prueba

Escuela Universitaria de Informática

Universidad Politécnica de Madrid

Guía de Desarrollo de un Plan de

Continuidad de Negocio

Autora: Laura del Pino Jiménez

Director de Tesis: Jorge Ramió Aguirre

Fecha del trabajo original: julio 2007

BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)

Laura del Pino es Ingeniero Técnico en Informática de Sistemas por la Universidad

Politécnica de Madrid. Ha realizado el Curso Superior de Dirección de Seguridad de

la Información del IADE de la Universidad Autónoma y es CISA por la ISACA.

Comenzó a trabajar en Seguridad informática en KPMG como NITSO, National

Information Security Officer, pasando en el año 2000 a formar parte de AZERTIA

como Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesional

en el departamento de Seguridad de INDRA.

NOTA DEL DIRECTOR DE TESIS

Laura realizó su Trabajo Fin de Carrera en la Escuela Universitaria de Informática

EUI de la Universidad Politécnica de Madrid en este tema en el año 2007, ocasión

en la que tuve la grata oportunidad de ser su tutor de tesis, como profesor del

departamento de Lenguajes, Proyectos y Sistemas Informáticos LPSI.

A mediados de 2008 le pedí que hiciese un breve resumen de esa tesis para

publicarlo en Internet como documento de libre distribución, con el objeto de que

fuese una guía práctica y de fácil entendimiento. Este es el feliz resultado de

dicho trabajo.

Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo el

poco tiempo libre que le dejan sus actividades profesionales que desarrolla en

esta importante área de la seguridad de la información.

Madrid, marzo de 2009.

Guía de Desarrollo de Plan de Continuidad de Negocio Índice

ÍNDICE


1. INTRODUCCIÓN ....................................................................................................................... 1

2. OBJETO DE LA GUIA ............................................................................................................... 2

3. ANTECEDENTES ........................................................................................................................ 3

4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 5

5. POR DÓNDE EMPEZAMOS ..................................................................................................... 7

6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS ............................ 9

6.1 ANÁLISIS DE IMPACTO ................................................................................................... 10

6.1.1 RELACIÓN DE PROCESOS.................................................................................................... 11

6.1.2 RELACIÓN DE APLICACIONES............................................................................................... 11

6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 12

6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS............................................................................... 12

6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN................................................................................... 12

6.2 ANÁLISIS DE RIESGOS ................................................................................................... 14

6.2.1 IDENTIFICAR ACTIVOS ......................................................................................................... 15

6.2.2 IDENTIFICAR AMENAZAS...................................................................................................... 16

6.2.3 EVALUAR VULNERABILIDADES ............................................................................................. 17

6.2.4 EVALUACIÓN DEL IMPACTO ................................................................................................. 18

6.2.5 EVALUACIÓN DEL RIESGO ................................................................................................... 18

6.2.6 EVALUAR CONTRAMEDIDAS................................................................................................. 20

7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 22

7.1 SELECCIÓN DE ESTRATEGIAS........................................................................................ 22

8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 25

8.1 ORGANIZACIÓN DE LOS EQUIPOS.................................................................................. 25

8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS............................................................................... 26

8.1.2 EQUIPO DE RECUPERACIÓN ................................................................................................ 26

8.1.3 EQUIPO LOGÍSTICO............................................................................................................. 26

8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES.................................................. 27

8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27

8.2 DESARROLLO DE PROCEDIMIENTOS ............................................................................ 28

8.2.1 FASE DE ALERTA ................................................................................................................ 29

8.2.2 FASE DE TRANSICIÓN ......................................................................................................... 31


8.2.3 FASE DE RECUPERACIÓN .................................................................................................... 32

8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 33

8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN.......................................................................... 33

9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 34

9.1 PRUEBAS............................................................................................................................ 34

9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS...................................................................................... 34

9.2 TIPOS DE PRUEBAS ......................................................................................................... 34

9.2.1. EJERCICIOS TÉCNICOS................................................................................................... 35

9.2.2. TEST COMPLETO............................................................................................................ 35

9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD ............................................................ 36

ANEXOS ............................................................................................................................................... 37

ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO ................................. 38

ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41

ANEXO III – EJEMPLOS DE VULNERABILIDADES.......................................................................... 43

ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS............................................................................... 44

ANEXO V – SITIOS DE INTERÉS........................................................................................................ 45

CASO DE ESTUDIO ............................................................................................................................. 47

ANTECEDENTES ............................................................................................................................. 47

ANÁLISIS DE IMPACTO ................................................................................................................ 48

COMPONENTES DE LOS PROCESOS ...................................................................................... 48

PROCESO PEDIDOS................................................................................................................... 48

PROCESO DE NÓMINAS ............................................................................................................ 50

TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS .................................................. 52

ANÁLISIS DE RIESGOS ................................................................................................................ 53

INVENTARIO DE ACTIVOS ......................................................................................................... 53

LISTADO DE AMENAZAS............................................................................................................ 53

VULNERABILIDADES.................................................................................................................. 54

EVALUACIÓN DE RIESGOS ....................................................................................................... 55

RECOMENDACIONES - CONTRAMEDIDAS.............................................................................. 55

ESTRATEGIA DE RECUPERACIÓN .............................................................................................. 56

DESARROLLO DEL PLAN .............................................................................................................. 57

COMITÉ DE CRISIS ..................................................................................................................... 57

EQUIPO DE RECUPERACIÓN .................................................................................................... 58


EQUIPO DE COORDINACIÓN LOGÍSTICA................................................................................. 59

EQUIPO DE RELACIONES PÚBLICAS ....................................................................................... 60

EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 61

FASE DE ALERTA ........................................................................................................................... 62

PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE............................................................................ 62

PROCEDIMIENTO DE EJECUCIÓN DEL PLAN........................................................................................ 62

PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN ............................................................. 62

FASE DE TRANSICIÓN.................................................................................................................. 64

PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS................................... 64

PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN ......................................... 64

FASE DE RECUPERACIÓN ............................................................................................................ 65

PROCEDIMIENTO DE RESTAURACIÓN ................................................................................................ 65

PROCEDIMIENTO DE SOPORTE Y GESTIÓN......................................................................................... 65

FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66

ANÁLISIS DEL IMPACTO .................................................................................................................... 66

ADQUISICIÓN DE NUEVO MATERIAL ................................................................................................... 66

FIN DE LA CONTINGENCIA................................................................................................................. 66

CONCLUSIONES............................................................................................................................. 67

BIBLIOGRAFÍA..................................................................................................................................... 68

Guía de Desarrollo de Plan de Continuidad de Negocio Introducción

1

1. INTRODUCCIÓN

Dentro de la Gestión de la Seguridad de la Información en una compañía es importante contar con un plan alternativo que asegure la continuidad de la actividad del Negocio en caso de que ocurran incidentes graves.

Tradicionalmente, los Planes de Continuidad, denominados Planes de Contingencia en sus orígenes, están asociados a grandes compañías que necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa sus servicios. La realidad es que cualquier compañía puede sufrir un incidente que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho incidente, las consecuencias pueden ser más o menos graves.

Esta guía pretende desglosar las actividades necesarias para desarrollar un Plan de Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden al lector a entender cada una de las fases y tareas que componen el Plan.

Es importante destacar que la guía puede servir para desarrollar un Plan de Continuidad de Negocio tanto en una gran compañía como en una Pyme, aunque consecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarán sensiblemente.

Guía de Desarrollo de Plan de Continuidad de Negocio Objeto de la Guía

2

2. OBJETO DE LA GUIA

Una de las motivaciones que me ha llevado a desarrollar esta guía es la poca información que he encontrado que contenga una descripción detallada de las fases y tareas que componen un Plan de Continuidad. Por ello, los principales objetivos son:

o Dar a conocer la importancia del Plan de Continuidad de Negocio para hacer frente a incidentes graves de seguridad en una compañía.

o Desarrollar una Guía completa sobre Continuidad de Negocio, donde se muestren cada una de las fases que componen el Plan.

o Resumir de forma clara y sencilla cada una de las actividades a desarrollar dentro de las Fases del Plan de Continuidad.

o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan de Continuidad.

Guía de Desarrollo de Plan de Continuidad de Negocio Antecedentes

3

3. ANTECEDENTES

A la velocidad con la que operan los negocios actuales un incidente de unas pocas horas de duración puede tener un impacto catastrófico en los resultados y en la imagen de la organización que lo sufra.

La íntima dependencia que existe entre el negocio y los sistemas de información exige que éstos estén preparados para afrontar las múltiples amenazas que ponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio. El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de 2005 o el Huracán Katrina en agosto de ese mismo año, son dos ejemplos que vienen a sumarse a sucesos, como los atentados del 11-S del año 2001. Sin embargo, en no pocas ocasiones no es necesario un desastre de dimensiones parecidas a las de los mencionados anteriormente para poner en peligro no sólo la buena marcha del negocio sino su misma supervivencia; eventos como la irrupción de un virus o la instalación de un parche de seguridad pueden conducir a la inoperabilidad temporal de los sistemas, la pérdida de información crítica o, en última instancia, la inutilización de las infraestructuras.

Tipos de incidentes

No sólo las catástrofes ambientales, tales como incendios o inundaciones, pueden causar daños adversos a una organización. Otros tipos de incidentes, como los que se detallan a continuación, pueden tener impactos adversos para una compañía:

• Incidentes serios de seguridad en los sistemas, como delitos cibernéticos, pérdida de información, robo de información sensible o su distribución accidental, fallos en los sistemas IT, errores de operación en los sistemas, etc.

• Daños en las infraestructuras o en los servicios, fallos en el suministro eléctrico, fallos en el suministro de agua, fallos en las comunicaciones, huelgas en los servicios de limpieza.

• Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentación, en los equipos de refrigeración.

• Daños deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.

Los accidentes afectan de forma diferente a cada organización, dependiendo de su tamaño y de su área de actividad, no siendo el tamaño una característica

Guía de Desarrollo de Plan de Continuidad de Negocio Antecedentes

4

fundamental; las pequeñas y medianas organizaciones también pueden verse seriamente afectadas.

Las consecuencias de estos accidentes sobre las organizaciones que no tienen un plan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de las mismas. Tomemos como ejemplo las siguientes cifras:

• Un 43% de las organizaciones después de un accidente no podrán continuar sus operaciones viéndose obligadas a cerrar.

• Un 80% tendrán que hacerlo en menos de 13 meses.

