WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN DRP

JAIRO ALEJANDRO ROMERO 624002

NELSON GEOVANNI NOSSA 621816

UNIVERSIDAD CATOLICA DE COLOMBIA

FACULTAD DE INGENIERIA

PROGRAMA DE INGENIERIA SISTEMAS

BOGOTA, 2.010

2

WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN DRP

JAIRO ALEJANDRO ROMERO 624002

NELSON GEOVANNI NOSSA 621816

Anteproyecto de grado como requisito parcial para obtener

El título Profesional Ingeniero de Sistemas

Director

GERMAN CUBILLOS CARTAGENA

UNIVERSIDAD CATOLICA DE COLOMBIA

FACULTAD DE INGENIERIA

PROGRAMA DE INGENIERIA DE SISTEMAS

BOGOTA D.C.

NOVIEMBRE 2010

3

Nota de Aceptación.

Director de la Tesis

Jurado

Jurado

Bogotá, 20 de Noviembre del 2010

4

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA INGENIERÍA DE SISTEMAS

Formato

F-062-05-001

FECHA

20-11-2010

FICHA DE PROYECTO

Título: WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN DRP

Descriptores: Plan continuidad del negocio, Plan de recuperación de desastres,

Contingencia, BIA, Web 2.0, Wiki, Gestión de riesgos.

Tipo de Proyecto: Trabajo de Grado

Línea de Investigación: CONVERGENCIA ENTRE TECNOLOGÍAS DE

INFORMACIÓN, COMUNICACIONES Y GESTION DE

ORGANIZACIONES

Proyecto asociado: N/A

Fase / Seminarios: N/A

Director / Coordinador: GERMAN CUBILLOS CARTAGENA

Duración: 14 semanas Costo: $4.003.600.oo

DATOS DE LOS ESTUDIANTES

NOMBRE CODIGO TELÉFONOS e-mail

JAIRO ALEJANDRO ROMERO 624002 3142479705 jaromero02@ucatolica.edu.co

NELSON GEOVANNI NOSSA 621816 3166895940 ngnossa16@ucatolica.edu.co

EMPRESA O ENTIDAD PARTICIPANTE

Razón social: Universidad Católica de Colombia

5

TABLA DE CONTENIDO

1. RESUMEN EJECUTIVO

2. PLANTEAMIENTO DEL PROBLEMA

2.1. DESCRIPCION

2.2. IDENTIFICACION

2.3. FORMULACION

2.4. JUSTIFICACION

3. OBJETIVOS

3.1. GENERAL

3.2. ESPECIFICOS

4. MARCO DE REFERENCIA

4.1. MARCO TEORICO

4.2. MARCO CONCEPTUAL

5. METODOLOGÍA

6. CRONOGRAMA

7. PROGRAMACION DE ACTIVIDADES

8. PRESUPUESTO

9. RECURSOS

10. ESTRATEGIA DE COMUNICACIONES

BIBLIOGRAFÍA

6

ANEXO A FICHAS DE REGISTRO DOCUMENTAL DEL PROYECTO

1. RESUMEN EJECUTIVO

La aplicación a realizar en este proyecto y propuesto ante el Programa de

Ingeniería de Sistemas de la Universidad Católica de Colombia, será un sitio Web

colaborativo (Wiki) que permitirá controlar la actualización de la documentación del

plan de recuperación de desastres de una organización.

Se trata de un proyecto enmarcado dentro de la línea de convergencia entre

tecnologías de información, comunicaciones y gestión de organizaciones en el

cual se aplicarán los conocimientos adquiridos sobre los sistemas de TI, tomando

como base algunos de los parámetros que dictan las diferentes metodologías

sobre el tema y haciendo uso de software de código abierto.

De esta manera, el éxito de la recuperación y reanudación planificada de los

sistemas y las operaciones después de una interrupción depende de la existencia

de estrategias de recuperación actualizadas basadas en prioridades e impacto en

la organización, la Web 2.0 puede permitir que todos los involucrados en el DRP

actualicen y conozcan el plan de recuperación oportunamente.

Esta herramienta está dirigida a todo el personal involucrado en el plan de

continuidad del negocio de una organización y específicamente a los encargados

del plan de recuperación de desastres.

7

2. PLANTEAMIENTO DEL PROBLEMA

2.1 Descripción

2.2 Identificación

2.3 Formulación

2.4 Justificación

“Dos de cinco empresas que han experimentado un desastre quedaron fuera del

negocio en los siguientes cinco años. Los Planes de Continuidad y los servicios de

recuperación de desastres aseguran la viabilidad de la organización.”

Gartner (Roberta Witty, Donna Scott) - Disaster Recovery Plans and Systems Are

Essentia, 2007.

Buscando adaptarse al contexto actual, los negocios en el tercer milenio han

llegado a depender de las tecnologías de la información para sus operaciones

cotidianas. Normalmente se automatizan los procesos para hacer a la

organización tan efectiva como sea posible. Por lo tanto, la disponibilidad de los

sistemas de TI resulta crítica para la continuidad del negocio. La recuperación de

la infraestructura de TI en caso de desastres tales como huracanes, terremotos e

inundaciones o sobre aquellos causados de manera deliberada por el hombre

(ataques de virus, explosiones, incendios, sabotaje) ha cobrado particular

relevancia. Cada organización debe estar preparada para reaccionar ante una

posible interrupción. Las caídas en los centros de cómputo afectan a la

organización entera impactando las actividades internas e implicando una enorme

pérdida de ingresos. Externamente, la imagen pública y las relaciones con los

clientes y vendedores son puestas en riesgo seriamente.

