos que se utiliza en las actividades crticas, etc. En otras palabras, usted no tendra ninguna informacin importante para la continuidad de su negocio, y que sera construir su respuesta y la recuperacin de manera completamente equivocada. Por lo tanto, BIA es la fuente principal para el desarrollo de una estrategia de continuidad del negocio, lo que prepara el escenario para el desarrollo de la respuesta a incidentes y planes de continuidad del negocio / recuperacin de desastres. (Kosutic, 2014)Desarrollo de Estrategias de RecuperacinEn esta etapa se debern establecer diversas estrategias orientadas a la recuperacin de la plataforma tecnolgica de acuerdo con los objetivos de tiempo de recuperacin establecidos por el negocio.Como parte de la etapa se deber realizar lo siguiente: (Direccion de Tecnologias de Informacion y Comunicaciones, 2014) Identificar los requerimientos estratgicos para la recuperacin de la plataforma de TI. Valorar la oportunidad de estrategias alternativas contra los resultados del Anlisis del Impacto del Negocio. Preparar un anlisis costo/beneficio de las estrategias de recuperacin. Seleccionar posibles sitios alternos de operacin y respaldo de datos. Entender los requerimientos contractuales para los servicios del negocio.ISO 22301ISO 22301 es el nuevo estndar internacional para la Gestin de la Continuidad del Negocio. Ha sido creada en respuesta a un fuerte inters internacional en el estndar Britnico BS 25999-2 y otros estndares regionales. Si se cumple con los requisitos para obtener la certificacin, la organizacin ser reconocida globalmente.Las normas ISO son reconocidas internacionalmente por lo que la implementacin de esta norma crea gran expectativa con respecto a sus resultados, genera gran confianza y efectividad para el desarrollo de esta investigacin.ISO 22301 identifica los fundamentos de un sistema de gestin de la continuidad estableciendo el proceso, los principios y la terminologa de la gestin de la continuidad del negocio.En la Figura siguiente se observa el proceso de implementacin del estndar ISO 22301, nos da una gua desde comienzo a fin del proceso, todos los documentos requeridos, cada procedimiento obligatorio o no se ve expuesto en este diagrama. Un total de 13 procedimientos, 1 procedimiento opcional, 18 documentos, 1 documento opcional, 3 colecciones de documentos y 1 coleccin de documentos opcional.