• Un 53% de los clientes de estas organizaciones no recuperarán las pérdidas causadas por los daños derivados.

• Un 50% se verán forzadas a cerrar antes de cinco años después del desastre.

Fuente: Cámara de Comercio de Londres

A pesar de que los efectos inmediatos de un desastre aparentemente son la pérdida de beneficios por la parada de actividad puntual y la incapacidad para proveer servicios críticos, no son éstos los efectos más perniciosos que un incidente de este tipo provoca.

Otros efectos derivados que pueden causar un gran impacto en la compañía son la pérdida de reputación de cara a los clientes, o la pérdida de ventaja competitiva con otras compañías.

Guía de Desarrollo de Plan de Continuidad de Negocio ¿Qué es un Plan de Continuidad de Negocio?

5

4. ¿QUÉ ES UN PLAN DE CONTINUIDAD DE NEGOCIO?

Un Plan de Continuidad de Negocio se compone de varias fases que comienzan con un análisis de los procesos que componen la organización. Este análisis servirá para priorizar qué procesos son críticos para el negocio y establecer una política de recuperación ante un desastre. Por cada proceso se identifican los impactos potenciales que amenazan la organización, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción.

Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia, está orientado al mantenimiento del negocio de la organización, con lo que priorizará las operaciones de negocio críticas necesarias para continuar en funcionamiento después de un incidente no planificado.

En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas clave:

• ¿Cuáles son los recursos de información relacionados con los procesos críticos del negocio de la compañía?

• ¿Cuál es el período de tiempo de recuperación crítico para los recursos de información en el cual se debe establecer el procesamiento del negocio antes de que se experimenten pérdidas significativas o aceptables?

Un Plan de Continuidad reducirá el número y la magnitud de las decisiones que se toman durante un período en que los errores pueden resultar mayores. El Plan establecerá, organizará y documentará los riesgos, responsabilidades, políticas y procedimientos, acuerdos con entidades internas y externas.

La activación de un Plan de Continuidad debería producirse solamente en situaciones de emergencia y cuando las medidas de seguridad hayan fallado.

BENEFICIOS

• Identifica los diversos eventos que podrían impactar sobre la continuidad de las operaciones y su impacto financiero, humano y de reputación sobre la organización.

• Obliga a conocer los tiempos críticos de recuperación para volver a la situación anterior al desastre sin comprometer al negocio.

• Previene o minimiza las pérdidas para el negocio en caso de desastre.

• Clasifica los activos para priorizar su protección en caso de desastre.

• Aporta una ventaja competitiva frente a la competencia.

Guía de Desarrollo de Plan de Continuidad de Negocio ¿Qué es un Plan de Continuidad de Negocio?

6

• Fomenta e implica a los recursos humanos de la compañía en las actividades de continuidad.

¿QUIEN DEBE TENER UN PLAN DE RECUPERACIÓN?

Una pregunta que podemos hacernos es si el tamaño de una organización determina la necesidad o no de tener un Plan de Continuidad. Se puede responder a esta pregunta diciendo que NO. Si una organización es muy grande, con beneficios millonarios, con grandes edificios y gran número de empleados, o si se trata de una persona trabajando en una pequeña oficina con 5 empleados, ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos casos sería más vital desarrollar un Plan de Recuperación de Negocio para los pequeños negocios que para las grandes corporaciones.

Guía de Desarrollo de Plan de Continuidad de Negocio ¿Por Dónde Empezamos?

5. POR DÓNDE EMPEZAMOS

Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por obtener un conocimiento de la compañía: sus productos/servicios, sus objetivos empresariales, procesos internos, etc.

No es lo mismo un Plan de Continuidad para una empresa de servicios de Internet que para una empresa fabricante de juguetes. Aunque en ambos casos el objetivo será el de seguir dando servicio a sus clientes, las actividades y procesos sobre las que se soporta la empresa tendrán diferentes prioridades de recuperación ante una contingencia grave.

El propósito general de un Plan de recuperación es obtener un mapa de acciones que reduzcan “la toma de decisiones” durante las operaciones de recuperación, restaure los servicios críticos rápidamente y permita un normal funcionamiento de los sistemas y procesos lo antes posible, minimizando costes y aumentando la efectividad.

Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:

Figura 1. Diagrama de Fases del Plan de Continuidad

7

Guía de Desarrollo de Plan de Continuidad de Negocio ¿Por Dónde Empezamos?

8

FASE I – ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS

Se trata de obtener un conocimiento de los objetivos de negocio y de los procesos que se consideran críticos para el funcionamiento de la compañía. Una vez identificados los procesos críticos, se analizarán cuáles son los riesgos asociados a dichos procesos para identificar cuáles son las causas potenciales que pueden llegar a interrumpir un negocio.

FASE II – SELECCIÓN DE ESTRATEGIAS

Esta fase tiene dos objetivos:

• Por un lado, valorar las diferentes alternativas y estrategias de respaldo en función de los resultados obtenidos en la fase anterior, para seleccionar la más adecuada a las necesidades de la compañía.

• Por otro lado, corregir las vulnerabilidades detectadas en los procesos críticos de negocio identificadas en el Análisis de Riesgos.

FASE III- DESARROLLO DEL PLAN

Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e implantarla dentro de la compañía. En esta fase se desarrollan los procedimientos y planes de actuación para las distintas áreas y equipos, y se organizan los equipos que intervienen en cada fase del Plan.

FASE IV – PRUEBAS Y MANTENIMIENTO

Una parte importante del Plan de Continuidad, es conocer que realmente funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la prueba del Plan, para afinarlo según los resultados. Además, en esta última fase se definirán los procedimientos de mantenimiento del Plan.

Guía de Desarrollo de Plan de Continuidad de Negocio FASE I. Análisis del Negocio y Evaluación de Riesgos

9

6. FASE I. ANÁLISIS DEL NEGOCIO Y EVALUACIÓN DE RIESGOS

Para desarrollar un Plan de Continuidad con garantía de éxito, lo primero es conocer y entender cuáles son los procesos de negocio que son esenciales dentro de la compañía en la que se va a desarrollar el Plan, con el objetivo de asegurar la continuidad de la actividad en caso de contingencia. Para ello debemos empezar por responder a cuestiones tales como:

• ¿Cuáles son las actividades más importantes para la compañía?

• ¿Cómo afectaría económicamente una interrupción de los servicios a medida que va pasando el tiempo sin reanudar el servicio?

• ¿Cuál sería la capacidad operativa de la empresa a medida que pasa el tiempo?

• ¿Cuál es el plazo máximo para volver a la normalidad sin llegar a incurrir en graves pérdidas?

Las actividades/procesos que se clasifican como esenciales dentro de una compañía suelen ser en su mayoría los Operacionales. Estos procesos interactúan directamente con los clientes o con otras organizaciones externas a la compañía (Dpto. de Ventas, Dpto. Atención al Cliente, etc.). También es posible, que estos procesos dependan de otros internos, que también deben ser analizados.

Para conocer cuáles son las necesidades de la compañía en cuanto a estrategias de continuidad, vamos a utilizar dos mecanismos de análisis:

Análisis de Impacto (BIA – Business Impact Analysis): Nos permitirá identificar la urgencia de recuperación de cada función de negocio, determinando el impacto en caso de interrupción. Esta información nos permitirá seleccionar cuál es la estrategia más adecuada.

Análisis de Riesgos: El Objetivo de un análisis de riesgos es identificar y analizar los diferentes factores de riesgo que potencialmente podrán afectar a las actividades que queremos proteger. La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el impacto que supondría para la organización. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.


10

6.1 ANÁLISIS DE IMPACTO

El Análisis de Impacto es esencial para establecer una estrategia de recuperación, que en principio dará continuidad a las actividades críticas y posteriormente al resto, si es posible.

El nivel de criticidad de una actividad dentro de la compañía se mide en función de lo dependiente de ella, que es la organización y de lo que repercutiría su indisponibilidad. En términos económicos esta valoración sería responder a la pregunta de cuánto perdería la organización si la actividad/proceso no estuviera disponible.

Dentro del Análisis de Impacto podemos distinguir las siguientes actividades:

• Obtención de la Relación de Procesos: Establecer los procesos de negocio que se realizan en la compañía.

• Obtención de la Relación de Aplicaciones: Establecer la relación de aplicaciones que soportan los procesos de la compañía.

• Relación de Departamentos y Usuarios: Se identifican los departamentos que hay en la empresa y el nombre de las personas que la componen y que intervienen en los procesos.

• Determinar cuáles son los Procesos Críticos: Pueden darse dos valoraciones, una basada en la importancia para la compañía de los procesos cuya ausencia tendría un impacto alto en la actividad de la compañía (valoración cualitativa). La otra, se referiría a las pérdidas económicas por período debido a la ausencia de los procesos (valoración cuantitativa).

• Período Máximo de Interrupción: El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y las actividades están interrumpidas. No obstante, a partir de un momento que denominaremos Período Máximo de Interrupción, las pérdidas sufren un aumento significativo y las funciones no podrían ser reasumidas.

En los casos en que la organización tenga varias sedes, será necesario establecer un alcance geográfico.

En el Anexo I se incluye un ejemplo de recogida de datos para cada una de las partes que componen el Análisis de Impacto. La recogida de esta información permitirá evaluar las necesidades de la organización en materia de continuidad, por lo que es importante que la información sea lo más completa posible.


11

6.1.1 RELACIÓN DE PROCESOS

Para obtener la información sobre los procesos y las aplicaciones que los gestionan, es esencial la participación de las personas responsables de los mismos dentro de la compañía, y de aquellos trabajadores que conocen en profundidad los mismos. Para ello pueden utilizarse entrevistas personales y cuestionarios que nos acercarán a los procesos críticos del negocio.

Podemos dividir los procesos en operativos y procesos de soporte. Los procesos operativos son aquellos que guardan una relación directa con el cliente (comercial, facturación, almacenaje, atención al cliente, etc.). Los procesos de soporte, serían aquellos que facilitan los “recursos” para poder realizar los procesos operativos (recursos humanos, gestión financiera, etc.)

6.1.2 RELACIÓN DE APLICACIONES

En este apartado debe recogerse el inventario de los recursos tecnológicos que soportan los procesos de la compañía, a fin de identificar aquellos que den soporte directo a los servicios críticos.

Los tipos de recursos que se deben analizar son:

• Hardware, identificando cada uno de los elementos hardware que soportan los sistemas de información de la compañía.

