Montoya Fierros Israel Francisco-ejemplo.pdf

INSTITUTO POLITCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERA MECNICA Y ELCTRICA

UNIDAD PROFESIONAL ADOLFO LPEZ MATEOS SECCIN DE ESTUDIOS DE POSGRADO E INVESTIGACIN PROGRAMA DE POSGRADO EN INGENIERA DE SISTEMAS

MAESTRA EN CIENCIAS EN INGENIERA DE SISTEMAS

METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN ANTE DESASTRES EN LOS

SISTEMAS DE TECNOLOGAS DE LA INFORMACIN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA

MANUFACTURA

DIRECTOR DE TESIS:

M. en C. LEOPOLDO ALBERTO GALINDO SORIA

DICIEMBRE 2010

T E S I S

Q U E P A R A O B T E N E R E L G R A D O D E

MAESTRO EN CIENCIAS EN INGENIERA DE SISTEMAS

P R E S E N T A:

ING. ISRAEL FRANCISCO MONTOYA FIERROS

METODOLOGA PARA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGAS DE LA INFORMACIN Y

TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA.

Agradecimientos A Dios: Por el apoyo en tiempo y recursos.

A mi Esposa e Hijo: Por el apoyo moral. A la Empresa: Por el apoyo econmico.

Al M. en C. Leopoldo Galindo: Por el apoyo intelectual.

Ing.IsraelFranciscoMontoyaFierros

Diciembre2010

Resumen

Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGAS DE LA

INFORMACIN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA.

RESUMEN El presente documento resume el trabajo realizado y logros obtenidos en materia de Continuidad y Recuperacin ante Desastres; esta visin de continuidad operacional se refleja en el diseo de procesos, la eleccin e implementacin de recursos de infraestructura, elementos tecnolgicos y de servicios, con nfasis en la redundancia y la tolerancia a fallas, as como en la seleccin, entrenamiento y evaluacin del personal. Una amenaza nunca va a desaparecer, siempre estar presente en todos los procesos de una organizacin. Por lo anterior, buscando un mejoramiento permanente en los estndares de respuesta y continuidad, se ha esforzado en perfeccionar y formalizar un mtodo que proporcione una secuencia definida de pasos para elaborar de manera sistemtica un plan para la continuidad y recuperacin ante desastres en los Sistemas de Tecnologas de la Informacin y Comunicaciones aplicado a la Industria de la Manufactura, tomando como base los Marcos de Referencia de las Normas BS 25999, ISO/IEC 24762 y la metodologa DRII sobre Continuidad del Negocio, logrando la siguiente metodologa: Fase 1: Conocer y planificar el medio ambiente organizacional; Fase 2: Analizar, evaluar y diagnosticar riesgos y su impacto al negocio; Fase 3 Desarrollar el plan de continuidad y estrategias de recuperacin ante desastres; Fase 4: Capacitar, probar y ejercitar; Fase 5: Auditora, mantenimiento y actualizacin. La metodologa objeto de estudio de ste trabajo es el artefacto inicial con el que toda empresa debera contar sin importar las iniciativas de negocio que tenga previsto lanzar (arquitecturas empresariales, rediseo de procesos, arquitectura orientada a servicios, automatizacin y mejora de procesos de negocio), permite que la organizacin est preparada ante una interrupcin de su negocio, por medio de la definicin y documentacin de procedimientos y estrategias de recuperacin.

Resumen

Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

METHODOLOGY FOR THE CREATION OF A PLAN FOR THE CONTINUITY AND RECOVERY BEFORE DISASTERS IN THE TECHNOLOGY SYSTEMS OF THE

INFORMATION AND TELECOMMUNICATIONS IN INDUSTRY OF THE MANUFACTURE.

ABSTRACT

The present document summarizes the accomplished work and achievements obtained in Continuity and Recovery matter before Disasters, this operational continuity vision is reflected in the processes design, the election and implementation of infrastructure resources, technological elements and of services, with emphasis in the redundancy and the tolerance to defects, as well as in the selection, training and evaluation of the personal.

A threat never is going to disappear, always will be present in all the processes of an organization. For the foregoing, seeking a permanent improvement in response and continuity standards, it has been strengthened in perfecting and formalizing a method that provide a defined steps sequence to elaborate of systematical way a plan for the continuity and recovery before disasters in the Technology Systems of the Information and Communications applied to Industry of the Manufacture, taking as base the Reference Framework of the norms BS 25999, ISO/IEC 24762 and the methodology DRII on continuity of the business, achieving the following methodology: Phase 1: Knowledge of the environment of the organization and Planning of the project; Phase 2: Analysis and risks evaluation and your impact to the business; Phase 3: Development of continuity plan and strategies; Phase 4: Training, test and exercise; Phase 5: Audit, maintenance and update. The methodology object of study of this work is the initial appliance with all the one which company would have to count without importing the business initiatives that has anticipated to launch ( entrepreneurial architectures, I redesign of processes, architecture guided to services, automation and improvement of business processes), permits that the organization be prepared before an interruption of their business, by means of the definition and procedures and strategies documentation of recovery.

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin i ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

NDICE ndice de Tablas y Figuras iv Glosario de Trminos viii

Introduccin

0.1 Presentacin del Proyecto de Tesis. xii 0.2 Marco metodolgico para el desarrollo del Proyecto de Tesis. xiii 0.3 Presentacin del Documento del Proyecto de Tesis. xiv

Captulo 1.- Marco Conceptual y Contextual.

1.1 Marco Conceptual. 1 1.1.1 Elaboracin de la Pirmide Conceptual. 1 1.1.2 Descripcin de los trminos de la Pirmide Conceptual. 2 1.2 Marco Contextual. 6 1.2.1 Descripcin del Medio Ambiente Temporal. 6 1.2.1.1 Evolucin de las TIC en la Industria de la Manufactura. 6 1.2.1.2 Evolucin de los conceptos de Continuidad de Negocio. 7 1.2.2 Descripcin del Medio Ambiente Fsico. 8 1.2.2.1 El imperativo: asegurar la continuidad de negocio. 9 1.2.2.2 Estrategias y planes para la continuidad de negocio. 9

Captulo 2.- Anlisis, Evaluacin y Diagnstico de la Situacin Actual.

2.1 Introduccin. 13 2.2 Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio y

Recuperacin ante Desastres de TI 14

2.3 Justificacin del Proyecto de Tesis. 22 2.4 Definicin de los Objetivos del Proyecto de Tesis. 22 2.4.1 Objetivo General. 22 2.4.2 Objetivos Particulares. 23

Captulo 3.- Metodologa Propuesta.

3.1 Introduccin. 24 3.2 Metodologa propuesta. 25 Marco metodolgico integral para el desarrollo de la metodologa propuesta 28 Fase 1 Conocer y planificar el medio ambiente organizacional. 31 Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. 35 Fase 3 Desarrollar el plan de continuidad y estrategias de recuperacin ante

desastres. 42

Fase 4 Capacitar, probar y ejercitar. 48 Fase 5 Auditora, mantenimiento y actualizacin. 51

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin ii ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Captulo 4.- Aplicacin de la Metodologa. Caso de Estudio: Empresa de Manufactura de Empaques de Cartn.

4.1 Introduccin. 55 4.2 Desarrollo de la metodologa propuesta. 56 Fase 1 Conocer y planificar el medio ambiente organizacional. 56 Actividad 1.1 Conocer el medio ambiente general. 56 Actividad 1.2 Identificar la estructura organizacional de la empresa. 58 Actividad 1.3 Definir la Arquitectura de Macroprocesos. 60 Actividad 1.4 Definir equipos de planificacin y sus responsabilidades. 62 Actividad 1.5 Definicin de objetivos, alcance y escenarios del

problema. 65

Actividad 1.6 Concientizacin y aprobacin por parte de los directivos. 66 Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio. 67 Actividad 2.1 Identificacin de las funciones, servicios y recursos

crticos del rea. 67

Actividad 2.2 Anlisis, Evaluacin y Diagnstico de riesgos. 71 Actividad 2.3 Control de riesgos. 74 Actividad 2.4 Anlisis de Impacto al Negocio. 76 Actividad 2.5 Evaluacin y Diagnstico del Anlisis de Impacto del

Negocio. 84

Fase 3 Desarrollar el plan de continuidad y estrategias de recuperacin ante

desastres. 85

Actividad 3.1 Disear las estrategias de continuidad de la organizacin. 85 Actividad 3.2 Presentar el anlisis costo/beneficio de las estrategias de

continuidad. 92

Actividad 3.3 Negociacin y firma de contratos con los proveedores de servicios.

97

Actividad 3.4 Adquisicin de la infraestructura de TICs. 98 Actividad 3.5 Preparacin del sitio alterno. 101 Actividad 3.6 Definir los procedimientos de recuperacin. 104 Fase 4 Capacitar, probar y ejercitar 112 Actividad 4.1 Definir objetivos de entrenamiento. 112 Actividad 4.2 Desarrollar e implementar varios tipos de programas de

entrenamiento. 113

Actividad 4.3 Identificar otras oportunidades de educacin. 114 Actividad 4.4 Descripcin de las pruebas. 115 Actividad 4.5 Planificar los escenarios de prueba y su periodicidad. 116 Actividad 4.6 Ejercitacin de las pruebas. 117

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin iii ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Fase 5 Auditora, Mantenimiento y Actualizacin. 119 Actividad 5.1 Auditoria al Plan de Continuidad. 119 Actividad 5.2 Mantenimiento al Plan de Continuidad. 131 Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad. 132 Actividad 5.4 Mecanismo de actualizacin del Plan de Continuidad. 133 Actividad 5.5 Mecanismo de distribucin del Plan de Continuidad. 134

Captulo 5.- Resultados Obtenidos, Valoracin de Objetivos, Trabajos Futuros y Conclusiones del Proyecto de Tesis.