Figura 5 Diagrama de la norma ISO22301 Proceso de Implementacin

Fuente: ISO 22301ste estndar proporciona una base para entender, desarrollar e implementar la continuidad del negocio dentro de su organizacin y le da la confianza en la relacin business-to-business y business-to-customer. La norma proporciona a las organizaciones un marco para garantizar que puedan seguir operando durante las circunstancias ms difciles e inesperadas protegiendo al personal, preservando la reputacin de la organizacin y ofrece la capacidad de seguir operando.Figura 6 reas de la continuidad del negocioFuente: http://www.iso27001standard.com/ique-es-iso-22301Clausulas claves La norma ISO 22301 tiene una serie de clusulas principales, que contiene actividades que se describirn a continuacin:Clusula 4: Contexto de la organizacinDeterminar lo referente a temas internos y externos para hallar el propsito de la organizacin y de algn modo se busca hacer el alineamiento de las Polticas de la Organizacin con los Objetivos de Continuidad del NegocioSe describen los servicios, procesos y/o productos de la empresa, las necesidades por parte de estos, y se averiguan las leyes, normativas u otros a los que la organizacin estaba vista.Clusula 5: LiderazgoEn esta clusula abarca un punto muy importante el cual es la participacin activa de las autoridades pertinentes. Puesto que la Direccin se encargar de asegurar la correcta integracin del BCP en la organizacin; tendr funciones donde deber brindar las necesidades o requerimiento del plan, proveer recursos, dar un financiamiento, dirigir y apoyar el BCP, asegurar las responsabilidades entre otras funciones.Clusula 6: Planificacin Esta es una parte crtica, se identificar los objetivos de la continuidad de negocio. Estos objetivos debern ser consistentes, medibles, tener buena gestin, realizables.Clusula 7: SoporteEl Soporte es importante porque brindara todo el uso de recursos (humanos o materiales) para la planificacin e implementacin del plan. El cual estar debidamente documentada cada movimiento de gestin.Tambin incluye las comunicaciones, que se tomaran en cuenta para esta parte. Clusula 8: Operacin Esta parte incluye la realizacin de lo siguiente: Anlisis de Impacto de Negocio Evaluacin de los Riesgos Estrategias de Continuidad del Negocio Procedimientos de continuidad de negocio Ejercicios y pruebasClusula 9: Evaluacin del Desempeo Cuando se ha implementado el plan entonces se deber hacer seguimientos de todos los resultados obtenidos hasta que finalmente hacer una evaluacin de ello.Clusula 10: Mejora Esta etapa se define como la mejora continua que puede ser definida como las actividades para mejorar la eficiencia y eficacia de los procesos como tambin la seguridad para dar ms beneficios a la organizacin. Normas relacionadas La familia de estndares relacionadas a ISO 22301 & BS 25999 o por defecto son pertenecientes a la misma rama. Son los siguientes: BS 25999-1:2006 Cdigo de practica BS 25999-2:2007 Especificacin ISO 22301:2012 Especificacin ISO 22313:2012 Direccin Otros estndares o frameworks: ISO 27001, A.14 BCI Directrices de Buenas Practicas DRII Prcticas ProfesionalesBCI El BCI se public por primera vez como Directrices de Buenas Practicas en 2002. Esta Gua sigui la estructura de BS25999-1:2006 que puede ser vista como una gua de implementacin de la Gestin de Continuidad del Negocio.Tiene como objetivo proveer un resumen y directrices en buenas prcticas del ciclo de vida de la Gestin de Continuidad del Negocio desde el reconocimiento inicial de las necesidades hasta el mantenimiento de la madurez de la Continuidad del Negocio.DRI International DRI International (originalmente conocido como Disaster Recovery Institute) es una organizacin sin nimo de lucro que proporciona formacion a nivel internacional y est constituido como organismo de certificacin de profesionales para la Gestin de la Continuidad de Negocio (BCM por sus siglas en ingls). DRI establece estndares profesionales para la planificacin de la continuidad del negocio y sustenta las certificaciones de profesionales y de programas de formacin de mayor prestigio en este rea desde 1988.ISO 27001/2ISO 27001/2 son normas internacionales para la gestin de seguridad, son las primeras normas comprendidas en la serie 27000 (estndares de Seguridad). Estn diseados para todo tipo organizaciones en cualquier sector y donde sea en el mundo. ISO 27001 es un Sistema de Gestin tal como su ttulo es Tecnologas de Informacin Tcnicas de Seguridad Sistema de Gestin de la Seguridad de Informacin - Requerimientos. ISO 27002 denominado como Tecnologas de Informacin Tcnicas de Seguridad Cdigo de Prcticas para la Gestin de la Seguridad de Informacin publicado en julio de 2005, reemplazando la norma ISO 17799:2000. Pertenece a la familia de la ISO 27000. Este estndar provee un marco internacionalmente aceptado para mejores prcticas en Gestin de Seguridad de Informacin y la interoperabilidad de los sistemas.ISO 17799ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin.ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.La presente norma contiene lo que denomina como Plan de Contingencia, tambin visto como un Plan de Recuperacin de Desastres.Podramos definir a un plan de contingencias como una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten a tener una solucin alternativa que nos permita restituir rpidamente los servicios de la organizacin ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.El plan de contingencia es una herramienta que le ayudar a que los procesos crticos de su empresa u organizacin continen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organizacin, seguir operando aunque sea al mnimo.El punto principal es centralizarse especficamente en la recuperacin de las funciones y sistemas crticos para el negocio, cuya interrupcin puede afectar directamente los objetivos de la organizacin. A un plan de contingencias los podemos reconocer por los siguientes nombres: Plan de Continuidad del Negocio / Bussines Continuity Plan (BCP) Plan de Contingencia del Negocio / Bussines Contingency Plan (BCP) Plan de Recuperacin de Desastres / Disaster Recovery Plan (DRP) Plan de Recuperacin del Negocio / Business Recovery Plan (BRP)Los responsables de la implementacin de un plan de contingencia son: Direccin y gerencias Area de seguridad de la informacin rea de sistemas /TI Auditores internos Dueos o accionistas de la empresa El Plan de Contingencia tiene dos componentes principales que son: Tecnolgico: procesamiento de sistemas Funcional: procedimientos del personalDefinicionesActivo[footnoteRef:1]: Algo que presenta valor para organizacin. [1: ISO/IEC 13335-1:2004]