• Software Base, recogiendo todos aquellos componentes de software, incluido todos los asociados al sistema operativo, indispensables para el funcionamiento y optimización del Sistema de Información de la compañía.

• Software de Aplicaciones, inventariando las aplicaciones de gestión que son utilizadas en la empresa.

• Sistemas de Infraestructura, considerando aquellos elementos o componentes que sin disponer de una tecnología enfocada propiamente al tratamiento de la información sí son requeridos para garantizan la operatividad del servicio.


12

6.1.3 RELACIÓN DE DEPARTAMENTOS Y USUARIOS

Los procesos de la compañía están gestionados por departamentos/usuarios. Dentro del inventario de procesos es necesario conocer el personal involucrado en los mismos. Esta información puede obtenerse en las mismas entrevistas donde se recoge la información de los procesos existentes y de los elementos (hardware, software, etc.) que lo componen.

6.1.4 DETERMINAR LOS PROCESOS CRÍTICOS

Esta tarea supone evaluar los impactos económicos y operacionales sobre el negocio en caso de no disponer de la función analizada. La valoración de pérdidas no es una cuestión sencilla, ya que pueden concurrir aspectos intangibles, tales como la imagen de la organización ante sus clientes. Algunos criterios que pueden ayudar a valorar las eventuales pérdidas pueden ser:

• Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que no tengan alternativa manual o cuyo tratamiento manual suponga una pérdida de eficiencia importante.

• Ingresos dejados de percibir.

• Penalizaciones por incumplimiento de contratos con clientes.

• Sanciones administrativas por incumplimiento de leyes debido a la falta de control en situación de desastre (exposición de datos personales, incumplimiento de normativa internacional como la Ley Sarbanes Oxley, etc.).

• Gastos financieros.

Para simplificar esta valoración de los procesos podemos establecer una clasificación numérica, asignando mayor prioridad (p.e. 1) a aquellos procesos que se consideren más críticos y menor prioridad (p.e. 3) a aquellos que se consideren menos críticos.

6.1.5 PERIODO MÁXIMO DE INTERRUPCIÓN

Una vez que obtenemos la visión del negocio, de los procesos que lo componen y de la criticidad de cada uno de ellos, debemos establecer los tiempos de recuperación. Teniendo en cuenta que el objetivo del Plan es dar continuidad al negocio tras un incidente o contingencia grave con las menores pérdidas económicas posibles para la compañía, deben estimarse para cada uno de los


procesos que se han considerado críticos, el tiempo a partir del cual las pérdidas económicas afectarían de forma grave a la compañía (Tiempo máximo de interrupción). Esta estimación es importante de cara a seleccionar la estrategia de respaldo adecuada a las necesidades de recuperación.

Pueden existir procesos en los que el tiempo de recuperación es muy pequeño (horas), por ejemplo el servicio de banca electrónica de un banco, y otros procesos como la facturación a clientes en una empresa de servicios, pueden tener un periodo de recuperación mayor (días o semanas).

MINUTOS HORAS DIAS SEMANAS MESES

13

Figura 2. Tiempos de Recuperación

TIEMPO MÁXIMO DE INTERRUPCIÓN

TIEMPO DE RECUPERACIÓN OBJETIVO PERDIDAS ECOÓMICAS GRAVES

En definitiva, el Análisis de Criticidad nos da una visión de los procesos, actividades y recursos a proteger con la prioridad de recuperación de cada uno de ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.


6.2 ANÁLISIS DE RIESGOS

El objetivo de un Análisis de Riesgos es poner de manifiesto aquellas debilidades actuales que por su situación o su importancia pueden poner en marcha, antes de lo deseable, el Plan de Recuperación de Negocio. El Análisis de Riesgo debe centrarse en los procesos/actividades del negocio que se han considerado críticos, aunque también puede extenderse a aquellos que no lo son.

La evaluación de riesgos supone imaginarse lo que puede ir mal y a continuación estimar el coste que supondría. Se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.

En lo fundamental, la evaluación de riesgos que se ha de llevar a cabo ha de contestar, con la mayor fiabilidad posible, a las siguientes preguntas:

¿Qué se intenta proteger?

¿Cuál es su valor para uno o para la organización?

¿Frente a qué se intenta proteger?

¿Cuál es la probabilidad de un ataque?

ESQUEMA DEL ANÁLISIS DE RIESGOS

Figura 3. Esquema Análisis de Riesgos

14


15

Existen diferentes metodologías de Análisis de Riesgos:

• MARION

• OCTAVE

• MAGERIT

Para el desarrollo de esta guía no se ha seleccionado ninguna metodología concreta, sino que se realiza una descripción general de los pasos que componen un Análisis de Riesgos.

6.2.1 IDENTIFICAR ACTIVOS

Para cada uno de los procesos críticos de la compañía es necesario realizar un inventario de los activos involucrados en el proceso. Los activos se definen como los recursos de una compañía que son necesarios para la consecución de sus objetivos de negocio. Ejemplos de activos de una compañía pueden ser:

• Información

• Equipamiento

• Conocimiento

• Sistemas

Nota: en el apartado anterior, se ha obtenido gran parte de esta información, sobre los activos que componen los procesos críticos.

Cada activo de la compañía tendrá unos costes asociados. En algunos casos estos costes pueden ser cuantificados con un valor económico (activos tangibles) como el software o el hardware, y en otros casos es más complicado cuantificar el activo con valores monetarios (activos intangibles) tales como el prestigio o la confianza de los clientes.

El proceso de elaborar un inventario de activos es uno de los aspectos fundamentales de un correcto análisis de riesgos. En este inventario se identificará claramente su propietario y su valor para la organización, así como su localización actual.

A continuación se incluye un esquema con la relación existente entre los diferentes elementos que intervienen en el Análisis de Riesgos.


Figura 4. Componentes del Análisis de Riesgos

6.2.2 IDENTIFICAR AMENAZAS

Una amenaza se define como un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus servicios.

A la hora de analizar los riesgos hay que evaluar las distintas amenazas que pueden provenir de las más diversas fuentes. Entre éstas se incluyen los agresores malintencionados, las amenazas no intencionadas y los desastres naturales.

La siguiente ilustración clasifica las distintas amenazas a los sistemas.

Figura 5. Clasificación General de Amenazas

16


17

Dependiendo de la organización y el proceso analizado, serán aplicables distintos tipos de amenazas. Las amenazas tendrán una probabilidad de ocurrencia que dependerá de la existencia de una vulnerabilidad que pueda ser explotada, para materializarse en un incidente. Por ejemplo una amenaza del tipo de desastre natural como es un terremoto, tendrá una mayor probabilidad de ocurrencia en una empresa con oficinas en Japón, donde los terremotos ocurren con mayor frecuencia, que en España. Por lo tanto, a priori podemos decir que el riesgo de daño por terremoto en una compañía situada en Japón es mayor que el de una compañía situada en España.

A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta más complicado valorar las amenazas humanas (ataques maliciosos, robos de información, etc.), que las amenazas naturales. En el componente humano existen dos factores a tener en cuenta:

AMENAZA= CAPACIDAD X MOTIVACIÓN

La motivación es una característica humana que es difícil de valorar, pero que sin embargo es un factor a considerar: empleados descontentos, ex-empleados, etc.

En el anexo II se recogen algunos ejemplos de posibles amenazas.

Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a la organización de forma grave y valorar la probabilidad de que se conviertan en un incidente real.

6.2.3 EVALUAR VULNERABILIDADES

Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daños graves en una compañía. Las vulnerabilidades en sí mismas no causan daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.

En el anexo III se recogen algunos ejemplos de vulnerabilidades.

Para identificar las vulnerabilidades que pueden afectar a una compañía debemos responder a la pregunta: ¿Cómo puede ocurrir una amenaza?

Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro de la compañía puede darse esa circunstancia; es decir, si el nivel de protección es suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra


18

Amenaza es que nos roben datos estratégicos de la compañía, podemos establecer, entre otros, los siguientes escenarios:

ESCENARIOS NIVEL DE PROTECCIÓN

1. Entrada no autorizada a los datos

a través del sistema informático.

¿Existe un control de acceso a los datos?

2. Robo de datos de los dispositivos

de almacenamiento magnético.

¿Están los dispositivos de

almacenamiento protegidos y

controlados de forma adecuada?

3. Robo de datos mediante accesos

no autorizados.

¿Existen perfiles adecuados de acceso a

los datos?

Figura 6. Cuadro de Escenarios

Si no se responde afirmativamente a las preguntas de la columna derecha, es que existen vulnerabilidades que podrían utilizarse de forma que la amenaza se convierta en un incidente real, y causar daños importantes en la compañía.

6.2.4 EVALUACIÓN DEL IMPACTO

Los incidentes causan un impacto dentro de la organización, que también deberá tomarse en cuenta a la hora de calcular los riesgos. La valoración del impacto puede realizarse de forma cuantitativa, estimando las pérdidas económicas, o de forma cualitativa, asignando un valor dentro de una escala (p.e. alto, medio, bajo).

Por ejemplo, el robo de información confidencial de la compañía puede causar un impacto alto si ésta cae en malas manos.

En otro caso, podemos estimar las pérdidas económicas de equipos tangibles valorando el coste de reposición y puesta en marcha.

6.2.5 EVALUACIÓN DEL RIESGO

Riesgo es la posibilidad de que se produzca un impacto determinado en la organización. El riesgo calculado es simplemente un indicador ligado al par de


valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la relación entre el activo y la amenaza a la que el riesgo calculado se refiere.

RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO

PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD

El riesgo suele expresarse en términos cualitativos (Alto, Medio, Bajo). A continuación se muestra un ejemplo de una matriz de probabilidad/impacto:

ALT

O RIESGO

MEDIO RIESGO ALTO

RIESGO ALTO

MED

IO

RIESGO BAJO

RIESGO MEDIO

RIESGO ALTO

BA

JO RIESGO

BAJO RIESGO BAJO

RIESGO MEDIO

BAJO MEDIO ALTO

PRO

BA

BILID

AD

D

IMPACTO Figura 7. Matriz de Riesgos

Cuanto más baja sea la probabilidad de ocurrencia (no existan vulnerabilidades) y el impacto sobre la compañía sea también bajo, estaremos en un nivel de riesgo bajo.

Sin embargo, si existen vulnerabilidades que aumenten la probabilidad de ocurrencia o el impacto del incidente sea alto para la compañía, estaremos en unos niveles de riesgo medio-alto.