5.1 Valoracin de los resultados obtenidos. 135 5.2 Valoracin de Objetivos. 136 5.1.1 Valoracin del Objetivo General 136 5.1.2 Valoracin de los Objetivos Particulares 136 5.3 Trabajos Futuros. 138 5.4 Conclusiones del Proyecto de Tesis. 139

Bibliografa.

142

Referencias a Internet.

144

Anexos. Anexo A.

A.1

Anexo B. B.1

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin iv ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

NDICE DE TABLAS Y FIGURAS

Introduccin

Cuadro 0.1 Marco metodolgico integral para el desarrollo del proyecto de tesis. ix Figura 0.1 Estructura del documento del proyecto de tesis. X

Captulo 1.- Marco Contextual y Conceptual.

Figura 1.1 Pirmide Conceptual adaptada de [Galindo, 2005]. 1 Figura 1.2 Evolucin de los Conceptos de Continuidad. 8 Cuadro 1.1 Criterios de la seguridad de la informacin. 11 Figura 1.3 Modelo cclico dinmico de un Plan de Continuidad en un Modelo de

Negocio. 11

Captulo 2.- Anlisis, Evaluacin y Diagnstico de la Situacin Actual.

Figura 2.1 Relacin de los procesos de negocio con los Sistemas de Informacin. 14 Figura 2.2 Convergencia de estndares y mejores prcticas. 15 Figura 2.3 Estndares internacionales, buenas prcticas y metodologas en

general para el desarrollo del documento de lineamientos de Continuidad del Negocio.

16

Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con los elementos necesarios para una infraestructura de TI segura.

17

Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del Gobierno de TI.

19

Figura 2.4 Estndares internacionales, buenas prcticas y metodologas orientadas, para realizar el documento de lineamientos de Continuidad del Negocio propuesto.

21

Captulo 3.- Metodologa Propuesta.

Figura 3.1 Mapa de ruta de la metodologa propuesta. 25 Figura 3.2 Descripcin de la metodologa propuesta. 27 Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa

propuesta. 28

Figura 3.3 Diagrama de flujo (relaciones) entre procesos de negocio. 32 Figura 3.4 Equipos de trabajo para respuesta a incidentes 33 Figura 3.5 Tiempos y puntos objetivos de recuperacin. 35 Cuadro 3.2 Probabilidad de ocurrencia de un riesgo. 37 Cuadro 3.3 Impacto potencial de un riesgo. 37 Cuadro 3.4 Matriz de nivel de riesgo. 37 Figura 3.6 Evaluacin y diagnstico del anlisis de impacto al negocio. 38 Cuadro 3.5 Disponibilidad de los servicios. 45

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin v ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Captulo 4.- Aplicacin de la Metodologa, Caso de Estudio: Empresa de Manufactura de Empaques de Cartn.

Figura 4.1 Diagrama tipo mapa mental de la Organizacin. 57 Figura 4.2 Organigrama general de la empresa objeto de estudio. 58 Figura 4.3 Organigrama del rea funcional de apoyo TI, de la empresa objeto de

estudio. 59

Figura 4.4 Macro procesos de la empresa objeto de estudio. 60 Figura 4.5 Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la

empresa objeto de estudio. 61

Figura 4.6 Equipos de trabajo para respuesta a incidentes. 62 Cuadro 4.1 Funciones de los equipos de respuesta a incidentes. 63 Cuadro 4.2 Definicin de objetivos, alcance y escenarios de los equipos de

respuesta a incidentes. 65

Cuadro 4.3 Tabla de solucin integral para el desarrollo de la metodologa propuesta.

66

Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea. 67 Cuadro 4.5a Probabilidad de Ocurrencia de un riesgo. 71 Cuadro 4.5b Impacto potencial de un riesgo. 71 Cuadro 4.5c Matriz de nivel de riesgo. 71 Cuadro 4.6 Anlisis y evaluacin de la probabilidad ocurrencia y el impacto

potencial de un riesgo. 72

Cuadro 4.7a Diagnstico del nivel de riesgo. 73 Cuadro 4.7b Nivel de riesgos. 73 Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones

mnimas de operacin. 74

Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones, servicios y recursos crticos por rea.

76

Cuadro 4.10 Anlisis de impacto al negocio. 80 Cuadro 4.11 Cruz de informacin Sistemas vs Funciones. 81 Cuadro 4.12 Cruz de informacin Sistemas vs Sistemas. 82 Cuadro 4.13 Prioridad y nivel de riesgo de los Sistemas de Informacin Basados en

Computadora. 83

Cuadro 4.14 Matriz de prioridad y nivel riesgo para la recuperacin de los Sistemas de Informacin.

83

Cuadro 4.15 Evaluacin y diagnstico del anlisis de impacto al negocio. 84 Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la

empresa en estudio. 85

Figura 4.7a Arquitectura del Sistema ERP de la empresa objeto de estudio. 87 Figura 4.7b Arquitectura del Centro de Procesamiento de Datos CPD, de la

empresa objeto de estudio. 87

Figura 4.7c Arquitectura del Sistema de Telecomunicaciones de la empresa objeto de estudio.

88

Cuadro 4.17 Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ. 89

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin vi ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Figura 4.8 Arquitectura del Centro de Procesamiento de Datos CPD, propuesta. 90 Cuadro 4.18a Compra de Hardware requerido para la estrategia de continuidad

propuesta. 92

Cuadro 4.18b Arrendamiento de Hardware requerido para la estrategia de continuidad propuesta.

92

Cuadro 4.18c Arrendamiento Software requerido para la estrategia de continuidad propuesta y CPD alterno.

93

Cuadro 4.19 Cursos de capacitacin requeridos para la estrategia de continuidad propuesta.

93

Cuadro 4.20 Beneficios estimados de la estrategia de continuidad propuesta. 94 Cuadro 4.21 Parmetros para el anlisis de rentabilidad (TMAR), de la estrategia de

continuidad propuesta. 95

Cuadro 4.22 Resumen de resultados del anlisis de sensibilidad, de la estrategia de continuidad propuesta.

95

Cuadro 4.23a Anlisis de rentabilidad a tasa del 8%, de la estrategia de continuidad propuesta.

96

Cuadro 4.23b Anlisis de rentabilidad a tasa del 10%, de la estrategia de continuidad propuesta.

96

Cuadro 4.24 Contrato de prestacin de servicios informticos para el proveedor del CPD externo.

97

Cuadro 4.25 Parmetros a considerar en la seleccin y adquisicin de hardware y software del CPD.

98

Cuadro 4.26 Contrato para la adquisicin de la infraestructura de TI. 100 Figura 4.9 Diagrama de flujo de respuesta a emergencia y restauracin. 104 Cuadro 4.27 Procedimientos de respuesta a emergencias y restauracin para el

salvamento de los servicios crticos. 105

Cuadro 4.28 Interrupcin importante de la produccin: Desastres Naturales. 106 Cuadro 4.29 Relaciones con empleados: Desastres Humanos. 108 Cuadro 4.30 Avera del Centro de Procesamiento de Datos CPD: Desastres

Tecnolgicos. 110

Cuadro 4.31 Plan de adiestramiento, pruebas y ejercitacin del plan de continuidad. 113 Cuadro 4.32 Identificar oportunidades de educacin. 114 Cuadro 4.33 Descripcin de las pruebas. 115 Cuadro 4.34 Recomendaciones para la planificacin de los escenarios de prueba y

su periodicidad. 116

Cuadro 4.35 Control de pruebas y aprobacin del documento. 117 Cuadro 4.36 Gua para el desarrollo del ejercicio del plan de continuidad. 118 Cuadro 4.37 Metodologa para realizar una auditora de Sistemas de Informacin. 119 Cuadro 4.38 Programa de auditora para realizar la revisin del control interno y

operaciones en el CPD. 121

Cuadro 4.39 ndice de las marcas de Auditora. 123 Cuadro 4.40 Revisin del control utilizado para el ingreso de personal externo al

Centro de Procesamiento de Datos 123

Cuadro 4.41 Revisin de las claves utilizadas para el acceso al centro de procesamiento de informacin.

124

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin vii ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Cuadro 4.42 Inventario de Hardware y Software, ubicados en el Centro de

Procesamiento de Datos. 124

Cuadro 4.43 Verificacin del inventario de cintas de respaldo (revisin selectiva). 125 Cuadro 4.44 Revisin de la seguridad fsica de las instalaciones del Centro de

Procesamiento de Datos. 125

Cuadro 4.45 Verificacin de los contratos de mantenimiento del Centro de Procesamiento de Datos.

126

Cuadro 4.46 Verificacin de los contratos de seguros. 126 Cuadro 4.47 Verificacin del plan de continuidad del negocio. 127 Cuadro 4.48 Verificacin del plan de continuidad del negocio. 128 Cuadro 4.49 Formulario de mantenimiento al Plan de Continuidad 131 Cuadro 4.50 Formulario de almacenamiento del Plan de Continuidad. 132 Cuadro 4.51 Historial de revisiones del Plan de Continuidad. 133 Cuadro 4.52 Mecanismo de Distribucin del Plan de Continuidad. 134

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin viii ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

GLOSARIO DE TRMINOS

Trmino Descripcin

Informacin. Conjunto de datos que estn organizados y que tienen un significado. Computacin. Es una ciencia, en particular una rama de la matemtica, que centra su

inters en el estudio y definicin formal de los cmputos. Se le llama cmputo a la obtencin de una solucin o resultado, a partir de ciertos datos o entradas utilizando para ello un proceso o algoritmo.