Disponibilidad[footnoteRef:2]: Garantizar que lo usuario autorizados tengan acceso a la informacin y activos asociados cuando sea necesario. [2: ISO/IEC 13335-1:2004]

Confidencialidad[footnoteRef:3]: Garantiza que la informacin sea accesible nicamente para quienes tengan acceso autorizado. [3: ISO/IEC 13335-1:2004]

Seguridad de la Informacin[footnoteRef:4]: Preservar la confidencialidad, Integridad y disponibilidad de la informacin: adems, tambin deben ser involucradas otras caractersticas como la autentificacin, responsabilidad, no-repudio y fiabilidad. [4: ISO/IEC 13335-1:2004]

Evento de Seguridad de la Informacin[footnoteRef:5]: Ocurrencia identificada en un sistema, servicio o red indicando una posible brecha de la poltica de seguridad de la informacin o falla de las salvaguardas o una situacin desconocida previa que puede ser relevante. [5: ISO/IEC 13335-1:2004]

Incidente de la Seguridad de Informacin[footnoteRef:6]: Una serie de Eventos no deseados que tiene una probabilidad significativa de comprometer operaciones del negocio y amenazar la seguridad de la informacin. [6: ISO/IEC 13335-1:2004]

Integridad[footnoteRef:7]: Salvaguardar la exactitud e integridad de la Informacin y activos asociados. [7: ISO/IEC GUIDE 73-2002]

Anlisis del Riesgo[footnoteRef:8]: Uso sistemtico de informacin para identificar amenazas y estimar el riesgo. [8: ISO/IEC GUIDE 73-2002]

Estimacin del Riesgo[footnoteRef:9]: Proceso total de anlisis y evaluacin del riesgo. [9: ISO/IEC GUIDE 73-2002]

Evaluacin del Riesgo[footnoteRef:10]: Proceso de comparacin del riesgo estimado frente al criterio para determinar el significado del riesgo. [10: ISO/IEC GUIDE 73-2002]

Gestin del Riesgo[footnoteRef:11]: Actividades coordinadas para dirigidas y controlar el riesgo de la organizacin. [11: ISO/IEC GUIDE 73-2002]

Tratamiento del Riesgo[footnoteRef:12]: Proceso de seleccin e implementacin de controles para minimizar el riesgo. [12: ISO/IEC GUIDE 73-2002]

Plan de Continuidad de Negocio (BCP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los procesos del negocio generando un impacto mnimo o nulo ante una contingencia.Plan de Recuperacin de Desastres (DRP): Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los servicios informticos crticos en caso de contingencia.ISO 22301[footnoteRef:13]: El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad Sistemas de gestin de la continuidad del negocio Requisitos. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organizacin. [13: http://www.iso27001standard.com/ique-es-iso-22301]

Sistema de gestin de la continuidad del negocio (SGCN)[footnoteRef:14]: parte del sistema general de gestin que se encarga de planificar, mantener y mejorar continuamente la continuidad del negocio. [14: http://www.iso27001standard.com/ique-es-iso-22301]

Interrupcin mxima aceptable (MAO)[footnoteRef:15]: cantidad mxima de tiempo que puede estar interrumpida una actividad sin incurrir en un dao inaceptable (tambin Perodo mximo tolerable de interrupcin [MTPD]). [15: http://www.iso27001standard.com/ique-es-iso-22301]

Objetivo de tiempo de recuperacin[footnoteRef:16]: tiempo predeterminado que indica cundo se debe reanudar una actividad o se deben recuperar recursos. [16: http://www.iso27001standard.com/ique-es-iso-22301]

Objetivo de punto de recuperacin (RPO)[footnoteRef:17]: prdida mxima de datos; es decir, la cantidad mnima de datos que necesita ser restablecida. [17: http://www.iso27001standard.com/ique-es-iso-22301]