A modo de ejemplo se muestra la siguiente tabla:

19


20

DESCRIPCIÓN PROBAB IMPACTO RIESGO

Terremoto en ciudades situadas fuera de fallas sísmicas BAJA MEDIO BAJO

Terremoto en ciudades situadas sobre fallas sísmicas

ALTA MEDIO ALTO

Robo de información confidencial compañía con control de acceso lógico BAJA ALTO MEDIO

Robo de información confidencial compañía sin control de acceso lógico

ALTA ALTO ALTO

Una vez que se han evaluado los riesgos, queda decidir qué hacemos con ellos. Se pueden tomar diferentes caminos:

• Transferir el riesgo a través de seguros o subcontratando la gestión del riesgo a terceras empresas.

• Aceptar el riesgo (posicionamiento aprobado por la dirección de la compañía).

• Reducir el riesgo con controles que los mitiguen. • Eliminar el riesgo (eliminando la causa o el foco del riesgo).

6.2.6 EVALUAR CONTRAMEDIDAS

Para reducir riesgos se utilizan los denominados controles o medidas de seguridad. Podemos clasificar los controles en:

• Controles preventivos

o Identifican potenciales problemas antes de que ocurran o Previenen errores, omisiones o actos maliciosos.

Ejemplos:

• Realizar copias de seguridad de los archivos. • Contratar seguros para los activos. • Establecer procedimientos / políticas de seguridad. • Establecer control de acceso a la información. • Establecer control de acceso físico.

• Controles detectivos

o Identifican y “reportan” la ocurrencia de un error, omisión o acto

malicioso ocurrido.


21

Ejemplos:

• Monitorización de eventos. • Auditorías internas. • Revisiones periódicas de procesos. • Sensores de humo. • Detección de virus (Antivirus).

• Controles Correctivos

o Minimizan el impacto de una amenaza. o Solucionan errores detectados por controles detectivos. o Identifican la causa de los problemas con el objeto de corregir

errores producidos. o Modifican los procedimientos para minimizar futuras ocurrencias del

problema.

Ejemplos: • Parches de seguridad. • Corrección de daños por virus. • Recuperación de datos perdidos.

Las medidas seleccionadas para mitigar riesgos deben mantener una proporción entre el esfuerzo y coste necesarios para su implantación y el riesgo que mitigan (evaluación del coste-beneficio).

Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible que se produzcan incidentes que hagan necesaria su ejecución. Por ello, es importante que la compañía conozca sus riesgos y ponga las medidas adecuadas para corregir el mayor número de vulnerabilidades que puedan provocar un incidente grave.

La evaluación de riesgos debe ser periódica y de acuerdo con el modelo de gestión de riesgos de la organización y en función de la evolución del negocio (crecimiento), de cambios importantes en la organización (procesos internos), nuevas obligaciones legales, etc.

Guía de Desarrollo de Plan de Continuidad de Negocio FASE II. Estrategia de Respaldo

22

7. FASE II. ESTRATEGIA DE RESPALDO En esta fase se seleccionarán los métodos operativos alternativos que se van a utilizar en el caso de que ocurra un incidente que provoque una interrupción en la organización. El método seleccionado deberá garantizar la restauración de los procesos afectados en los tiempos determinados por el Análisis de Impacto.

7.1 SELECCIÓN DE ESTRATEGIAS

Existen diferentes estrategias para mitigar el impacto de una interrupción. Cada una de estas estrategias tiene unos parámetros de tiempo, disponibilidad y costes asociados que serán más o menos apropiados dependiendo de las funciones de negocio. A continuación se describen diferentes estrategias para reubicación funcional:

• No hacer nada: Este tipo de actuación podría utilizarse en aquellas funciones o actividades que se han clasificado como “no urgentes” en el Análisis de Impacto. En este tipo de estrategia se asume el riesgo.

• Utilización de espacios propios: Espacios existentes en la compañía

tales como salas de formación, cafeterías, etc. Este tipo de estrategia requiere una planificación minuciosa.

• Reutilización de recursos: Reubicación de personal con funciones no

urgentes en tareas que requieren una mayor prioridad. En este caso se debe poner cuidado en convertir la función no urgente en urgente por ser desatendida durante demasiado tiempo.

• Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde

ubicaciones exteriores a la compañía mediante conexión remota. • Acuerdos Recíprocos: Acuerdos entre dos organizaciones (o dos

unidades de negocio de la propia compañía diferentes) con características de equipamiento/espacio similares que permitiría a cada una de las partes recuperar funciones en la otra localización. En este caso es importante definir las condiciones de uso y la realización de pruebas periódicas para asegurar las condiciones pactadas.

• Sitio alternativo subcontratado a terceros: Contratación con

compañías especializadas de espacios alternativos para la recuperación de la actividad. En este caso hay que asegurar que estas compañías pueden


23

proporcionar unos tiempos de recuperación acordes con las necesidades de la organización. Este tipo de compañías pueden proporcionar diferentes de soluciones:

o Espacio dedicado: Se garantiza la disponibilidad inmediata del

espacio. En contrapartida este servicio es más caro que otras alternativas.

o Espacio compartido: Se comparte el espacio con otras compañías. Es más barato que un centro dedicado.

o Espacios móviles: Se pueden utilizar rápidamente, pero tienen un espacio limitado.

o Módulos prefabricados: Pueden tardar unos días en estar disponibles para su uso.

• Localizaciones diversas: Se traslada la operación pero no el personal.

• Centro replicado: Solución que permite trasladar de forma inmediata la operación y continuar la actividad de forma inmediata. También puede denominarse “centro espejo”. Esta solución es normalmente la más cara, pero también la mejor solución en el caso de que se necesite una recuperación muy rápida de la operación.

A continuación se muestra una tabla que recoge la relación entre el Tiempo Objetivo de recuperación y la solución de continuidad más adecuada a este Objetivo:

TIEMPO OBJETIVO DE

RECUPERACIÓN INTERNAS CONTRATADO

MESES Reconstrucción / Realojamiento

----

SEMANAS Edificios prefabricados On-Site

Contratación de unidades móviles o prefabricados

DIAS Recuperación “in situ”

Trabajo en casa

Subcontratación de procesos en oficinas móviles

HORAS Localizaciones diversas con empleados formados

Re-localización de un grupo de personas

INMEDIATO Localizaciones diversas para la misma función

Cambio de funcionamiento a un centro de respaldo subcontratado

Figura 8. Tabla de Estrategias de Recuperación

Fuente: Business Continuity Institute.


24

De todas las alternativas existentes hay que elegir la más adecuada en cada caso. Dependerá de las necesidades de cada compañía, en cuanto a tiempos de recuperación, costes económicos, recursos, etc.

Además deberá considerarse otros factores como:

• Ubicación y superficie requerida

o Espacio suficiente

o Zonas acondicionadas para acoger a personal

• Recursos técnicos necesarios:

o Hardware

o Software

o Comunicaciones

o Datos de respaldo

• Recursos humanos requeridos

o Recursos materiales y de infraestructura

o Servicios auxiliares necesarios

o Tiempos de activación

o Coste

Suele ocurrir que cuanto menor sea el tiempo de recuperación objetivo, mayor será el coste de la solución. Por ello es conveniente realizar un análisis con tiempos de recuperación adecuados y adaptados a la realidad de la compañía.

Una vez tomada la decisión sobre el tipo de estrategia que se utilizará como respaldo en caso de interrupción del negocio, pasaremos a desarrollar todos los procedimientos, funciones y actividades que permitirán restablecer los procesos de negocio en unos plazos razonables.

Guía de Desarrollo de Plan de Continuidad de Negocio Fase III. Desarrollo del Plan de Continuidad

25

8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD

Hasta este momento hemos obtenido:

• Conocimiento de los procesos de la compañía, valorando cuáles son críticos para el funcionamiento del negocio.

• Valoración de los riesgos que pueden afectar al negocio y que pueden disparar el Plan de Continuidad de Negocio.

• Estrategia de Continuidad más adecuada para el negocio.

A partir de aquí desarrollaremos “nuestro Plan de Continuidad”. Para ello definiremos:

• Los equipos necesarios para el desarrollo del Plan.

• Las responsabilidades y funciones de cada uno de los equipos.

• Las dependencias orgánicas entre los diferentes equipos.

• El desarrollo de los procedimientos de alerta y actuación ante eventos que puedan activar el Plan.

• Los procedimientos de actuación ante incidentes.

• La estrategia de vuelta a la normalidad.

8.1 ORGANIZACIÓN DE LOS EQUIPOS

Los equipos de emergencia están formados por el personal clave necesario en la activación y desarrollo del Plan de Continuidad. Cada equipo tiene unas funciones y procedimientos que tendrán que desarrollar en las distintas fases del Plan.

Aunque la composición y número de equipos puede variar según el tipo de estrategia de recuperación, a continuación se muestran algunos ejemplos de los equipos que pueden formar parte del Plan:

• Comité de Crisis: Encargado de dirigir las acciones durante la contingencia y recuperación.

• Equipo de Recuperación: Su función es restablecer todos los sistemas necesarios (voz, datos, comunicaciones, etc.).

• Equipo Logístico: Responsable de toda la logística necesaria en el esfuerzo de recuperación.

• Equipo de las Unidades de Negocio: Encargados de la realización de pruebas que verifiquen la recuperación de los sistemas críticos.


26

• Equipo de Relaciones Públicas: Encargado de las comunicaciones a los medios de comunicación y clientes.

El personal asignado a cada uno de los equipos puede variar dependiendo del tamaño de la organización y de la estrategia de recuperación seleccionada. Una persona puede pertenecer a más de un equipo, siempre y cuando no existan incompatibilidades en las tareas a realizar.

8.1.1 EQUIPO DIRECTOR O COMITÉ DE CRISIS

El objetivo de este comité es reducir al máximo el riesgo y la incertidumbre en la dirección de la situación. Este Comité debe tomar las decisiones “clave” durante los incidentes, además de hacer de enlace con la dirección de la compañía, manteniéndoles informados de la situación regularmente.

Las principales tareas y responsabilidades de este comité son:

• Análisis de la situación.

• Decisión de activar o no el Plan de Continuidad.

• Iniciar el proceso de notificación a los empleados a través de los diferentes responsables.

• Seguimiento del proceso de recuperación, con relación a los tiempos estimados de recuperación.