Ciencias de la Computacin.

Son aquellas que abarcan el estudio de las bases tericas de la informacin y la computacin y su aplicacin en sistemas computacionales.

Sistemas Computacionales.

Es un conjunto de dispositivos electrnicos (Hardware), capaz de procesar informacin, de acuerdo con un programa (Software).

Informtica. Es la ciencia aplicada que abarca el estudio y aplicacin del tratamiento

automtico de la informacin utilizando dispositivos electrnicos y sistemas computacionales. Conforme a ello, los sistemas informticos deben realizar las siguientes tres tareas bsicas:

Entrada: Captacin de la informacin digital. Proceso: Tratamiento de la informacin. Salida: Transmisin de resultados binarios.

Sistema de Informacin Informtico.

Es un conjunto de partes interrelacionadas, ordenadas y capaces de interconectarse: hardware, software y de Recurso Humano (humanware), que emplea computadoras como dispositivos programables para capturar, almacenar y procesar datos.

Programa Informtico. Los Objetivos, Metas y estrategias, informticas anuales relacionadas

con: los Sistemas de Informacin Informticos y Estructuras de la Organizacin.

Plan Informtico. Los Objetivos, Metas y estrategias, informticas de mediano y largo

plazo, relacionadas con: los Sistemas de Informacin Informticos y Estructuras de la Organizacin.

Estrategia Tecnolgica Son los lineamientos tcnicos, que la empresa requiere para determinar

los recursos informticos que permitir soportar y operar la Estrategia Institucional de Sistemas de Informacin Informticos.

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin ix ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Trmino Descripcin

Estrategia Institucional de Sistemas de Informacin Informticos

Conjunto Integrado de Sistemas de informacin Informticos, que pretende desarrollar, operar y explotar la empresa, para el corto y mediano plazo, y mediante los cuales estima satisfacer sus necesidades globales de informacin para controlar y coordinar las actividades operativas y administrativas fundamentales de la Organizacin.

Tecnologas de la Informacin y Comunicaciones TICs / TI

Son aquellas herramientas computacionales, informticas y servicios de apoyo que procesan, almacenan, sintetizan, recuperan y presentan informacin representada en diversos mbitos de la administracin, las finanzas, la produccin y la automatizacin de operaciones en los diferentes niveles de funcionamiento de una organizacin, a travs de un conjunto de herramientas, soportes y canales para el tratamiento y acceso a la informacin.

Gobernabilidad de TI Consiste en la capacidad para controlar la formulacin y la

implementacin de la estrategia de TICs a fin de alcanzar ventajas competitivas para la organizacin en su conjunto.

Arquitectura Orienta a Servicios (por sus siglas en ingls, SOA)

Permite la creacin de sistemas altamente escalables que reflejan el negocio de la organizacin, y a su vez brinda una forma bien definida de exposicin e invocacin de servicios, lo cual facilita la interaccin entre diferentes Sistemas de Informacin Informticos propios o de terceros.

Respaldo Interno Soluciones de respaldo que tienen como objeto resolver contingencias

leves que no precisen el desplazamiento fuera de los locales donde estn ubicados los elementos informticos afectados.

Respaldo Externo Tiene como objeto resolver contingencias graves (desaparicin del

edificio, desaparicin del Centro de Procesamiento de Datos, etc), que precisan el desplazamiento a ubicaciones diferentes a la habitual (Centro Alternativo de Respaldo).

Recuperacin de los Servicios del Negocio

Proporciona procedimientos para mantener en funcionamiento en un sitio alterno las funciones esenciales estratgicas de la organizacin.

Plan de Recuperacin del Negocio

Proporciona los procedimientos para recobrar la operacin del negocio, inmediatamente despus de la ocurrencia de un desastre.

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin x ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Trmino Descripcin

Evaluacin del Riesgo Metodologa orientada a determinar la vulnerabilidad de la Organizacin. Con base en los diversos riesgos encontrados, se les asigna un valor especfico, segn la probabilidad de ocurrencia y de la cobertura del seguro contratado, con el fin de proponer alternativas para reducir el riesgo.

Anlisis de Impacto al Negocio (por sus siglas en ingls, BIA)

A travs de esta metodologa se hace un anlisis de todos los procesos y aplicaciones dentro de la Empresa a travs de un cuestionario que se aplica en diversos niveles. Como resultado se llega a determinar el portafolio de procesos y aplicaciones crticas, as como los Requerimientos Mnimos y las caractersticas de cada uno de ellos.

Riesgo El impacto y la probabilidad de que una amenaza pueda afectar

adversamente la capacidad de una organizacin para lograr sus estrategias y objetivos de negocio.

Contingencia Cualquier suceso que interrumpa el normal funcionamiento de la

organizacin por un periodo de tiempo lo suficientemente largo como para que su impacto resulte grave.

Desastre Cualquier EVENTO MAYOR que afecte el funcionamiento normal de

las operaciones de un negocio. Estos pueden ser Naturales, Humanos y Tcnico.

Tiempo Objetivo de Recuperacin (por sus siglas en ingls, RTO)

El tiempo entre el punto de interrupcin, y el punto en el cul los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados.

Punto Objetivo de Recuperacin (por sus siglas en ingls, RPO)

El punto en el cul fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento.

Cold Site Centro de Procesamiento de Datos con Infraestructura bsica, tarda

varios das en operar. Hot Site Centro de Procesamiento de Datos Parcialmente configurado, tarda

menos de un da en operar. Warm Site Centro de Procesamiento de Datos Listo para operar en pocas horas. RFP/RFQ Solicitud de Propuestas/Solicitud de Calificaciones. QoS Calidad en el Servicio Quality of Service.

ndice

Metodologa para la creacin de un plan para la continuidad y recuperacin xi ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Trmino Descripcin

High Availability Alta Disponibilidad: Implementacin de controles preventivos, detectivos y correctivos para procurar la disponibilidad contina de los sistemas crticos de la organizacin.

Fault Tolerance Tolerancia a fallas: Un sistema fault-tolerant puede continuar brindado

servicios a pesar de fallas de software o hardware. Load Balancing Balanceo de cargas: Sistemas que comparten la carga de trabajo para

evitar recursos ociosos y bajo desempeo (performance) Single Point of Failure SPFs: Redundancia en los Puntos Probables de Falla. Downtime Cada de los Sistemas de TICs

Introduccin y Presentacin al Proyecto de Tesis

Metodologa para la creacin de un plan para la continuidad y recuperacin xii ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

INTRODUCCIN

0.1 PRESENTACIN DEL PROYECTO DE TESIS Las Tecnologas de Informacin y Comunicaciones (TICs) han reemplazado los dos elementos bsicos que sustentaron la economa durante los ltimos dos siglos: el obrero y el capital han sido suplantados por la Informacin y el Conocimiento. No cabe duda que la sociedad post-industrial ha dado paso a la sociedad de la Informacin en la que los avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red la Informacin, los procesos y los conocimientos han afectado profundamente las tradicionales formas de produccin. Las tecnologas de informacin representan oportunidades y amenazas importantes, por lo que es recomendable que se tomen en cuenta al formularse las estrategias del negocio. Los adelantos tecnolgicos afectan en forma drstica los productos, servicios, mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura, prcticas de mercadotecnia y la posicin competitiva de las empresas. Las propuestas para evitar interrupciones y asegurar una reduccin razonable del riesgo han sido numerosas. Los instrumentos empleados han dejado de lado la fuerte carga tecnolgica para enfrentarse con las demandas operativas de las Organizaciones, asumen nuevos principios: se alinean con los objetivos de la organizacin integrndose directamente en la empresa y conformando procesos en constante evolucin, se ajustan al dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo. La Metodologa propuesta hace frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organizacin, desde la perspectiva: para eliminar las amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo fsico (appliances, firewalls,), y de entorno (controles de acceso,), minimiza los efectos implantando sistemas redundantes y transfiere los riesgos residuales a una compaa de seguros que asume dicho riesgo.


Metodologa para la creacin de un plan para la continuidad y recuperacin xiii ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

0.2 MARCO METODOLGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS El siguiente cuadro muestra el marco metodolgico (Basado en [Galindo, 2008]), el cual describe una serie de actividades a emplear, sus correspondientes tcnicas, herramientas y productos a obtener para el desarrollo del proyecto de tesis: Cuadro 0.1 Marco metodolgico integral para el desarrollo del proyecto de tesis (Elaboracin propia, basado en

[Galindo, 2008]).

MARCO METODOLGICO

ACTIVIDADES (Qu hacer?)

TCNICAS(Cmo hacerlo?)

HERRAMIENTAS(Con qu hacerlo?)

METAS(Qu obtener en particular?)

1. Definir el tema. -Observacin -Investigacin -Mtodo cientfico Especificar la oportunidad

problemtica que se puede considerar como tema de estudio.

2. Recopilar informacin del tema.

-Investigacin. -Recopilacin bibliogrfica.

-Libros -Revistas

-Peridicos -Internet.