Objetivo mnimo para la continuidad del negocio (MBCO)[footnoteRef:18]: nivel mnimo de servicios o productos que necesita suministrar o producir una organizacin una vez que restablece sus operaciones comerciales. [18: http://www.iso27001standard.com/ique-es-iso-22301]

Riesgo: Los riesgos, que pueden ser naturales o provocados por el hombre, representan la exposicin a la prdida dentro de una organizacin. Los potenciales riesgos son tpicamente medidos en trminos de probabilidad de ocurrencia y el impacto generado en caso que los mismos se materialicen. (Direccion de Tecnologias de Informacion y Comunicaciones, 2014)Vulnerabilidad: La vulnerabilidad se mide con relacin al nivel de sensibilidad que tiene la organizacin a que uno de los riesgos se materialice. (Direccion de Tecnologias de Informacion y Comunicaciones, 2014)Probabilidad: La probabilidad mide la capacidad de ocurrencia del riesgo en el tiempo, considerando niveles de (como ejemplo): muy poco probable, poco probable, moderada, probable y casi cierta. (Direccion de Tecnologias de Informacion y Comunicaciones, 2014)Impacto: El impacto mide el nivel de dao provocado una vez manifestado el riesgo. Este nivel de impacto se puede medir (como ejemplo) con la calificacin siguiente: insignificante, menor, moderado, significativo o catastrfico.Nivel de riesgo: Grado de exposicin al riesgo que se determina a partir del anlisis de la probabilidad y vulnerabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos fijados. Permite establecer la importancia relativa del riesgo. (Direccion de Tecnologias de Informacion y Comunicaciones, 2014)

CAPITULO IVMARCO METODOLGICO4 Tipo de InvestigacinLa investigacin realizada es Aplicada; ya que esta investigacin es sobre ciencias o conocimientos ya existentes. Debido a que la investigacin es referente al Plan de Continuidad del Negocio, un concepto existente desde hace 18 aos. Diseo de la InvestigacinEl diseo de la investigacin es de tipo Descriptivo prospectivo ya que se investiga la situacin actual acerca de los Procesos Crticos de la Universidad Privada de Tacna.Poblacin y muestra de estudioPoblacinLa poblacin vienen a ser 100 personas de la Universidad Privada de Tacna, las cuales son los encargados de gestionar y dar soporte a los proceso de negocio del rea Administrativa.MuestraSe tomar como muestreo a 100 personas de la Universidad Privada de Tacna.Tipos de Muestras.Existen bsicamente dos clases de muestras: Muestras no Probabilstica y Muestra Probabilstica.A.-MUESTRA NO PROBABILSTICA.La muestra consta de 50 personas han sido divididos en cuatro grupos, los cuales han servido de grupos experimentales. Cada grupo experimental consta de 21 personasB.-VARIABLES QUE INTERVIENEN.- Z = Nivel de confianza= 97.7% (equivale a Z= 2) P = tamao de proporcin =50% (equivale a P=0.5) Q = proporcin que no tiene caracterstica de inters 1-P = 0.5 N = tamao de la poblacin = 50 E = Mximo de error permisible = 5% = 0.05 n = Tamao de la muestraC.-FORMULAS PARA EL CLCULO DEL TAMAO DE MUESTRASi el tamao de la poblacin (N) es conocido, la frmula para el clculo del tamao de muestra ser: (Z2) (P. Q) Nn = ----------------------------------------- (E2) (N 1) + Z2 (P. Q) (22) (0.5. 0.5) 50n = ----------------------------------------- (0.052) (50 1) + 22 (0.5. 0.5) 550n = --------------------- 10.648n =20.7547n= 21 personasSegn los clculos realizados la muestra ser igual a la poblacin con el nivel de confianza del 97.5%Tcnicas e Instrumento de la InvestigacinA.-Tcnica de procesamiento de anlisis de datos Trabajo de Campo Ordenamiento y codificacin de datos. Tablas estadsticas Anlisis de InterpretacinB.-INSTRUMENTOS Entrevistas: A travs de este instrumento se podr percibir la situacin actual de la entidad a investigar. Cuestionarios: Se realizarn preguntas cerradas, para luego proceder a la obtencin de informacin, a gracias a ello se determinar con qu frecuencia ocurren los incidentes de seguridad y cules son. Observacin: A travs de la observacin se podr determinar los eventos o incidentes de seguridad que ocurren con normalidad en los procesos correspondientes. Pginas Web: Este medio ser de bastante utilidad ya que mostrar la informacin necesaria para el Estudio de la Investigacin.