8.1.2 EQUIPO DE RECUPERACIÓN

El equipo de recuperación es responsable de establecer la infraestructura necesaria para la recuperación. Esto incluye todos los servidores, PC’s, comunicaciones de voz y datos y cualquier otro elemento necesario para la restauración de un servicio.

8.1.3 EQUIPO LOGÍSTICO

Este equipo es responsable de todo lo relacionado con las necesidades logísticas en el marco de la recuperación, tales como:

• Transporte de material y personas (si es necesario) al lugar de recuperación.


27

• Suministros de oficina.

• Comida.

• Reservas de hotel, si son necesarias.

• Contacto con los proveedores.

Este equipo debe trabajar conjuntamente con los demás, para asegurar que todas las necesidades logísticas sean cubiertas.

8.1.4 EQUIPO DE RELACIONES PÚBLICAS Y ATENCIÓN A CLIENTES

Se trata de canalizar la información que se realiza al exterior en un solo punto para que los datos sean referidos desde una sola fuente. Sus funciones principales son:

• Elaboración de comunicados para la prensa.

• Comunicación con los clientes.

Uno de los valores más importantes de una compañía son sus clientes, por lo que es importante mantener informados a los mismos, estableciendo canales de comunicación.

8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO

Estos equipos estarán formados por las personas que trabajan con las aplicaciones críticas, y serán los encargados de realizar las pruebas de funcionamiento para verificar la operatividad de los sistemas y comenzar a funcionar.

Cada equipo deberá configurar las diferentes pruebas que deberán realizar para los sistemas.


28

8.2 DESARROLLO DE PROCEDIMIENTOS

Una vez que hemos definido los equipos y se han establecido las funciones que debe desempeñar cada equipo, tenemos que desarrollar los procedimientos que van a seguir, y su actuación en cada una de las fases de activación del Plan de Continuidad.

- FASE DE ALERTA

• Procedimiento de notificación del desastre.

• Procedimiento de lanzamiento del Plan

• Procedimiento de notificación de la puesta en marcha del Plan a los equipos implicados.

- FASE DE TRANSICIÓN

• Procedimiento de concentración de equipos.

• Procedimiento de traslado y puesta en marcha de la recuperación.

- FASE DE RECUPERACIÓN

• Procedimientos de restauración.

• Procedimientos de soporte y gestión.

- FASE DE VUELTA A LA NORMALIDAD

• Análisis del impacto.

• Procedimientos de vuelta a la normalidad.

En el siguiente esquema podemos ver las fases que componen el Plan de Continuidad de Negocio:


Figura 9. Fases y Actividades del Plan de Continuidad

8.2.1 FASE DE ALERTA

La Fase de Alerta define los procedimientos de actuación ante las primeras etapas de un suceso que implique la pérdida parcial o total de uno o varios servicios críticos. Dividiremos esta fase en tres partes:

Notificación: Define cómo y quién debe ser informado en primera instancia de lo ocurrido.

Evaluación: Análisis de la situación y valoración inicial de los daños. Definición de estrategias.

Ejecución del Plan: Decisión del equipo director de disparar el Plan debido al alcance de los daños.

Notificación

Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos los casos que resultan de suponer que cualquier persona pueda dar aviso de un incidente, vamos a suponer que la persona que descubre la contingencia será un empleado o cualquier otra persona próxima al lugar donde ocurre el incidente. Como parte del Plan de Continuidad se debe establecer un programa de concienciación, en el que se informe debidamente al personal de cómo actuar ante estos casos y a quién comunicar lo ocurrido.

29


30

EVENTO ACCIÓN

1 Situación de contingencia/incidente detectado por algún empleado de la compañía. (Fuego, inundación, virus, etc.).

Aviso inmediato con el máximo detalle posible al Responsable de Personal de turno o a Seguridad.

2 El responsable de turno o de seguridad conoce que ha sucedido una contingencia.

Aviso a la persona de contacto del Comité de Crisis.

Aviso a los equipos de emergencia (si procede).

Figura 10. Cuadro Fase de Notificación

Evaluación

Una vez que un miembro del Comité de Crisis es contactado e informado del incidente, procederá a evaluar la situación con la recopilación de la mayor información posible. El Comité informará a los responsables de los distintos equipos de lo ocurrido y de la situación en ese momento para que permanezcan en situación de espera, hasta que se tome la decisión de disparar el Plan o iniciar otro tipo de estrategia.

EVENTO ACCIÓN

3 Conocimiento por algún miembro del Comité de incidente ocurrido.

El equipo del Comité se reunirá en un lugar acordado previamente y evaluará la situación. Este Comité deberá tomar la decisión de activar o no el Plan de Continuidad.

Será necesario informar de la situación a los siguientes responsables:

• Responsable de Seguridad.

• Comité de Dirección de la Empresa.

• Relaciones Públicas.

• Equipo de Recuperación.

• Responsable de los Equipos.

Figura 11. Cuadro Fase de Evaluación

Ejecución del Plan

Una vez que el Comité de Crisis ha decidido poner en marcha el Plan de Recuperación, debe de iniciarse el árbol de llamadas (En el Anexo IV se incluye un ejemplo de un árbol de llamadas) para comunicar a los Responsables y


31

componentes de cada equipo la situación de inicio de las actividades del Plan para comenzar los procedimientos de actuación de cada uno de ellos. Deberá informarse también al Comité de Dirección.

EVENTO ACCIÓN

4 Consideración por parte del Comité de Crisis y ejecución del Plan.

Iniciar el árbol de llamadas.

Informar al Comité de Dirección.

5 Paso a la Fase de Transición.

Figura 10. Cuadro Fase de Lanzamiento del Plan

8.2.2 FASE DE TRANSICIÓN

La Fase de Transición es la fase previa a la de recuperación de los sistemas. Es importante que en esta fase exista una coordinación entre los diferentes equipos y equipos de logística, ya que son éstos los encargados de que todo esté disponible para comenzar la recuperación en el menor tiempo posible.

Podemos dividir la fase de transición en dos partes principalmente:

• Procedimientos de concentración y traslado de personas y equipos.

• Procedimientos de puesta en marcha del centro de recuperación.

Ambos procedimientos son la base del proceso de recuperación de los sistemas. Si esta parte falla, no será posible comenzar la recuperación, y por tanto el Plan de Continuidad fallará.

A continuación pasamos a describir de manera detallada cada uno de los procedimientos y equipos que deben interactuar en esta fase de transición.

Procedimientos de concentración y traslado de material y personas

Dependiendo de la solución final que se decida como estrategia de respaldo, este procedimiento puede variar. Realizaremos una descripción general de los procedimientos, que podrá completarse una vez que se tome una solución definitiva.

Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al centro de reunión. En el caso de que la emergencia se declare en horas de trabajo, se tomará como punto de encuentro los lugares designados en el Plan de Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de reunión será el designado como centro de respaldo, o cualquier otro designado por el Comité de Dirección de Crisis.


32

Además del traslado de personas al centro de recuperación (si es necesario) hay que realizar una importante labor de coordinación para el traslado de todo el material necesario para poner en marcha el centro de recuperación (cintas de backup, material de oficina, documentación, ...)

Procedimientos de puesta en marcha del centro de recuperación

Una vez concentrados los distintos equipos que van a intervenir en la recuperación, y con todos los elementos necesarios disponibles para comenzar la recuperación, hay que poner en marcha este centro, estableciendo la infraestructura necesaria, tanto de software como de comunicaciones, etc.

8.2.3 FASE DE RECUPERACIÓN

Una vez que hemos establecido las bases para comenzar la recuperación, se procederá a la carga de datos y a la restauración de los servicios críticos. Este proceso y el anterior suele precisar los mayores esfuerzos e intervenciones para cumplir con los plazos fijados.

Podemos dividir esta fase en dos:

• Procedimientos de Restauración

• Procedimientos de Gestión y Soporte

Procedimientos de Restauración

Estos procedimientos se refieren a las acciones que se llevan a cabo para restaurar los sistemas críticos.

Procedimientos de soporte y gestión

Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizar un mantenimiento sobre los mismos y protegerlos, de manera que se reanude el negocio con las máximas garantías de éxito. Los integrantes del equipo de unidades de negocio serán los encargados de comprobar y verificar el correcto funcionamiento de los procesos.


33

8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA

Una vez con los procesos críticos en marcha y solventada la contingencia, debemos plantearnos las diferentes estrategias y acciones para recuperar la normalidad total de funcionamiento. Para ello vamos a dividir esta fase en diferentes procedimientos:

• Análisis del impacto.

• Procedimientos de vuelta a la normalidad

Análisis del impacto

El análisis de impacto pretende realizar una valoración detallada de los equipos e instalaciones dañadas para definir la estrategia de vuelta a la normalidad.

Procedimientos de vuelta a la normalidad

Una vez determinado el impacto deben establecerse los mecanismos que en la medida de lo posible lleven a recuperar la normalidad total de funcionamiento. Estas acciones incluyen las necesidades de compra de nuevos equipos, mobiliario, material, etc.

8.2.5 GENERACIÓN DE INFORMES Y EVALUACIÓN

Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberá realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con las que se encontraron, etc.

Toda esta información servirá para valorar si el Plan ha funcionado según lo planeado, así como conocer los posibles fallos, y en su caso, tenerlos en cuenta para la adecuación del mismo.

Guía de Desarrollo de Plan de Continuidad de Negocio Fase IV. Pruebas y Mantenimiento

34

9. FASE IV. PRUEBAS Y MANTENIMIENTO

9.1 PRUEBAS

9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS

El Plan de Continuidad no se considerará válido hasta que no se haya superado satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones adoptadas.

El Plan de Pruebas diseñado tiene como objetivos:

• Evaluar la capacidad de respuesta ante una situación de desastre que afecte a

los recursos de la compañía. • Probar la efectividad y los tiempos de respuesta del Plan para comprobar que

están alineados con la definición realizada en el diseño. • Identificar las áreas de mejora en el diseño y ejecución del Plan. • Comprobar si los procedimientos desarrollados son adecuados para soportar

la recuperación de las operaciones de negocio. • Evaluar si los participantes del ejercicio están suficientemente familiarizados

con la operativa en situación de contingencia. • Concienciación y formación para los empleados a través de la realización de

pruebas.

9.2 TIPOS DE PRUEBAS

Las pruebas de un Plan de Continuidad deben tener dos características principales:

Realismo: La utilidad de las pruebas se reduce con la selección de escenarios irreales. Por ello es importante reproducir escenarios que proporcionen un nivel de entrenamiento adecuado a las situaciones de riesgo.