Identificar y aislar la problemtica oportunidad para obtener una visin

sistmica del tema de estudio.

3. Desarrollar el marco metodolgico.

-Definicin del marco metodolgico.

-Procesador de palabras.

Definir las actividades que se tienen que hacer para realizar el proyecto de

tesis.

4. Definir el marco conceptual.

-Observacin -Investigacin.

-Recopilacin bibliogrfica. -Definicin del marco

Conceptual

-Libros del tema -Diccionarios

-Enciclopedias -Pirmide Conceptual.


Delimitar los conceptos y describir los trminos generales empleados en el

proyecto de tesis.

5. Identificar y analizar la situacin actual. Definir la justificacin. Definir Objetivo general y especficos.

-Definir una visin global del tema en cuestin a tratar.

-Conocer conceptos bsicos para la definicin de Objetivos. - Elaborar tabla de ventajas y

desventajas.

-Libros, -Revistas -Internet.


Obtener un anlisis de las ventajas y desventajas de la metodologa

propuesta y modelos existentes en el mercado.

A partir del anlisis, hacer una justificacin lgica que defienda el estudio del proyecto en cuestin.

Definir los alcances o resultados a obtener.

6. Desarrollar la metodologa.

-Investigacin. -Analizar, Identificar y definir la

metodologa de desarrollo.

-Libros -revistas -Internet

-peridicos

Obtener un conjunto de actividades que conformen la metodologa a

desarrollar.

7. Construccin de un modelo.

-Definir las partes que conformaran el modelo a

seguir.

-Procesador de

palabras.

Concebir un modelo a seguir con el conjunto de actividades definidas

anteriormente. 8. Implementar en forma

real el modelo. -Aplicar modelo en una

empresa. -Hoja de clculo Adquirir una aplicacin en el mundo

real, del uso del modelo.

9. Redactar el documento de tesis.

-Conocer la metodologa para el desarrollo y redaccin de un proyecto de tesis de maestra

-Procesador de textos -Editor de imgenes

-Hoja de clculo

Obtener un documento escrito del proyecto de tesis.

10. Presentar el examen de grado.

-Investigar los lineamientos institucionales de SEPI-ESIME para presentar el examen de

grado.

-Internet -Entrevista

Conseguir el grado de Maestro en ciencias en ingeniera de sistemas.


Metodologa para la creacin de un plan para la continuidad y recuperacin xiv ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

0.3 PRESENTACIN DEL DOCUMENTO DEL PROYECTO DE TESIS.

A continuacin, se presenta el modelo: antes, cambio, despus [Basado en Galindo, 2008]; en l, se plantea el medio ambiente general de la Organizacin para proponer una mejora con apoyo del rea de Tecnologas de la Informacin y Comunicaciones (TICs) con nfasis en la Continuidad del Negocio, de una empresa de Manufactura de Empaques de Cartn y Papel:

Figura 0.1 Estructura del documento del proyecto de tesis.


Metodologa para la creacin de un plan para la continuidad y recuperacin xv ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

Aunque nuestro pas todava se encuentra en una etapa incipiente; pero sin duda de crecimiento, en lo que respecta a la adopcin de Planes para la continuidad y recuperacin ante desastres por parte de las PyME; el Captulo 1, puede ayudar a entender por qu las empresas necesitan ineludiblemente contar con un Plan de Continuidad y Recuperacin ante Desastres. Considerando que una interrupcin prolongada, en las operaciones de los Sistemas de Tecnologas de la Informacin y Comunicaciones, puede suspender la continuidad de las operaciones de una empresa y, eventualmente, llevarla incluso a la quiebra, es importante considerar el Gobierno de TI y las mejores prcticas para asegurar la continuidad del negocio. Para ello se tienen varios conjuntos de recomendaciones que destacan internacionalmente, como se estudiar en el Captulo 2. En el captulo 3, se propone una metodologa para la continuidad y recuperacin ante desastres de TICs en la industria de la manufactura, por lo que una aproximacin acertada es conocer con detalle la organizacin que se quiere proteger. No slo se deben identificar los riesgos, tambin evaluarlos para posteriormente decidir sobre las medidas que puedan mitigarlos. Para ello, se deber identificar los activos de la empresa, as como las debilidades que puedan padecer, estimando probabilidades de ocurrencia y asignndoles una importancia para la misin de la empresa. En el captulo 4, se aplicar la metodologa propuesta, se estudiar la criticidad de las TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin perjudique o degrade los objetivos y la calidad de la actividad en concreto. En un Plan de continuidad se invierte, no se gasta, adoptar el Plan impacta en la organizacin, en las funciones y en las responsabilidades, ste debe ser un elemento vivo, que se mantenga, pruebe y actualice peridicamente. Aumentar las medidas para garantizar la disponibilidad de los servicios informticos genera confianza y acerca a los usuarios a la informtica, como se ver en el Captulo 5. Por ltimo, se mostrar las Referencias Bibliogrficas y a Internet, as como, los Anexos correspondientes.

Captulo 1 Marco Conceptual y Contextual Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la Manufactura.

Captulo 1

Marco Terico Conceptual y Contextual

Metodologa para la creacin de un plan para la continuidad y recuperacin Pgina 1 ante desastres en los Sistemas de TICs en la Industria de la Manufactura.

CAPTULO 1.-

MARCO CONCEPTUAL Y CONTEXTUAL.

Uno de los primeros pasos para la elaboracin de un Proyecto de Tesis consiste en la Descripcin, Fundamentacin y eleccin del tema, seguido de la estructuracin y sustentacin conceptual de la hiptesis, cuya finalidad es la de delimitar el problema y generar explicaciones tentativas del fenmeno en estudio. 1.1 Marco Conceptual. La elaboracin del marco Conceptual ayuda, a la definicin de los elementos involucrados, esto es, definir especficamente que conceptos se emplearn en el Proyecto de Tesis. 1.1.1 Elaboracin de la Pirmide Conceptual. Para iniciar, es necesario identificar los elementos conceptuales involucrados en ste proyecto. Para ello, se crea una pirmide conceptual [Galindo 2005]. La base de la pirmide contiene el concepto ms general y de ah hacia arriba, se va particularizando:

ArquitecturadeProceso

ArquitecturadeInformacin

ArquitecturadeDatos

ArquitecturadeSistemas

ArquitecturaTecnolgica

Administracin de la

Continuidad del Negocio (BCM)

Plan de Continuidad de Negocio

(BCP)

Plan de Recuperacin de Desastres

(DRP)

Instituto Internacional de Recuperacin ante Desastres

(DRII)

Instituto de Continuidad del Negocio (BCI)

Asociacin de Auditora y Control de Sistemas de Informacin

(ISACA, CobIT)

Consorcio internacional de Certificacin de Seguridad de

Sistemas de Informacin (ISC)

Organizacin Internacional para la Estandarizacin (ISO)

Instituto Britnico de Normas (BSI)

Figura 1.1 Pirmide Conceptual adaptada de [Galindo, 2005]

Captulo 1



1.1.2 Descripcin de los trminos de la Pirmide Conceptual. Arquitectura Tecnolgica. Establecer el diseo bsico general de los sistemas de informacin asegurando que no sufran anquilosamiento ni obsolescencia, ste diseo busca establecer un marco conceptual que oriente los proyectos de transformacin y evolucin de los sistemas, de forma que se mantengan integrados de un modo coherente. [Akella, Buckow, y Rey, 2009]

Arquitectura de Sistemas.

Es la organizacin fundamental de un sistema, que incluye sus componentes, las relaciones entre s y el ambiente, y los principios que gobiernan su diseo y evolucin. [ANSI/IEEE 1471-2000, 2001] Arquitectura de Datos. Provee a cualquier mbito de negocio una herramienta de trabajo, a partir de la cual es factible la gestin organizada de los datos que representan los distintos conceptos de negocio involucrados en un proceso, permite la clasificacin y organizacin de los elementos de dato para una fcil localizacin y consulta de los mismos, en cada una de las capas y subdivisiones; facilitando as la reutilizacin y no la creacin de nuevos elementos de dato. [GEL-XML, 2009] Arquitectura de Informacin. La Arquitectura de Informacin es una disciplina que organiza conjuntos de informacin, permitiendo que cualquier persona los entienda y los integre a su propio conocimiento, de manera simple. [Mabilon, 2009] Arquitectura de Procesos. Representa el conjunto de procesos esenciales de la empresa, mostrando sus relaciones entre s y sus interacciones con clientes y proveedores [sterle, 1995]. Los procesos esenciales son los encargados de crear y comercializar los productos y servicios de la empresa y constituyen la base para su ventaja competitiva [Hammer, Champy, 1993].