CAPITULO 5ADMINISTRACIN Y PRESUPESTO5.1. Plan de Acciones y CronogramaTiempoJunioJulioAgostoSeptiembreOctubre Noviembre

Actividades123412341234123412341234

1.Revisin de la situacin actual. Entrega del Primer Informe.(30 de Junio del 2014)XX

2.Evaluacin de previa XXXX

3.Revisin de los fundamentos tericos bsicos.XXX

4.Desarrollo y entrega del Segundo Informe de Investigacin.(31 de Agosto del 2014)XXXX

5.Actividades de medicin de actividades realizadas individualmente. XXXX

6.Obtencin de conclusionesXXXX

7. Entrega Final.XX

5.2 Asignacin De Recursos5.2.1. Recursos HumanosRecursos humanosNmero

Investigador Principal 1

Colaboradores 3

Asesores 1

Docentes2

5.2.2. Recursos MaterialesN MaterialDescripcin

01 LaptopPara la realizacin del proyecto.

01Equipo MvilPara la realizacin del proyecto.

01 ImpresoraImprimir hojas de revisin y el proyecto final.

01 InmueblesMesas y sillas que permitan elaborar el proyecto de investigacin.

01 OficinaEspacio en la que se har el proyecto.

5.3Presupuesto Bienes y ServicioNATURALEZA DEL GASTODESCRIPCINCANTIDADCOSTO (S/.)