Exposición Mínima: Las pruebas deben diseñarse de forma que impacten lo menos posible en el negocio, es decir, que si se programa una prueba que


35

suponga una parada de los sistemas de información, debe realizarse una ventana de tiempo que impacte lo menos posible para el negocio.

En algunos casos puede resultar complicado realizar una prueba completa del Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa de pruebas planificado para garantizar que todos los aspectos de los planes y personal se han ensayado durante un período de tiempo.

9.2.1 EJERCICIOS TÉCNICOS

Este tipo de ejercicio requerirá la ejecución de procedimientos de notificación y operativos, el uso de equipos de hardware, software y posibles centros y métodos alternativos para asegurar un rendimiento adecuado. Ejemplos de elementos verificados durante un ejercicio de simulación son:

- Procedimientos de emergencia. - Métodos alternativos. - Líneas de telecomunicaciones de backup. - Procedimientos de notificación Vendedores / Clientes. - Capacidad y rendimiento del hardware. - Portabilidad del software. - Accesibilidad al centro de respaldo. - Movilización de los equipos de trabajo. - Recuperación de ficheros y documentación almacenados en lugar externo. - Recuperación de datos.

9.2.2 TEST COMPLETO

Los ejercicios de test son ejercicios planificados que implican la restauración real de la capacidad de proceso en un centro alternativo. Generalmente, los procesos en producción no son interrumpidos, pero puede planificarse su restauración y validación en el centro alternativo. Normalmente, este tipo de prueba requiere la participación de toda la organización de continuidad del negocio, incluyendo usuarios, personal técnico y de operaciones.


36

9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD

Por la propia dinámica de negocio, se van incorporando nuevas soluciones a los Sistemas de Información y los activos informáticos van evolucionando para dar respuesta a las necesidades planteadas.

La correcta planificación del mantenimiento del Plan de Continuidad evitará que quede en poco tiempo obsoleto y que en caso de contingencia no pueda dar respuesta a las necesidades.

Guía de Desarrollo de Plan de Continuidad de Negocio ANEXOS

37

ANEXOS

Guía de Desarrollo de Plan de Continuidad de Negocio Anexo I – Cuadros de Recogida de Datos Análisis de Impacto

38

ANEXO I – CUADROS DE RECOGIDA DE DATOS ANÁLISIS DE IMPACTO

o CUADRO DE PROCESOS

En este cuadro se recogen los procesos y subprocesos que componen la organización donde se va a desarrollar el Plan de Continuidad.

Proceso Subproceso Breve descripción

Frecuencia

(Diario/Semanal

Mensual)

Persona responsable

o SISTEMAS QUE SOPORTAN EL PROCESO

En este cuadro se recogen los sistemas que soportan el proceso analizado.

Nombre del

Sistema Descripción Criticidad

Tipo de Sistema

(PC/Servidor/

Mainframe)

Nº de Equipos con la

aplicación

Responsable Contacto Técnicos

Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el sistema

2 – La organización/departamento no puede funcionar parcialmente sin el sistema

3 - La organización/departamento puede funcionar sin el sistema


39

o RECURSOS HARDWARE DEL PROCESO

En este apartado se recogen los componentes hardware que soportan los procesos.

Tipo de hardware Detalles del Modelo/Configuración Distribuidor Criticidad Localización

Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el hardware

2 – La organización/departamento no puede funcionar parcialmente sin el hardware

3 - La organización/departamento puede funcionar sin el hardware

o OTROS ACTIVOS

En este apartado se recogen todos aquellos activos (comunicaciones, datos, infraestructura, etc.), que forman parte del proceso y que son necesarios para dar continuidad al mismo en caso de interrupción.

Descripción Tipo Criticidad Localización

Rangos de Criticidad: 1 – La organización/departamento no puede funcionar sin el activo

2 – La organización/departamento no puede funcionar parcialmente sin el activo

3 - La organización/departamento puede funcionar sin el activo


40

o TIEMPO MÁXIMO DE INTERRUPCIÓN

Para cada uno de los procesos, se determinará el tiempo máximo de interrupción, especificando cuántos días puede permanecer el proceso sin incurrir en pérdidas económicas graves.

Proceso Necesidades de Recuperación Criticidad

Necesidad de Recuperación: Día 0 : Recuperación inmediata

Día 1-7: El proceso debe ser recuperado entre el primer y el quinto día después de un incidente.

Día 7–30: El proceso debe ser recuperado después de la primera semana y antes de un mes.

Más 30 días: El proceso pude esperar más de 30 días a ser recuperado.

Guía de Desarrollo de Plan de Continuidad de Negocio ANEXO II - Listado de Amenazas

41

ANEXO II - LISTADO DE AMENAZAS

AMENAZAS DESASTRES NATURALES

Huracanes

Inundaciones

Incendios

DAÑOS ACCIDENTALES

Fuego fortuito

Inundaciones

Fallo del aire acondicionado

Exceso de humedad

Humo, gases tóxicos

Subida de tensión

Fallo de suministro eléctrico

Fallo de la UPS

Accidentes del personal

Capacidad inadecuada de las comunicaciones

Fallo/degradación del hardware

Fallo/degradación de las comunicaciones

Errores de operación

Fallos en las copias de seguridad

Fallos de los sistemas de autenticación/autorización

Pérdida de confidencialidad

Incumplimientos legales

ATAQUES INTENCIONADOS

Explosivos

Fuego intencionado

Accesos no autorizados al edificio

Actos de vandalismo

Radiaciones electromagnéticas

Robos intencionados

Manipulación de datos/software

Manipulación de hardware

Uso de software por personal no autorizado

Acceso no autorizados a datos de la compañía

Software malicioso

Robo de equipos

Robo de documentos

Guía de Desarrollo de Plan de Continuidad de Negocio ANEXO II - Listado de Amenazas

42

Robo de software

Descarga de software no controlada

Interceptación de las líneas de comunicación

Manipulación de las líneas de comunicación

Abuso de privilegios de acceso

Introducción de virus en los sistemas

Troyanos

Ataques por ingeniería social

Bombas lógicas

Ataques de denegación de servicio

Errores intencionados

Copias incontroladas de documentos/software/datos

Errores en el mantenimiento

Corrupción de datos

Incumplimientos legales intencionados

Guía de Desarrollo de Plan de Continuidad de Negocio ANEXO III – Ejemplos de Vulnerabilidades

43

ANEXO III – EJEMPLOS DE VULNERABILIDADES

VULNERABILIDADES Existencia de materiales inflamables como papel o cajas

Cableado inapropiado

Ancho de banda inapropiado

Suministro eléctrico inapropiado

Mantenimiento inapropiado del servicio técnico

Ausencia de mantenimiento

Educación inadecuada del personal en virus y malware

Políticas de firewall inadecuadas

Política de seguridad de la información inadecuada

Ausencia de política de seguridad

Derechos de acceso incorrectos

Ausencia de un sistema de extinción automática de fuegos/humos

Ausencia de backup

Ausencia de control de cambios de configuración eficiente y efectiva

Ausencia de mecanismos de identificación y autenticación

Ausencia de política de restricción de personal para uso licencias de software

Ubicación física en un área susceptible de desastres naturales

Carencia de software antivirus

Descarga incontrolada y uso de software de Internet

Ausencia de mecanismos de cifrado de datos para la transmisión de datos confidenciales

Protección física de equipos inadecuada

Personal sin formación adecuada

Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)

Definición de privilegios de acceso inadecuada

Ausencia de un Plan de recuperación de incidentes

Guía de Desarrollo de Plan de Continuidad de Negocio Anexo IV – Ejemplo Árbol de Llamadas

ANEXO IV – EJEMPLO ÁRBOL DE LLAMADAS

Comité de Crisis

Equipo de Recuperación

Equipo de Coordinación

Logística

Equipo de Seguridad

Equipo de Relaciones Públicas

Equipo de Unidades de Negocio

Comité de Dirección

44

Guía de Desarrollo de Plan de Continuidad de Negocio Anexo V – Sitios de Interés

45

ANEXO V – SITIOS DE INTERÉS

http://www.contingencyplanning.com/ - Revista de Continuidad de Negocio

http://www.globalcontinuity.com/ - Portal de Business Continuity Plan

http://www.thebci.org/pas56.htm - Business Continuity Institute

http://www.disaster-recovery-guide.com/ - Información y guías sobre

Continuidad

http://www.nist.org/ - Mejores prácticas en Seguridad Informática

http://www.iss.net/ - Base de datos de vulnerabilidades X-Force

http://nvd.nist.gov/ - Base de datos de vulnerabilidades del NIST

http://www.securityfocus.com/ - Base de datos de vulnerabilidades

http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de

Servicios de Continuidad de Negocio

http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -

Proveedor de Servicios de Continuidad de Negocio

http://www.contingencyplanning.com/

http://www.globalcontinuity.com/

http://www.thebci.org/pas56.htm

http://www.disaster-recovery-guide.com/

http://www.nist.org/

http://www.iss.net/

http://nvd.nist.gov/

http://www.securityfocus.com/

http://www-5.ibm.com/services/es/portfolios/recuperacion.html

http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html

Guía de Desarrollo de Plan de Continuidad de Negocio

46

CASO DE ESTUDIO

Guía de Desarrollo de Plan de Continuidad de Negocio Caso de Estudio

47

CASO DE ESTUDIO

ANTECEDENTES

Zapasol S.A. es una compañía que fabrica zapatos con materiales reciclados. Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas de fabricación, una en Valencia y otra en Albacete distante 200 kilómetros. El éxito de venta de este tipo de zapatos les ha llevado a mercados internacionales, importando a más de 20 países.

Dentro de la propia fábrica cuentan con un pequeño departamento de informática formado por 4 empleados que se encargan de la gestión de todo lo relacionado con comunicaciones, software, hardware, bases de datos. Este departamento y su centro de proceso de datos se encuentran en Valencia.

El rápido desarrollo y expansión de esta compañía ha resultado en un crecimiento tecnológico importante en los procesos de soporte, tales como facturación, nóminas, atención al cliente, etc. Sin embargo, las medidas de seguridad no han acompañado de igual forma a este crecimiento. A continuación se describe brevemente cuál es la situación actual en cuanto a seguridad de la compañía:

• No existe una política de seguridad en la compañía. • Sólo hay antivirus en algunos equipos, en otro no se ha instalado. • No se realizan copias de seguridad de la información. • Existe control de acceso a los equipos, pero los usuarios comparten

contraseñas. • Los servidores se encuentran en una sala sin ninguna medida de

protección física. • ….