Captulo 1



Plan de Recuperacin de Desastres (Disaster Recovery Planning, o DRP). Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los servicios informticos crticos en caso de contingencia. [BCI Internacional, 2009] Plan de Continuidad del Negocio (Business Continuity Planning, o BCP). Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin oportuna y ordenada de los procesos del negocio generando un impacto mnimo o nulo ante una contingencia. [BCI Internacional, 2009] Administracin de la Continuidad del Negocio (Business Continuity Management, o BCM). Proceso administrativo completo que identifica impactos potenciales que pueden afectar la organizacin y provee la estructura para dar flexibilidad y Respuestas efectivas para salvaguardar los intereses de los accionistas, la reputacin, la marca y actividades de valor agregado. [DRII Internacional, 2008] Instituto Britnico de Normas (British Standards International, o BSI) Organismo nacional de normas del Reino Unido, independiente con integridad e innovacin en la creacin de normas que fomentan las mejores prcticas reconocidas alrededor del mundo. Desarrolla y comercializa normas y soluciones de estandarizacin que satisfacen las necesidades de las empresas y la sociedad. Norma BS 25999 Continuidad del Negocio: Ayuda a establecer las bases de un sistema BCM\BCP y se ha concebido para mantener en marcha las actividades durante una interrupcin, ya sea debido a un siniestro o catstrofe importante o bien debido a un incidente menor. Proporciona una base para comprender, desarrollar e implantar la continuidad de la actividad comercial en una organizacin y otorga confianza en los negocios de empresa a empresa y de empresa a cliente. As mismo, contiene un conjunto exhaustivo de controles basados en las mejores prcticas de BCM\BCP y abarca todo el ciclo de vida de la gestin de continuidad de la actividad comercial. [BCI Mxico, 2007].

Captulo 1



Organizacin Internacional para la Estandarizacin (International Organization for Standardization, o ISO) Es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin, comercio y comunicacin para todas las ramas de la industria. Su funcin principal es la de buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. Norma ISO/IEC 27001 Seguridad de la informacin: Es un estndar publicado por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC), es la nica norma internacional auditable que define los requisitos para un sistema de gestin de la seguridad de la informacin (SGSI), se ha concebido para garantizar la seleccin de controles de seguridad adecuados y proporcionales, adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. [Direccin General de Normas, Mxico, 2007]. Instituto Internacional de Recuperacin ante Desastres (Disarter Recovery Institute International, o DRII) Fundado en 1988, por un grupo de profesionales de la industria para desarrollar y estandarizar la profesin del planificador de continuidad del negocio, es lder mundial en el establecimiento de estndares, cursos y certificaciones reconocidos internacionalmente para la administracin de continuidad de negocio [DRII Internacional, 2010]. Instituto de Continuidad del Negocio (Business Continuity Institute, o BCI) Apoya y orienta a sus socios, promocionando las normas ms elevadas en materia de competencias profesionales y tica de las prestaciones y del mantenimiento de servicios y planificacin de la continuidad de negocio. A travs de su plan de certificacin, proporciona a sus miembros un estatus internacionalmente reconocido, puesto que la afiliacin profesional del BCI demuestra la capacidad de sus miembros de llevar a cabo una gestin de continuidad del negocio a un nivel muy elevado. [BCI Mxico, 2009]

Captulo 1



Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems and Audit Control Association, o ISACA) Organizacin global que establece pautas para los profesionales de gobernabilidad, control, seguridad y auditora de informacin. Juntos, ISACA y su Instituto de Gobernabilidad de TI asociado (ITGI) lideran la comunidad de control de Tecnologas de la Informacin. Objetivos de Control para la Informacin y la Tecnologa Relacionada (Control Objetives for Information and Related Technology, o COBIT): Es el marco de referencia aceptado internacionalmente de las mejores prcticas para el control de la informacin, infraestructura de TI y los riesgos que conllevan. Inicialmente, COBIT se utiliz para la realizacin de auditoras a las reas de Tecnologas de la Informacin. Sin embargo, en los ltimos aos COBIT a evolucionado para convertirse en el modelo a seguir para la implementacin de Gobernabilidad en Tecnologas de Informacin (IT Governance), contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez. [ISACA Mxico, 2010] Consorcio internacional de Certificacin de Seguridad de Sistemas de Informacin (International Information Systems Security Certification Consortium, o ISC). Organizacin internacional, dedicada a mantener una base de conocimiento para los profesionales dedicados a la seguridad de los Sistemas de Informacin, certifica profesionales sobre una consensuada base de conocimientos profesionales y administra los exmenes de la certificacin asegurando el mantenimiento de las credenciales, por medio de la educacin continua. Certificacin Profesional en Seguridad de Sistemas de Informacin (Certified Information Systems Security Professional, o CISSP): Certificacin creada a partir de la base de conocimiento en seguridad de los sistemas de informacin mantenida por la ISC. No asociada a ninguna tecnologa o proveedor, la ms antigua certificacin profesional enfocada exclusivamente a la seguridad informtica [ISC Internacional, 2010].

Captulo 1



1.2 Marco Contextual. Para el desarrollo del proyecto de Tesis, es necesario conocer previamente en trminos generales, la naturaleza del problema en cuestin, por tal motivo es necesario investigar los antecedentes de la situacin a tratar, lo cual nos permitir identificar el medio ambiente y las reas en donde se desenvuelve el problema, as como los elementos y relaciones fundamentales que sern objeto de estudio [Galindo 2005]. 1.2.1 Descripcin del Medio Ambiente Temporal. Las tecnologas de informacin representan oportunidades y amenazas importantes, por lo que es recomendable que se tomen en cuenta al formularse las estrategias del negocio. Los adelantos tecnolgicos afectan en forma drstica los productos, servicios, mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura, prcticas de mercadotecnia y la posicin competitiva de las empresas. (Dubelaar, Sohal, Savi, 2005). 1.2.1.1 Evolucin de las TICs en la industria de la manufactura. La dcada de los 80, fue testigo de una revolucin en las filosofas de direccin y de tecnologas aplicadas a la produccin. Chase y Aquilano [Chase, 2000], refieren a la produccin Justo a Tiempo (JIT) como el mayor adelanto en la filosofa de fabricacin, comparable en su impacto con la cadena de montaje de Henry Ford a inicios del pasado siglo. Al JIT se uni el Control de Calidad Total (TQC) y juntos, forman la "piedra angular" de las prcticas industriales de empresas de excelencia. Por el mismo tiempo, la tecnologa acudi al rescate de la manufactura, incorporndose nuevas tecnologas en el accionar de las fbricas, trminos como fabricacin integrada por computadora (CIM), diseo asistido por computadora (CAD), fabricacin asistida por computadora (CAM), sistemas flexibles de fabricacin (FMS), planificacin de necesidades de materiales (MRP), planificacin de los recursos de manufactura (MRPII), entre otros, se han hecho muy conocidos y convertido en conceptos cotidianos para los fabricantes actuales. Los primeros sistemas creados para integrar los datos y organizar los diferentes procesos productivos tuvieron su inicio con las aplicaciones MRP, mismas que evolucionaron a lo que hoy conocemos como sistemas ERP (planeacin de los recursos empresariales).

Captulo 1



Estos sistemas son bsicos para comprender cmo la Tecnologa de Informacin ha aportado ventajas competitivas al sector industrial. Es importante considerar la contribucin significativa que el Internet, e-commerce, y e-business, ha brindado a las industrias de la manufactura, como una oportunidad de desarrollo, expansin y diversificacin como respuesta al mercado en constante cambio. 1.2.1.2 Evolucin de los Conceptos de Continuidad del Negocio. Hacia principios de los aos setenta del pasado siglo, Normal L. Harris, Edward S. Devlin y Judith Robey [Barnes, 2001], tratando de encontrar un mtodo de planificacin y gestin que evitara la continua atencin de problemas de forma aleatoria, es decir apagar fuegos, dieron lugar al nacimiento de una actividad que en principio se llam Planeacin de Contingencias (CP). Posteriormente, esa misma actividad se denomin Planeacin de la Recuperacin ante Desastres (DRP), segn el diccionario de la RAE en su segunda acepcin, contingencia es Algo que puede suceder o no suceder, y en su tercera acepcin, Riesgo. De esta forma, no limitamos las causas a Desastres, lo que parece indicar que otros incidentes menos espectaculares no son tenidos en cuenta. Hasta ese momento, las actividades de planificacin y prevencin estaban dirigidas hacia las operaciones informticas que en la mayor parte de los casos se encontraban centralizadas en el departamento de Informtica e, incluso, en un lugar fsico concreto. Con el paso del tiempo y la aparicin de la Informtica distribuida, al extenderse por toda la organizacin las funciones soportadas en medios Informticos y Telemticos, esa actividad vario su alcance y vino a llamarse Planeacin de la Continuidad del Negocio (BCP). La palabra negocio, tiene claros matices mercantiles, y dado que hoy todas las organizaciones, sean mercantiles, empresas o entidades pblicas, dependen del correcto funcionamiento de las Tecnologas de la Informacin y de las Comunicaciones, hablar de continuidad del Negocio sera limitar el alcance, por lo que sera ms correcto hablar de continuidad del Servicio. Sin embargo, dentro del mbito de los profesionales de las Tecnologas de la Informacin, Continuidad del Negocio ha venido a transformarse en un trmino comnmente aceptado, tanto para organizaciones mercantiles como para organismos pblicos. Hoy da, el concepto de Planeacin de la Continuidad del Negocio, est siendo sustituido por el de Administracin de la Continuidad del Negocio; es decir, no se limita a la planificacin de la continuidad, sino a la gestin integral de la misma.

Captulo 1



La figura 1.2, muestra la evolucin de los conceptos de continuidad:

Figura 1.2 Evolucin de los Conceptos de Continuidad [fuente Insys, 2009]. La Administracin de la Continuidad del Negocio es reconocida como una buena prctica profesional y es parte integral del buen gobierno de las organizaciones; de esta forma, toma una dimensin estratgica y no es considerado como una mera herramienta operativa, sino un enfoque global de la actividad que integra un amplio espectro de actividades de gestin encaminadas al objetivo final de la organizacin. En particular, crea el marco estratgico y operativo para revisar, y modificar cuando sea necesaria la forma en que la organizacin proporciona sus productos y servicios, al mismo tiempo que aumenta su resistencia frente a interrupciones o prdida. 1.2.2 Descripcin del Medio Ambiente Fsico.