01.00 BIENES

1.01Papel Bond A41 millarS/. 40.00

1.02Lapiceros12 unidades S/. 6.00

1.03Resaltadores03 unidadesS/. 18.00

1.04Plumones acrlicos06 unidadesS/. 24.00

1.05Tinta de impresora1 unidadS/. 20.00

1.06Documentos sobre ISO 22301/BS 25999S/. 500

SUBTOTALS/. 608.00

02.00 SERVICIOS

2.01Cuota mensual de Internet 3S/. 120.00

2.02Consumo de Energa90 horasS/. 100.00

2.03FotocopiasS/. 100.00

2.04LlamadasS/. 30.00

2.05Otros servicios de terceros----------------S/. 600.00

SUBTOTALS/. 950.00

TOTALS/. 1,558.00

CAPTULO 6ESQUEMA TENTATIVO DE TESISEl siguiente esquema es una propuesta para la elaboracin de la Tesis.CARTULAHOJA EN BLANCOCONTRACARTULAACTA DE SUSTENTACINDEDICATORIAAGRADECIMIENTORESUMENABSTRACTNDICE GENERALNDICE DE TABLASNDICE DE FIGURASNDICE DE CUADROSSIMBOLOGAINTRODUCCINCAPITULO IPLANTEAMIENTO DEL PROBLEMA1.1Planteamiento del Problema1.2Justificacin e importancia de la investigacin1.3Alcances y limitaciones1.4Objetivos de la investigacin1.5Elaboracin de hiptesis1.6Variables de estudio, operacionalizacin e indicadoresCAPITULO IIMARCO TERICO2.1Antecedentes2.2Bases tericas cientficas2.3DefinicionesCAPITULO IIIMARCO METODOLGICO3.1Tipo de Investigacin3.2Diseo de la Investigacin3.3Poblacin y muestra de estudio3.4Tcnicas e Instrumento de la InvestigacinCAPTULO IIIDESARROLLO METODOLGICO4.1.ETAPA DE ANLISIS DE LA SITUACION DE LA ORGANIZACIN4.2.ETAPA DE DESARROLLO DEL BIA4.3.ETAPA DE DESARROLLO DE ESTRATEGIAS DE CONTINUIDADCAPTULO IVRESULTADOS Y DISCUSINCAPTULO VCONCLUSIONES Y RECOMENDACIONESBIBLIOGRAFAANEXOSMatriz de ConsistenciaInstrumentosBIBLIOGRAFAISO 17799 . (22 de Marzo de 2014). ISO 17799 . Obtenido de ISO 17799 .bsigroup. (21 de Diciembre de 2013). bsigroup. Obtenido de http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030157563Calder, A., & Watkins, S. G. (2010). Information Security Risk Management for ISO27001/ISO27002. Cambridgeshire: itgp.Caldern, T., & Gabriela, K. (21 de Diciembre de 2013). Repositorio de la Escuela Politcnica Nacional. Obtenido de https://www.dspace.espol.edu.ec/bitstream/123456789/19215/2/Tesis%20BCP.pdfdatacredito. (20 de Diciembre de 2013). Obtenido de http://www.datacredito.com.pe/pdf/modificacion_ley_cepirs_27863.pdfDireccion de Tecnologias de Informacion y Comunicaciones. (18 de Enero de 2014). CCSS. Obtenido de http://portal.ccss.sa.cr/portal/page/portal/GIT/Tab4/Tab2/TIC-GCN-0001-Guia_para%20Elaboracion_de_Planes_de_Continui.pdfIS&BCA. (21 de Diciembre de 2013). IS&BCA. Obtenido de http://www.iso27001standard.com/es/que-es-la-norma-bs-25999-2IS&BCA. (21 de Diciembre de 2013). IS&BCA. Obtenido de http://www.iso27001standard.com/ique-es-iso-22301ISO. (2002). ISO/IEC GUIDE 73-2002. ISO. (2004). ISO/IEC 13335-1:2004. Kosutic, D. (18 de Enero de 2014). 2700 Academy. Obtenido de http://www.iso27001standard.com/en/webinars/iso-22301-foundations-part-1-business-impact-analysis-hr?utm_source=infusionsoft&utm_medium=product-campaign&utm_campaign=webinars&inf_contact_key=a2c0c0cbef0efdff08d9b0ef183f0ff0cadaf385446fc2fb7e6a06c1a0a87971Palma Rodrguez, C. (2011). CMO CONSTRUIR UNA MATRIZ DE RIESGO OPERATIVO? Costa Rica.Reyes, A. E. (21 de Diciembre de 2013). Escuela Politcnica Nacional. Obtenido de http://bibdigital.epn.edu.ec/bitstream/15000/1464/1/CD-2170.pdfRPP. (20 de Diciembre de 2013). Obtenido de http://www.rpp.com.pe/2013-03-22-aprueban-reglamento-de-ley-29733-ley-de-proteccion-de-datos-personales-noticia_578661.htmlSoledispa, C., & Reyes, R. (21 de Diciembre de 2013). Repositorio de la Escuela Politcnica Nacional. Obtenido de http://www.dspace.espol.edu.ec/bitstream/123456789/4850/1/7592.pdfUniversida Privada de Tacna. (20 de Abril de 2014). Universida Privada de Tacna. Obtenido de Universida Privada de Tacna: http://www.upt.edu.pe/

ANEXOS

Anexo 01 Matriz de ConsistenciaProblemaObjetivoHiptesisVariable

GeneralGeneralGeneralIndependiente

La Universidad Privada de Tacna cuenta con una gestin de continuidad del Negocio consolidado?Disear Procedimientos de Continuidad del Negocio para los riesgos de alto impacto en los procesos crticos.El desarrollo de la Procedimientos de Continuidad del Negocio permitir la operatividad del proceso frente a un evento alterador.Procedimientos de Continuidad del Negocio.Indicadores: Integridad Disponibilidad Prdida de Datos Informacin Tiempo de Trabajo

EspecficoEspecficoEspecficoDependiente

La Universidad Privada de Tacna cuenta con procesos identificados y documentados? La Universidad Privada de Tacna ha identificado riesgos que pueden originar paralizaciones? Establecer una metodologa de documentacin de Procesos. Establecer una metodologa de documentacin de Riesgos. El desarrollo de la Metodologa mejorar los procesos. El desarrollo de la Metodologa mejorar la identificacin de riesgos.Elementos de Continuidad Indicadores: Criticidad de Riesgos Criticidad de Procesos