Como parte de los proyectos a acometer durante el año 2007, el Director de Informática de Zapasol S.A. ha propuesto la realización de un Plan de Continuidad de Negocio, para configurar una estrategia de recuperación ante cualquier evento grave que haga peligrar el negocio de la empresa.


48

ANÁLISIS DE IMPACTO

Para desarrollar este Plan, el director de informática ha encargado a Luis (otro de los empleados del departamento de informática) que realice un inventario de los procesos críticos de la compañía, estableciendo los tiempos de recuperación de los mismos, antes de incurrir en pérdidas graves. Para ello, Luis se ha entrevistado con los responsables de los procesos obteniendo la siguiente información:

Proceso Subproceso Breve descripción

Frecuencia

(Diario/Semanal

Mensual)

Responsable

Pedidos -- Se encarga de recibir todos los pedidos de los distintos clientes y de gestionar su envío en los plazos y condiciones establecidas

Diario Inés Burgos

Atención al Cliente

--- Recogida y Gestión de incidentes

Diario Ángela Cano

Recursos Humanos

-- Selección y formación del personal de la compañía

Según necesidad

Marta Álvarez

Nóminas -- Generación y Pago de las Nóminas de los empleados

Mensual Laura Cuesta

Stock --- Control y Gestión del stock de zapatos en los almacenes

Diario Antonio Romero

Nota: Para el ejemplo sólo se toman dos procesos de muestra (Pedidos y Nóminas)

COMPONENTES DE LOS PROCESOS

A continuación se describen cada uno de los componentes Hardware, Software, Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.

PROCESO PEDIDOS

• Sistemas del proceso de Pedidos:


49

Nombre del


Tipo de Sistema

(PC/Servidor/ Mainframe)


aplicación

Responsable Contacto Técnicos

Correo Electrónico

2 Servidor de Correo

4 --- ----

Gestión Pedidos

Aplicación para la Gestión de pedidos

1 4 ----

• Hardware del proceso de Pedidos:

Tipo de Hardware

Detalles del Modelo/Configuración Distribuidor Criticidad Localización

Servidor de Correo

PowerEdgeTM 1900 Servidor en torre de núcleo cuádruple con 2 sockets

Dell 3 Centro proceso datos Valencia

PC’s Procesador Intel® CoreTM 2 Duo E6000

Chipset Q965 ICH8DO compatible con Active Management Technology (iAMT 2.1) de Intel®

Solución LAN Gigabit Ethernet de Intel®

Dell 2 Centros de Valencia y Albacete

Servidor de Aplicaciones



• Otros Activos del proceso:


Línea RDSI de comunicaciones

Comunicaciones 1 Centros de trabajo


50

Impresoras Hardware 2 Centros de trabajo

Centralita de Comunicaciones

Comunicaciones 3 Centros de trabajo

PROCESO DE NÓMINAS

• Sistemas del proceso de Nóminas:

Nombre del


Tipo de Sistema

(PC/Servidor/ Mainframe)


aplicación

Responsa-ble

Contacto Técnicos

Aplicación Nóminas

Programa que se encarga de realizar el cálculo de las nóminas

3 Servidor / PC’s

3 Laura Cuesta

-----

Windows Sistema Operativo

2 PC’s 20

Angel Perez Soporte Windows

• Hardware del proceso de Nóminas:

Tipo de Hardware

Detalles del Modelo/Configuración Distribuidor Criticidad Localización

Servidor de aplicaciones



PC’s Procesador Intel® CoreTM 2 Duo E6000

Chipset Q965 ICH8DO compatible con Active Management Technology (iAMT 2.1) de Intel®

Solución LAN Gigabit Ethernet de Intel®

Dell 2 Centros de Valencia y Albacete


51

• Otros Activos del proceso


Impresoras Hardware 2 Centros de trabajo


52

TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS


PEDIDOS En 2-3 días 1

El proceso de Pedidos es clave para la organización, ya que si no se pueden gestionar los pedidos de los clientes la empresa no puede dar servicio y por lo tanto incurrirá rápidamente en pérdidas. Por ello es importante que este proceso se recupere lo antes posible.


NOMINAS En 15-30 días 3

Aunque el proceso de Nóminas es importante, la compañía puede esperar semanas a que se restablezca y crear procedimientos alternativos como por ejemplo, repetir el último pago de nómina a los trabajadores y realizar las compensaciones correspondientes, cuando estén disponibles de nuevo los sistemas.


53

ANÁLISIS DE RIESGOS

Una parte importante dentro del desarrollo del Plan de Continuidad es el Análisis de Riesgos. Este análisis permitirá a la compañía conocer sus riesgos y gestionarlos de forma adecuada.

Existen diferentes metodologías de riesgo (NIST, MAGERIT, OCTAVE, etc.) que pueden aplicarse para realizar el Análisis de Riesgos. Para el ejemplo realizaremos un análisis con un enfoque general, sin entrar en metodologías concretas ni valoraciones de los activos.

Tomando como ejemplo el inventario de los procesos descritos y las premisas descritas en la presentación de la compañía, elaboraremos el Análisis de Riesgos.

INVENTARIO DE ACTIVOS

Activo/Descripción Tipo Propietaro Localización Valor

SERVIDOR DE APLICACIOMES

Hardware ---- Centro de Proceso de datos

MEDIO

APLICACIÓN DE PEDIDOS

Aplicación ---- Servidores y PC’s

MEDIO

INFORMACIÓN CLIENTES

Información ---- Base de datos ALTO

IMPRESORAS Hardware ---- Centros de Albacete y Valencia

BAJO

REDES DE COMUNICACIONES

Comunicaciones ---- Centros de Albacete y Valencia

BAJO

LISTADO DE AMENAZAS

Del listado de Amenazas marcamos las que pueden afectar la compañía en su situación actual.


54

AMENAZAS POSIBLE

DESASTRES NATURALES

Inundaciones x

Incendios x

DAÑOS ACCIDENTALES

Fuego fortuito x

Inundaciones x

Fallo de suministro eléctrico x

Pérdida de confidencialidad x

Incumplimientos legales x

ATAQUES INTENCIONADOS

Accesos no autorizados al edificio x

Accesos no autorizados a datos de la compañía x

Actos de vandalismo x

Robo de equipos x

Robo de datos / documentos x

VULNERABILIDADES

Tomando como base los objetivos de seguridad de la ISO 17799 y en función de las Amenazas que hemos marcado como posibles, establecemos los escenarios en que una amenaza puede convertirse en un incidente de seguridad.

ESCENARIOS NIVEL DE PROTECCIÓN RESPUESTA

1. Inundación del Centro de Proceso de Datos

¿El centro está situado en un terreno alto?

NO

2. Fallos del Suministro Eléctrico.

¿Existen Unidades de Suministro Eléctrico Alternativo (UPS)?

NO


55

3. Pérdida de información clave de la compañía.

¿Se realizan copias de seguridad de los datos periódicamente?

No periódicamente

4. Accesos no autorizados al edificio

¿Existe un control de acceso físico a los edificios de la compañía?

NO

5. Robo de datos ¿Existe una clasificación de la información adecuada al nivel de confidencialidad de los datos?

NO

6. Pérdida de servicios por infección de virus

¿Están los equipos protegidos por un antivirus?

NO

EVALUACIÓN DE RIESGOS

DESCRIPCIÓN PROBAB IMPACTO RIESGO

Terremotos BAJA MEDIO BAJO

Pérdida del servicio por fallos en la alimentación eléctrica ALTA MEDIO ALTO

Accesos no autorizados al edificio BAJA ALTO MEDIO

Robo de información confidencial compañía ALTA ALTO ALTO

Pérdida de información crítica de la compañía ALTA ALTO ALTO

RECOMENDACIONES - CONTRAMEDIDAS

Para gestionar los riesgos detectados y mitigarlos en la medida de lo posible, se propone la puesta en marcha de las siguientes contramedidas:

o Realizar copias de seguridad periódicamente. o Controlar el acceso a la información estableciendo mecanismos de

autenticación. o Establecer un control de acceso físico al lugar donde se encuentran los

equipos con información clave para la compañía. o Establecer detectores de humo y alarmas de fuego. o Instalar antivirus en todos los equipos de la compañía.


56

ESTRATEGIA DE RECUPERACIÓN

Una vez que se ha realizado la gestión de los riesgos detectados, se debe seleccionar una estrategia de recuperación de negocio que asegure la continuidad de los procesos que hemos considerado críticos en el Análisis de Impacto.

De las alternativas existentes y dado que la opción de subcontratar espacios y soporte a terceros resultaría muy cara para Zapasol S.A., la solución más adecuada sería utilizar el centro de Albacete con alternativa en caso de incidencia grave. De esta forma Zapasol S.A. podría seguir dando servicio a sus clientes, sin que el impacto de un incidente tuviera consecuencias catastróficas para la compañía. Para ello, podrán utilizarse en primera instancia los equipos que se utilizan en este centro, de forma que se reaproveche la inversión. Para que estos equipos sean válidos será necesario equipar la infraestructura del centro de trabajo de Albacete con algunos elementos extras (incremento de memoria, capacidad de disco, etc.).


57

DESARROLLO DEL PLAN

Una vez que se ha seleccionado la estrategia de continuidad, se puede comenzar a construir el Plan de Continuidad definiendo la estructura y composición de los equipos y las acciones de cada uno de ellos.

Dado que Zapasol S.A., es una empresa de tamaño medio, reduciremos el número de equipos y su composición, que serán necesarios en caso de activación del Plan de Continuidad.

COMITÉ DE CRISIS

Listado de Integrantes del Comité.

Responsable del Comité Nombre: Rodolfo Pérez

Posición: Director General

Teléfono Móvil: XXXXXXX

Teléfono Casa: XXXXXXX

Miembros del Comité Nombre: Arturo Cañas

Posición: Director Fábrica



Nombre: Luis Jiménez

Posición: Director Informática



Nombre: Marta Álvarez

Posición: Directora de RRHH



Lugar de Reunión: Casa del Director General sita en calle Carmelo 25 de Valencia.

Una vez que se comunica un incidente, el Comité de Crisis debe reunirse y tomar decisiones para afrontar la situación. Deben estar continuamente informados de


58

la situación y determinar si es necesario iniciar el Plan de Continuidad. En este caso, se comunicará a los responsables de los equipos del comienzo de las actividades que llevarán a restablecer los servicios en el centro de Albacete.