Las Tecnologas de Informacin y Comunicaciones (TICs), han reemplazado los dos elementos bsicos que sustentaron la economa durante los ltimos dos siglos: el obrero y el capital han sido suplantados por la Informacin y el Conocimiento. No cabe duda que la sociedad post-industrial ha dado paso a la sociedad de la Informacin en la que los avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red la Informacin, los procesos y los conocimientos han afectado profundamente las tradicionales formas de produccin. Ser la historia la que en el futuro evale los resultados de este cambio de era, dimensionando las transformaciones que estn afectando a las empresas en estos momentos.

Captulo 1



La era de la sociedad de la Informacin nos ha sumergido en un mundo confuso, dominado por un orden mundial interconectado y por tanto ms abierto, complejo, diverso y a la vez, ms peligroso. Frente a esta realidad, la operatividad de la organizacin de los sistemas de informacin ocupa un lugar preponderante, ligado a la condicin imprescindible de su disponibilidad absoluta. 1.2.2.1 El imperativo: asegurar la continuidad de negocio. Las propuestas para evitar estas interrupciones y asegurar una reduccin razonable del riesgo han sido numerosas. Los Planes de Recuperacin ante Desastres (DRP) fueron los primeros instrumentos desarrollados en este sentido hace ms de 20 aos, superados una dcada despus por los Planes de Continuidad del Negocio (BCP). En la actualidad, los instrumentos empleados han dejado de lado la fuerte carga tecnolgica que caracterizaba a los planes anteriores para enfrentarse con las demandas operativas de las Organizaciones. Para lograr este fin, los planes asumen nuevos principios: se alinean con los objetivos de la organizacin integrndose directamente en la empresa y conformando procesos en constante evolucin. Este espritu alienta a los planes para la Administracin de la Continuidad del Negocio (BCM), que se ajustan al dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo, afectado por cambios que deben ser analizados y tratados consecuentemente (implantacin de nuevos controles, cambios de responsables, imprevistos, etc.). 1.2.2.2 Estrategias y planes para la continuidad de negocio. La probabilidad de que una amenaza pueda afectar adversamente la capacidad de la Organizacin para lograr sus estrategias y objetivos de negocio, se le denomina Riesgo. Las estrategias de las organizaciones para asegurar la continuidad del negocio combinan diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos. Una alteracin de esta continuidad que impacte en forma relevante el normal desarrollo de un servicio considerado crtico, teniendo su origen en la falla de un componente o la interrupcin de una tarea, constituye una Contingencia; sin estar necesariamente prevista, el Desastre, a su vez, ocurre cuando este suceso interrumpe el normal

Captulo 1



funcionamiento de la organizacin por un periodo de tiempo lo suficientemente largo como para que su impacto resulte grave. Las causas que originan los desastres, en cuanto a su naturaleza, se tipifican en:

Naturales: Incendios. Terremotos. Inundaciones. Tornados. Huracanes. Hundimientos. Exhalaciones volcnicas.

Humanos: Amenazas de Bomba. Huelgas. Plantones. Empleados Inconformes. Empleados Mal Capacitados. Disturbios Sociales.

Tcnicos: Fallas en el Equipo de Cmputo o algn Perifrico Fallas en el Equipo de Soporte del Centro de Cmputo Fallas en Equipo de Telecomunicaciones o algn componente de la red Fallas en el Enlace Infeccin de Virus Falla de aplicaciones.

Entonces, los Procedimientos de Contingencia, los podemos focalizar en los criterios de seguridad, ver cuadro 1.1, como: a) confidencialidad, b) integridad y c) disponibilidad. Por ello, se separan las polticas y diseos operacionales de continuidad de negocio ms transparentes como (tener discos tolerantes a fallas o servidores espejados, as como contratos concurrentes con ms de un proveedor de comunicaciones), de los planes de contingencia y procedimientos de recuperacin:

Captulo 1



Cuadro 1.1 Criterios de la Seguridad de la Informacin [Fuente KPMG, 2010].

Entonces, para concluir, un Plan de Continuidad en un Modelo de Negocio es: una secuencia definida de pasos para elaborar de manera sistemtica un mtodo que proporciona una combinacin de diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos, estos elementos se muestran en la figura 1.3:

Ventajacompetitiva

Gestinderiesgos

Impulsoresdecreacindevalor

Capacidadclave

PlandeContinuida

ddelNegocio

Manejodeincidentes

Incidente

Gestinderiesgos

Manejodeincidentes

RecuperacindelNegocio

PlandeRecuperacin

anteDesastres

Manejodecrisis

Establecer

ImplementaryOperar

MonitorearyRevisar

ManteneryMejorar

Plan

Do

Check

Act

RequisitosyExpectativas

Resultadosesperados

Mejoracontinua

Figura 1.3 Modelo Cclico Dinmico de un Plan de Continuidad en un Modelo de Negocio [Elaboracin propia].

Captulo 1



De donde el objetivo de la tesis ser en principio, analizar los procesos, mtodos o metodologas que puedan crear un Plan de Continuidad en un Modelo de Negocio, para as poder efectuar una evaluacin seguida de un diagnstico, y determinar su viabilidad, para en su caso proponer una metodologa que pueda cumplir con las necesidades para la creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de TICs en la Industria de la Manufactura. En Resumen, en el presente captulo se ha presentado, como la manufactura ha recibido recientemente cierto empuje de las tecnologas de la informacin, permitiendo el diseo y desarrollo simultneo de productos, procesos y actividades de apoyo, aportando una base confiable y flexible para el desarrollo de plataformas de ingeniera concurrente. Frente a esta realidad, la operatividad de los sistemas de informacin ocupa un lugar preponderante, ligado a la condicin imprescindible de su disponibilidad absoluta. Ahora, en el siguiente captulo, se presenta como los planes de continuidad y recuperacin ante desastres hacen frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organizacin, teniendo en cuenta las implicaciones relacionadas con el cumplimiento de las normativas para garantizar el xito en la gestin de la Informacin, tomando en cuenta los referentes que brindan los estndares para su seguridad.

Captulo 2 Anlisis, Evaluacin y Diagnstico de la Situacin Actual. Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la Manufactura.

Captulo 2

Anlisis, evaluacin y diagnstico de la situacin actual


CAPTULO 2.-

ANALISIS, EVALUACIN Y DIAGNSTICO DE LA SITUACIN ACTUAL

En el captulo anterior, se estudi la seguridad de la informacin y la continuidad del negocio como dos componentes crticos de la estrategia futura de muchas organizaciones a nivel nacional e internacional. Los Planes de Recuperacin ante Desastres (DRP) fueron los primeros instrumentos desarrollados en este sentido hace ms de 20 aos, superados una dcada despus por los Planes de Continuidad del Negocio (BCP). A continuacin, se estudiar el desarrollo del documento de lineamientos que permite a la organizacin definir polticas, normas, procedimientos y estndares, de acuerdo a los requerimientos de su misin, basados en recomendaciones y mejores prcticas (frameworks) desarrollados con cooperacin internacional; se busca, identificar herramientas o productos tecnolgicos que apoyen los controles y que permitan mitigar el riesgo y mejorar de esta manera la seguridad de la informacin y la continuidad de las operaciones.

2.1 Introduccin. En un mundo globalizado, dinmico e incierto como el de hoy, las Tecnologas de Informacin y Comunicaciones, juegan un papel preponderante y fundamental para el desarrollo de las Organizaciones desde diferentes mbitos como el tecnolgico, econmico, financiero, de servicios y de produccin entre otros, es fundamental una adecuada preparacin y formacin desde una ptica corporativa, hasta un enfoque de lo que llamamos hoy Gobierno de Tecnologas de la Informacin (Gobierno de TI) con el fin de dar respuesta a los innumerables requerimientos de stas, porque ms all de los elementos puramente tcnicos y tecnolgicos, es primordial reconocer la organizacin como un todo, integral, holstica y con una sinergia propia que procura el cumplimiento de sus objetivos enmarcados en aumentar la rentabilidad y las ganancias al mximo.

Dicho cambio hace necesaria una adecuada gestin de la informacin y el conocimiento; la figura 2.1, muestra la relacin de los procesos de negocio con los Sistemas de Informacin, con el propsito de facilitar los procesos asociados con la innovacin, el desarrollo de productos o servicios, la eficiencia en el uso de los recursos, la calidad y la toma de decisiones acertadas.