Anexo 02. Entrevista N 01EntrevistaObjetivo de la Entrevista: Determinar un diagnstico acerca de la situacin actual de la Universidad privada de Tacna.Entrevistados: Martha Paredes, Jefe de Cmputo de la Universidad Privada de Tacna.1.La Universidad Privada de Tacna tiene procesos definidos/documentados?(3) SI(2) Si, a medias.(1) NO2.Se ha identificado los Procesos Crticos?3) SI(2) Si, a medias.(1) NO3.Se ha identificado los riesgos que generan eventos alteradores (Documentados)?3) SI(2) Si, a medias.(1) NO4.Se ha identificado el impacto de los riesgos en los procesos crticos?3) SI(2) Si, a medias.(1) NO

5.Existe un DRP (Plan de Recuperacin de Desastres) en la Universidad Privada de Tacna? 3) SI(2) Si, a medias.(1) NO6.Si la respuesta anterior es SI Se ha realizado pruebas del DRP?3) SI(2) Si, a medias.(1) NO

Anexo 03. Cuestionario N01CuestionarioObjetivo del Cuestionario: Identificar las variables de investigacin con respecto a la organizacin Seccin 01: Procedimientos de Continuidad del Negocio1.Considera importante la Integridad de los procesos?(3) SI(2) Si, a medias.(1) NO2.Considera importante la Disponibilidad de los procesos?(3) SI(2) Si, a medias.(1) NO3.Considera importante a Prdida de Datos de los procesos?(3) SI(2) Si, a medias.(1) NO4.Considera importante la Informacin de los procesos?(3) SI(2) Si, a medias.(1) NO5.Considera importante el Tiempo de Trabajo de los procesos?(3) SI(2) Si, a medias.(1) NO

Seccin 02: Procedimientos de Continuidad del NegocioDe un Rango del 1 al 3, califique cada tem (Considerando el grado de importancia de identificar estos aspectos: 1 como de baja importancia hasta 3 como de alta importancia)6.Criticidad de Riesgos(3) SI(2) Si, a medias.(1) NO7.Criticidad de Procesos (3) SI(2) Si, a medias.(1) NO

Presupuesto, Plan de recursos humanos

Obtener Apoyo Administrativo

Establecer el proyecto (no es obligatorio)

Plan del Proyecto (no es obligatorio)

Identificar Requerimientos

Lista de las partes interesadas, requerimientos estatutarios, reglamentarios y contractuales

Definir alcance, intencin administrativa y responsabilidades

Polticas de Continuidad del Negocio; Documento de Alcance

Tabla de Riesgos de evaluacin

Objetivos de Continuidad del Negocio

Implementar procedimientos de soporte

Procedimientos para el control de documentos, auditoria interna, acciones correctivas (no es obligatorio)

Identificar riesgos de incidente perjudiciales

Acciones preventivas

Metodologa de Anlisis de Impacto de Negocio

Cuestionarios de Anlisis de Impacto de Negocio

Capacitacin & registros de sensibilizacin

Plantillas de comunicacin de prensa

Realizar la auditora interna

Ejercicios y reporte de pruebas

Identificar prioridades y objetivos de Continuidad

En caso de que ocurra incidente perturbador

Acciones Correctivas

Acciones Correctivas

Acciones Correctivas

Revisin peridica de los planes y acuerdos de continuidad del negocio

Determinar prioridades, recursos y mitigacin requeridas

Estrategias de continuidad del Negocio; Plan de Tratamiento de Riesgos; Capacitacin y Plan de Sensibilizacin; Plan de Preparacin

Incidente de revisin posterior

Reporte de auditora interna

Plan de Continuidad del Negocio; plan de respuesta de incidentes; plan de transporte de planes de recuperacin; procedimiento de comunicacin; etc

Definir procedimiento de Continuidad del Negocio

Revisin de la gestin

Minutos de revisin administrativa

Ejercicios y pruebas

Comunicacin con las partes interesadas + registros de comunicacin

Monitoreo y medicin + registros de resultados + acciones preventivas

Riesgos de metodologa de evaluacin + tendencia al riesgo

Correcciones, acciones correctivas