EQUIPO DE RECUPERACIÓN

El equipo de recuperación es el encargado de poner en marcha todo el proceso de recuperación para restaurar los servicios en el Centro de Albacete. Para ello realizarán las siguientes actividades:

o Se trasladarán en coche desde Valencia al Centro de Albacete.

o Pondrán en marcha por orden de criticidad los sistemas: Pedidos,

Facturación, Correo, Nóminas, etc.

o Para la puesta en marcha de los sistemas, se tomará la última copia de

seguridad de los sistemas que semanalmente se manda desde el Centro de Valencia a Albacete.

o En primera instancia se reutilizarán los equipos del centro de Albacete

para iniciar los servicios. Se contactará con la persona responsable de logística para que solicite a los proveedores todos los equipos necesarios en los plazos acordados (durante el desarrollo del plan), sirvan todo el material necesario (servidores, PC’s, impresoras, etc.) y que no se ha podido salvar del Centro de Valencia.

o Una vez que se vayan restaurando los servicios, debe comprobarse su

operatividad.

Punto de Reunión: Centro de Trabajo de Valencia. Si no es posible reunirse en el Centro de Valencia porque los daños sean cuantiosos, se tomará como punto de reunión el polideportivo “Deporte y Salud”, situado a 500 metros del centro de trabajo y con quienes se ha firmado un acuerdo de colaboración.


59

Listado de Integrantes del Equipo de Recuperación

Integrantes del Equipo Nombre: Federico Alonso

Posición: Responsable de Sistemas



Nombre: Alba González

Posición: Técnico Informático



Nombre: Alberto Pérez

Posición: Técnico Informático



EQUIPO DE COORDINACIÓN LOGÍSTICA

El equipo de coordinación logística es responsable de todo lo relacionado con las necesidades logísticas. En función del tipo de incidente se encargará de:

o Atender las necesidades logísticas de primera instancia tras la

contingencia. (Transporte de personas, transporte de materiales, etc.)

o Contactar con los proveedores para solicitar el material necesario que

indiquen los responsables de la recuperación.

o Reservar habitaciones de hotel en Albacete para las personas que se

desplacen a este Centro.

o Gestionar el suministro de comida al personal involucrado.

Listado de Proveedores


60

DELL Persona de Contacto: Ángel Núñez

Teléfono Contacto: xxxxxx

HP Persona de Contacto: Felipe Méndez

Teléfono Contacto: xxxxxxx

FUJIJTSU Persona de Contacto: Laura Pérez

Teléfono Contacto: xxxxxx

Listado de Integrantes del Equipo de Coordinación Logística

Integrantes del Equipo Nombre: Daniela Gómez

Posición: Técnico de RRHH



Nombre: David López

Posición: Administrativo



EQUIPO DE RELACIONES PÚBLICAS

El equipo de Relaciones Públicas es responsable de “ser la voz” de la empresa en el contexto de la contingencia. Las tareas a realizar serán:

o Si el tipo de incidente lo requiere, emitir un comunicado oficial a clientes y

proveedores en el que se indique que se restablecerán los servicios lo antes posible.

o Atender a los clientes para proporcionarles información sobre el incidente

y tranquilizarles lo máximo posible.


61

Listado de Integrantes del Equipo de Relaciones Públicas

Integrantes del Equipo Nombre: Juan Carlos Bono

Posición: Técnico Comercial



Nombre: Ángela Cano

Posición: Atención al Cliente



EQUIPO DE LAS UNIDADES DE NEGOCIO

Estos equipos estarán formados por las personas que trabajan con las aplicaciones críticas, y serán los encargados de realizar las pruebas de funcionamiento para verificar la operatividad de los sistemas.

Integrantes del Equipo Nombre: Inés Burgos

Posición: Responsable Pedidos



Nombre: Ángela Cano

Posición: Atención al Cliente



Nombre: Marta Álvarez

Posición: RRHH



…..


62

FASE DE ALERTA

PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE

Cualquier empleado de Zapasol S.A. que sea consciente de un incidente grave que pueda afectar a la empresa, debe comunicarlo al Jefe de Seguridad de la Planta proporcionando el mayor detalle posible en la descripción de los hechos.

El Jefe de Seguridad debe evaluar la situación e informar al Responsable del Comité de Crisis, que en este caso coincide con la figura del Director General.

PROCEDIMIENTO DE EJECUCIÓN DEL PLAN

El Comité de Crisis reunido en el punto de encuentro evaluará la situación. Con toda la información de detalle sobre el incidente, se decidirá si se activa o no el Plan de Continuidad de Negocio. En caso afirmativo, se iniciará el procedimiento de ejecución del Plan.

En el caso de que el Comité decidida no activar el Plan de Continuidad porque la gravedad del incidente no lo requiere, sí será necesario gestionar el incidente para que no aumente su gravedad.

PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN

Activar el árbol de llamadas para avisar a los integrantes de los diferentes equipos que van a participar en el Plan.


Comité de Crisis


Equipo de Coordinación

Logística

Equipo de Relaciones Públicas

Equipo de Unidades de

Negocio

63


64

FASE DE TRANSICIÓN

PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS

Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al centro de reunión indicado. Además del traslado de personas al Centro de Albacete hay que trasladar todo el material necesario para poner en marcha el centro de recuperación (cintas de backup, material de oficina, documentación, ...). Esta labor queda en manos del equipo logístico.

PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN

Una vez que el equipo de recuperación llegue al Centro de Albacete y que los materiales empiecen a llegar, pueden comenzar a instalar las aplicaciones en los equipos que se encuentran en esta oficina.

El equipo de recuperación solicitará al equipo de logística cualquier tipo de material extra que fuera necesario para la recuperación.


FASE DE RECUPERACIÓN

PROCEDIMIENTO DE RESTAURACIÓN

El orden de recuperación de las funciones se realizará según la criticidad los sistemas: Pedidos, Facturación, Correo, Nóminas.

Los dos primeros sistemas deben recuperarse lo antes posible, en las 48 horas siguientes. Los demás sistemas pueden esperar a recuperarse después de Pedidos y Facturación.

Nota: En este apartado deberá indicarse el procedimiento concreto de recuperación de cada uno de los sistemas.

PROCEDIMIENTO DE SOPORTE Y GESTIÓN

Una vez recuperados los sistemas, se avisará a los equipos de los departamentos que gestionan los sistemas (listado del equipo de Unidades de Negocio) para que realicen las comprobaciones necesarias que certifiquen que funcionen de manera correcta y pueda continuarse dando el servicio.

Además el Equipo de Seguridad deberá comprobar que existen las garantías de seguridad necesarias (confidencialidad, integridad, disponibilidad) antes de dar por terminada la fase de recuperación.


Equipo de Unidades de

Negocio

Comité de Crisis

65


66

FASE DE VUELTA A LA NORMALIDAD

Una vez con los procesos críticos en marcha y solventada la contingencia, hay que plantearse las diferentes estrategias y acciones para recuperar la normalidad total de funcionamiento.

ANÁLISIS DEL IMPACTO

Es el momento de realizar una valoración detallada de los equipos e instalaciones dañadas para definir la estrategia de vuelta a la normalidad. Para ello, el equipo de recuperación junto con el equipo de seguridad, realizarán un listado de los elementos que han sido dañados gravemente y son irrecuperables, así como de todo el material que se puede volver a utilizar. Esta evaluación deberá ser comunicada lo antes posible al equipo director para que determinen las acciones necesarias que lleven a la operación habitual lo antes posible.

ADQUISICIÓN DE NUEVO MATERIAL

Una vez realizada la evaluación del impacto, se determinará la necesidad de nuevo material. El Comité de Crisis contactará con el seguro de la compañía para conocer qué parte cubre el seguro (dependiendo del tipo de póliza contratada por Zapasol S.A.) y qué inversión tendrá que hacer la compañía en el material que no se pueda recuperar.

Contactar con los proveedores para que en el menor tiempo posible repongan todos los elementos dañados.

FIN DE LA CONTINGENCIA

Dependiendo de la gravedad del incidente, la vuelta a la normalidad de operación puede variar entre unos días (si no hay elementos clave afectados) e incluso meses (si hay elementos clave afectados). Lo importante es que durante el transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a los clientes y trabajadores por parte de la compañía y que la incidencia afecte lo menos posible al negocio.


67

CONCLUSIONES

La diferencia para Zapasol S.A. entre tener y no tener un Plan de Continuidad, puede suponer que la compañía pueda desaparecer en caso de un incidente grave que perjudique sus principales procesos. Por ello, como parte de la gestión de seguridad, Zapasol S.A. ha considerado como prioritario desarrollar un Plan de Continuidad para estar preparados ante cualquier incidente.

Guía de Desarrollo de Plan de Continuidad de Negocio Bibliografía

BIBLIOGRAFÍA

• “Good Practice Guidelines” – The Business Continuity Institute

http://www.thebci.org/

• http://www.contingencyplanning.com/

• http://www.globalcontinuity.com/

• http://www.nfpa.org

• Revista de Seguridad SIC

• Norma Internacional ISO/IEC 17799:2002

• NIST - http://www.nist.org/ -SP 800-30 “Risk Management Guide for IT

Systems”

• Metodología de Análisis de Riesgos OCTAVE - www.cert.org/octave/

• Metodología de Análisis de Riesgos MAGERIT-

www.csi.map.es/csi/pdf/magerit.pdf

• Business Continuity Plan (BCP) Format Guide - Centers for Disease Control

and Prevention

• http://www.disaster-recovery-guide.com/

• http://www.businesscontinuityjournal.com

• http://www.ccep.ca/

• http://www.businesscontingency.com/

• http://www.contingency-planning-disaster-recovery-guide.co.uk/

• http://www.drii.org/

• http://www.gartner.com/

• BS 25999 - 'Specification for Business Continuity Management'

68



http://www.contingencyplanning.com/

http://www.globalcontinuity.com/

http://www.nfpa.org/

http://www.nist.org/

http://www.cert.org/octave/

http://www.csi.map.es/csi/pdf/magerit.pdf

http://www.disaster-recovery-guide.com/

http://www.businesscontinuityjournal.com/

http://www.ccep.ca/

http://www.businesscontingency.com/

http://www.contingency-planning-disaster-recovery-guide.co.uk/

http://www.drii.org/

http://www.gartner.com/

prueba

Documents

Transcript of prueba