Captulo 2



Figura 2.1 Relacin de los procesos de negocio con los Sistemas de Informacin [Elaboracin propia]. Sin embargo, en el afn de ingresar en el nuevo entorno, las empresas se ven enfrentadas a mayores riesgos que son cada vez ms difciles de controlar. Por tanto, se han iniciado planes que garantizan una adecuada gestin de la Informacin, por considerarse que sta forma parte de los activos fundamentales de las Organizaciones, y se toma como base para disear la estrategia comercial y de competitividad en esta sociedad globalizada. Para garantizar el xito en la gestin de la Informacin, se toman en cuenta los referentes que brindan los estndares para su seguridad. Con esto, se espera que la Informacin se proteja celosamente y se garantice la implantacin de las estrategias que propician la integridad, la confidencialidad y la disponibilidad de sta hacia los clientes. 2.2 Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres de TICs. Actualmente, los servicios TICs, trascienden las fronteras de la organizacin convirtindose en productos de la compaa, situando a la gestin de los servicios TI como uno de los elementos clave que se debe tener en cuenta en la estrategia de negocio, tanto en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia

Captulo 2



de la compaa ante situaciones crticas. Esto es, particularmente importante para las compaas del sector industrial, en este caso ya no basta con tener excelentes servicios de TICs, sino que es necesario demostrar a sus accionistas y clientes que disponen de una infraestructura tecnolgica y de servicios fiables y bien gestionados. Adicionalmente las empresas deben tener en cuenta las implicaciones relacionadas con el cumplimiento de las normativas y leyes locales y globales, cuyo cumplimiento es preciso demostrar. En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y materias relacionadas, se incluye en la figura 2.2, una seleccin de los estndares, mtodos de referencia y regulaciones ms conocidas y relevantes:

DefinicindeProcesos[BSI,2009].ITIL CapacitacinyCertificacinenPlanesdeContingencia[DRII,2004].DRII SistemadeGestindelaCalidad[ISO,2009].ISO9001 SistemadeGestindeServiciosdeTI[ISO,2009].ISO20000 SistemadeGestindeSeguridaddelaInformacin[ISO,2009].ISO27001 SistemadeGestindeContinuidaddelNegocio[BCI,2007].BS25999MetodologasdeDesarrollodeSoftware[Sotelo,2008].CMMI/SSE CMM GobiernodeTI[ISO,2009].COBIT/ISO38500 SistemadeGestindelRiesgoEmpresarial[BSI,2009].COSO GobiernodelasInversionesenTI[Sotelo,2008].ValIT SistemadeGestindeEstrategiadeNegocio[SDG Consulting,2010].BSC SistemadeGestindeProyectos[Sotelo,2008].PMBOK/PRINCE2 ReguladoresdeNegocio[Sotelo,2008].SOX,BASILEAII,PCI

Motivadores, Gobierno Corporativo, Gobierno de TI, Estndares y Mejores Prcticas, Procesos y Procedimientos, para la Convergencia de TICs

Figura 2.2 Convergencia de estndares y mejores prcticas [Elaboracin propia].

Captulo 2



Adems, de los aqu resumidos, existen muchos otros estndares, guas, metodologas y buenas prcticas dedicados a distintos aspectos de la seguridad de la informacin, publicados por prestigiosas instituciones en todo el mundo. En el contexto de gestin de servicios de TICs para la Continuidad del Negocio, algunos estndares y buenas prcticas internacionales a considerar para realizar el documento de lineamientos, se muestran en la figura 2.3:

Figura 2.3 Estndares internacionales, buenas prcticas y metodologas en general para el desarrollo del documento de lineamientos de Continuidad del Negocio [Elaboracin propia].

Captulo 2



Los lineamientos para los servicios de TICs, cubren aspectos como: disponibilidad, desempeo, confidencialidad, integridad y controles de acceso fsico, administrativos y lgicos, obteniendo un enfoque integral de acercamiento a la gestin del riesgo y al gobierno de TI, conformando una estrategia integrada para la seguridad de la informacin y la continuidad del negocio, basada en una estrategia efectiva de gestin de riesgos. El cuadro 2.1, muestra los elementos constitutivos necesarios para construir una infraestructura de TICs segura y una cultura de seguridad, comparando los estndares, buenas prcticas y metodologas comnmente usados para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres de TICs, debiendo cumplir con los objetivos de negocio y con los requerimientos legales para Gente/Procesos/Tecnologa: Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con

los elementos necesarios para una infraestructura de TICs segura (Inicio) [Elaboracin propia].

Elementos Estndares,BuenasPrcticasyMundologas.ISO 27001

ISO 17799/27002

ISO 24762

ISO 20000

ISO 27005

BS 25999

BS 25777

COBIT ITIL COSO M_o_R

Administracin del riesgoContinuidad del negocioControl de accesoArquitectura segura de red y aplicacinAdministracin de: Configuraciones, Actualizaciones y Cambios

Monitoreo de la Seguridad y manejo de incidentesAuditora, rastreo y monitoreo de cumplimientoDocumentacin y evidencia de procesos y operacionesEntrenamiento en seguridad y sensibilizacin

Captulo 2



Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con los elementos necesarios para una infraestructura de TICs segura (Final) [Elaboracin propia].

Elementos Estndares,BuenasPrcticasyMundologas.

MOF AU NZ/4360 NFPA 75 NFPA 1600 NIST SP 800-34 NIST DRII BCI ISACA ISC

Administracin del riesgoContinuidad del negocioControl de accesoArquitectura segura de red y aplicacinAdministracin de: Configuraciones, Actualizaciones y Cambios

Monitoreo de la Seguridad y manejo de incidentesAuditora, rastreo y monitoreo de cumplimientoDocumentacin y evidencia de procesos y operacionesEntrenamiento en seguridad y sensibilizacin

Estos lineamientos se enfocan en ofrecer las directrices para una gestin integral de la seguridad de la informacin, la prestacin de servicios con calidad y la continuidad de las operaciones. El Cuadro 2.2, muestra las ventajas y desventajas de cada uno de estos estndares, buenas prcticas y metodologas en busca de una manera de generar un camino claro y expedito para luego poder emprender el desarrollo de un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres de TICs:

Captulo 2



Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del

Gobierno de TI (Inicio) [Elaboracin propia].

Estndares,BuenasPrcticasyMetodologas

Ventajas Desventajas

Estndares

ISO 27001 Orientada a la Gestin de la Seguridad de laInformacin.

ContemplaparcialmenteeltemadeContinuidaddelNegocioyRecuperacinanteDesastresdeTI.

ISO 24762 Guaparalaprovisindeserviciosderecuperacinde desastres como parte de la gestin de lacontinuidaddelnegocio.

ActualmenteenDesarrollo.

ISO 20000 OrientadaalaGestindeServiciosdeTI. No contempla el tema de Recuperacin antedesastresdeTIenlaContinuidaddelNegocio.

BS 25999 Orientada a la Gestin de la Continuidad delNegocio.

Contempla parcialmente el tema deRecuperacinantedesastresdeTI.

NFPA 75 Orientada a la Proteccin contra Incendios y laContinuidaddelNegocio.


NIST SP 800-34 Gua para la planeacin de Contingencias en losSistemasdeTI.

ContemplaparcialmenteeltemadeContinuidaddelNegocio.

BuenasPrcticas

ISO 17799/27002 Guadebuenaspracticasquedescribelosobjetivosdecontrol ycontrolesen laAdministracinde laSeguridaddelaInformacin.

Contempla parcialmente el tema deRecuperacin ante desastres de TI en laContinuidaddelNegocio.

ISO 27005 Establece lasdirectricespara lagestindel riesgoenlaSeguridaddelaInformacin.


BS 25777 Guadebuenasprcticasqueestableceunmarcopara crear y mejorar un sistema de gestin decontinuidaddeserviciosenlosSistemasdeTI.

ContemplaparcialmenteeltemadeContinuidaddelNegocio,seusaelestndarBS25999comocomplemento.

COBIT Brinda un marco de trabajo para la medicin ymonitoreo del desempeo de las Tecnologas deInformacin,definiendolasactividadesdeTI.

Contempla la mayora de los procesosrelacionadoscon lacontinuidaddelservicio,notieneunenfoqueintegradodetodoelproceso.

ITIL Gua debuenas prcticas destinadas a facilitar laentregadeserviciosdeTIdealtacalidadabarcandolainfraestructura,desarrolloyoperacionesdeTI.


COSO Identifica los factores que causan informesfinancieros fraudulentos y hace recomendacionesparareducirsuincidencia.

No contempla el tema de Recuperacin antedesastresdeTIenlaContinuidaddelNegocio.

Los principales beneficios que se obtienen al usar estos estndares, buenas prcticas y metodologas son: (1) Identificar de forma proactiva los impactos de un trastorno operacional. (2) Proporcionar una respuesta efectiva que minimiza el impacto en la organizacin. (3) Mantiener la capacidad para gestionar los riesgos no asegurables. (4) Fomentar el trabajo entre equipos. (5) Mejorar la reputacin y ventajas competitivas de la Organizacion en su capacidad para mantener, entregar y recuperarse de un desastre.

Captulo 2



Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del

Gobierno de TI (Final) [Elaboracin propia].

Estndares,BuenasPrcticasy

MetodologasVentajas Desventajas

BuenasPrcticas

M_o_R Proporcionaunconjuntodeprincipiosyprocesosgenricospara identificar,analizary gestionar losriesgos que pueden ocurrir en un contexto denegocios.


MOF Detallalosprocesosdegestinquedebenutilizarsepara administrar de manera eficaz losdepartamentosinformticos

Declinacin de ITIL preconizada por Microsoftpara administrar entornos basados en lastecnologasMicrosoftWindows.

AU NZ/4360 Gua genrica para el establecimiento eimplementacindelprocesodeadministracinderiesgos.

Aplicado a todas las etapas de la vida de unaactividad,funcin,proyecto,productooactivo.

NFPA 1600 ManejodeDesastres/EmergenciasyProgramasdeContinuidaddelNegocio.

Dirigido a Tcnicos y profesionalesencargadosdelcontrolyseguridadcontraincendios.

Metodologas

NIST Agenciade laAdministracindeTecnologade losEstados Unidos. Su misin es promover lainnovacin y la competencia industrial mediantebiotecnologa, nanotecnologa, tecnologas de lainformacinyfabricacinavanzada.


DRII Desarrolla una base de conocimientos en laplanificacin de contingencias y el manejo deriesgos. Administra los principales programas decertificacindelaindustria

Contempla parcialmente el tema deRecuperacin ante desastres de TI en laContinuidaddelNegocio.

BCI Promociona normas enmateria de competenciasprofesionales y tica de las prestaciones y delmantenimiento de servicios y planificacin de lacontinuidaddenegocios.


ISACA Dedicadaalaprcticayalestudiodelaauditora,elcontrol, la gobernabilidad de las TI, el anlisis deriesgosylaseguridadinformtica.


ISC Instituto Internacional de Capacitacin yCertificacinenSistemasdeInformacin.


En el diseo o posterior certificacin de estos entornos de Continuidad del Negocio y Recuperacin ante Desastres de TICs, an no existe un estndar que sea claramente seguido por el mercado. Sin duda, ITIL tiene varios apartados donde se contemplan la mayora de los procesos relacionados con la garanta de la continuidad del servicio, pero no tiene un enfoque integrado de todo el proceso. Las sociedades ISO/IEC han adoptado y desarrollado varios estndares que contemplan parcialmente este tema, como es la ISO 27001, actualmente est en desarrollo la norma ISO/IEC 24762 que es una gua para la provisin de servicios de recuperacin de desastres como parte de la gestin de la continuidad del negocio tanto para servicios propios como para servicios externalizados.

Captulo 2



La norma BS 25777, contiene una gua de buenas prcticas que establece cmo abordar la gestin de la continuidad de servicios de TICs en una organizacin, siguiendo el marco de referencia de la norma BS 25999, sistema de gestin de continuidad del negocio. El anlisis y evaluacin, anteriormente, expresado ha llevado a proponer al que suscribe, el siguiente diagnstico de lineamientos que consideran la Continuidad del Negocio y Recuperacin ante Desastres de TICs, ver figura 2.4, con el fin de plantear una ruta estratgica que le ofrezca a las Organizaciones la capacidad para estar mejor preparada ante un entorno cambiante y de alto riesgo:

Figura 2.4 Estndares internacionales, buenas prcticas y metodologas orientadas, para realizar el documento de lineamientos de Continuidad del Negocio propuesto [Elaboracin propia].

Captulo 2



2.3 Justificacin del Proyecto de Tesis En base al anlisis, evaluacin y diagnstico anterior, se concluye que: no existe para la industria de la manufactura, una metodologa con un enfoque integrado de todo el proceso para la creacin de Planes de Continuidad del Negocio y Recuperacin ante Desastres de TICs, por lo tanto se justifica proponer una metodologa para:

El cumplimiento regulatorio: Existe un creciente nmero de reglamentos y estndares a cumplir, normalmente el sector est basado en COBIT, ITIL, COSO, ISO 27001, ISO 17799/27002, ISO 27005, ISO 20000, ISO 24762, BS 25999, BS 25777:2008 (gestin de continuidad de TICs, es ms concreto que el BS-25999 bajando a detalles como por ejemplo hablar de centros alternativos y de procedimientos especficos de TICs), DRII, BCI, ISACA.

La necesidad de los negocios: Para minimizar las prdidas, Segn Jim Hoffer de Health Management Technology (2009) slo el 6% de las organizaciones que sufren una prdida de datos catastrfica logra sobrevivir, mientras el 43% nunca vuelve a reabrir y el 51% cierra en el plazo de dos aos.

La proteccin de personas y activos.

Crecimiento de vulnerabilidades de materializacin de amenazas.

Necesidad del servicio continuo de TICs. Entonces, para conseguir lo anteriormente expresado, se deben establecer los objetivos generales y particulares, que son fundamentales para la elaboracin del presente proyecto de tesis. 2.4 Definicin de Objetivos del Proyecto de Tesis 2.4.1 Objetivo General Disear, proponer, aplicar y evaluar una metodologa para establecer las estrategias y procedimientos a ser implementados por un equipo de individuos que permita garantizar la continuidad de las operaciones del negocio.

Captulo 2



2.4.2 Objetivos Particulares

Identificar y conocer el medio ambiente de las empresas de manufactura para efectuar un anlisis y evaluacin de las amenazas a la seguridad de la informacin y sus operaciones.

Identificar y conocer el medio ambiente de los estndares, mejores prcticas y metodologas en Recuperacin ante Desastres como parte de la gestin de la Continuidad del Negocio en los Sistemas de TICs para efectuar un anlisis y evaluacin de su desempeo.

Disear y proponer una metodologa para la creacin de un plan para la

Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de Informacin y Comunicaciones.

Aplicar la metodologa propuesta en una empresa de manufactura, para garantizar la reanudacin de los procesos crticos dentro de los mrgenes de tiempo tolerables, asegurando la continuidad de las operaciones, minimizando la posibilidad de prdida de informacin crtica para el negocio.

Tomando en cuenta lo anterior, en el presente captulo se mostr como el gobierno de TI puede verse mejorado con la aplicacin de estndares y buenas prcticas en TICs; sin embargo, su adopcin en el pas es an incipiente, una explicacin sera que los estndares enfocan la gestin de TICs por procesos, mientras que en la mayora de entidades, la gestin organizacional y la de TICs contina siendo funcional, basada en procedimientos, existiendo una escasa cultura de procesos a todo nivel (estratgico, tctico y operativo). Ahora, en el siguiente captulo, se estudiar cmo se debe superar esta brecha, por medio de un mtodo basado en procesos, que proporcione una secuencia definida de pasos para elaborar de manera sistemtica un plan para la continuidad y recuperacin ante desastres, a travs de la seleccin de un conjunto de estndares, estableciendo las estrategias de adopcin, a travs de un buen candidato para marco de gobierno de TI con un buen nivel de madurez y que cubra la diversidad de actividades, complementado, en temas especficos con otros estndares, buenas prcticas y metodologas (manteniendo la concordancia).

Captulo 3 Metodologa Propuesta Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la Manufactura.

Captulo 3

Metodologa Propuesta


CAPTULO 3. -

METODOLOGA PROPUESTA En el captulo anterior, se estudi como en los entornos de Continuidad del Negocio y Recuperacin ante Desastres de TICs; an no existe, un estndar que sea claramente seguido por el mercado de la industria de la manufactura. A continuacin, se estudiar como se debe superar esta brecha, a travs de un mtodo, que proporcione una secuencia definida de pasos para elaborar de manera sistemtica a travs de una metodologa propuesta, un plan para la continuidad y recuperacin ante desastres, a travs de la seleccin de un conjunto de estndares, estableciendo la estrategia de adopcin, por medio de un buen candidato para marco de gobierno de TI. 3.1 Introduccin. Se puede comentar que, la mayora de los productos y servicios que son solicitados por la sociedad son proporcionados por empresas, para ellas, es muy importante garantizar a sus clientes un adecuado nivel de seguridad, disponibilidad y confiabilidad de los procesos que son esenciales para su funcionamiento, asegurando la continuidad del negocio. Esta disponibilidad se puede ver afectada por factores accidentales, incidentales y humanos. Una de las recomendaciones para mitigar los riesgos es la necesidad de recuperar los recursos, ya sean humanos, de infraestructura, datos vitales y de tecnologas de la informacin requeridos, que permitan continuar con el funcionamiento normal de la organizacin, a travs de:

Prevencin/Reduccin/Mitigacin o Identificar y mitigar el riesgo

Respuesta y Manejo o Reaccin planificada y manejo de un evento adverso

Recuperacin o Recuperacin y reanudacin planificada de los servicios y operaciones

despus de una interrupcin Restauracin

o Reparacin o reemplazo del sitio primario de operaciones normales de la organizacin.

Captulo 3

Metodologa Propuesta


Entonces, ahora se presenta la metodologa propuesta para la creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas de TICs en la Industria de la manufactura, tomando como marcos de referencia el estndar BS25999 (ver anexo A) y la metodologa DRII (ver anexo B), de Continuidad del Negocio: 3.2 Metodologa propuesta. La Metodologa propuesta hace frente a los objetivos prioritarios para asegurar la continuidad del negocio como estrategia de la organizacin, a travs de la identificacin de las reas de riesgo a que la empresa est expuesta, y sobre estas priorizar las medidas a adoptar para procurar una continuidad operacional, desde la perspectiva: para eliminar las amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo fsico (appliances, firewalls,), y de entorno (controles de acceso,), minimiza los efectos implantando sistemas redundantes y transfiere los riesgos residuales a una compaa de seguros que asuma dicho riesgo. La misma, se presenta a continuacin de manera general y posteriormente se estudiar con mayor detalle:

MetodologaparalacreacindeunPlanparalaContinuidadyRecuperacinanteDesastresenlos

SistemasdeTICsenlaindustriadelamanufactura.

Fase1.Conoceryplanificarel

medioambienteorganizacional.

Fase2.Analizary

evaluarriesgosysuimpactoal

negocio.

Fase3.Desarrollarel

plandecontinuidadyestrategiasderecuperacinantedesastres.

Fase4.Capacitar,probaryejercitar.

Fase5.Auditora,

mantenimientoyactualizacin.

DRP

BCP

Figura 3.1 Mapa de ruta de la metodologa propuesta [Ela

Montoya Fierros Israel Francisco-ejemplo.pdf

Documents

Transcript of Montoya Fierros Israel Francisco-ejemplo.pdf