El resultado de la implementación de un DRP es poder contar con un plan de

contingencia que incluye las responsabilidades y facultades detalladas de los

8

miembros del equipo de recuperación de desastres. Un DRP establece una guía y

provee la certeza razonable de que los recursos y las instalaciones críticas de TI

permanecerán disponibles en caso de un desastre.

¿Cuales son los errores más comunes en la recuperación de desastres?

Algunos expertos detectan las siguientes dificultades:

Planificación inadecuada: ¿Se identificaron todos los sistemas críticos y se

planificó en detalle cómo recuperar el backup actualizado? Todo el mundo cree

que conoce qué información tiene en la red, pero la mayoría de la gente no sabe

cuántos servidores tiene o cómo están configurados o qué aplicaciones residen en

los mismos, qué servicios corren, qué versión del software o sistema operativo

tienen. Las herramientas de inventario de software aseguran encargarse de estos

temas, pero generalmente fallan en la captura de detalles importantes acerca de

las revisiones de software y otros detalles.

Fallas para encaminar el negocio dentro de la planificación y las pruebas del plan

de recuperación

No construir planes de recuperación adecuados que especifiquen los tiempos de

respuesta objetivo, las aplicaciones y/o sistemas críticos, los documentos vitales

necesarios para el negocio y las funciones de negocio en la construcción de los

planes para las operaciones que deben continuar después de un desastre.

El tener la documentación del plan disponible y actualizado al 100% permitirá:

• Fiabilidad garantizada: un plan actualizado y probado provee la certeza que los

sistemas de soporte y respaldo trabajarán efectivamente.

• Minimizar la toma de decisiones durante un desastre: Durante una situación de

desastre altamente estresante, la toma de decisiones críticas llega a ser

exponencialmente más compleja como resultado directo del corto período

disponible para reaccionar.

9

• Proveer un sentido de seguridad: El conocimiento y la certeza de que se cuenta

con un plan actualizado para la continuación de las operaciones trasmite confianza

a los empleados, al equipo de administración y a los clientes,

10

3. OBJETIVOS

A continuación se relacionan los objetivos del anteproyecto.

3.1 GENERAL

Desarrollar un Wiki que permita controlar la actualización de la documentación del

plan de recuperación de desastres (DRP) de una organización.

3.2 ESPECIFICOS

Definir las especificaciones técnicas del Wiki (Arquitectura, Diseño funcional

y especificaciones no funcionales)

Registrar el contenido (Plan de Recuperación de Desastres) del Wiki

Implementar el Wiki, confirmando su ejecución y aceptación.

11

4. MARCO DE REFERENCIA

A continuación se relacionan los conceptos del BCP y DRP

4.1 MARCO TEORICO

Antes de pasar a exponer el marco teórico y metodológico más íntimamente

ligado al objeto de estudio de este anteproyecto, es preciso presentar, aunque

sea de forma breve, el marco teórico general del que se parte: perdida de la

información por desastres sobre naturales o errores humanos.

El tema principal del más reciente estudio publicado en la última edición de la

encuesta Global de Seguridad de la Información realizado por Ernst & Young.

A la pregunta: ¿cuáles son las principales consecuencias sí la información de

su organización se pierde, se ve comprometida o no está disponible?

“Los daños a la reputación y la marca se citaron como las consecuencias más

significativas de incidentes relacionados con seguridad de la información para

el 85% de los encuestados a escala global. Este hallazgo, en combinación con

la preocupación por mantener la confidencia del proveedor (77%), la

protección contra la pérdida de ingresos (72%) y la pérdida de clientes (71%)

son indicadores claves de porqué la seguridad de la información permanece

como la directriz principal de la mayoría de las organizaciones”.

Los orígenes y posterior desarrollo de lo que hoy día se conoce como

Continuidad de Negocio se encuentra ligado a la Planeación para

Recuperación de Desastres (DRP) como la Planeación para el

Restablecimiento del Negocio. En concreto Recuperación de Desastres es la

capacidad para responder a una interrupción de los servicios mediante la

implementación de un plan para restablecer las funciones críticas de una

organización.

Toda empresa busca el éxito y lograr cumplir sus metas con el cliente y sus

productos ofreciendo calidad y eficiencia, pero ninguna compañía está libre de

12

riesgos, perder sus productos por un incendio, paralizar sus operaciones por

atentados, entre otros; ante estos eventos ¿Cree que la empresa podrá

mantenerse líder en el mercado?, ¿Perdería la fidelidad de sus clientes?, ¿La

imagen del negocio resultará afectada?

Estos y muchos interrogantes tienen respuesta ante cualquier desastre natural

o humano, del cual sólo dependerá de las proyecciones de la compañía en

invertir y aplicar un Plan de Continuidad del Negocio (BCP).

Analizar, buscar y presentar las alternativas más factibles para la mejora

proactiva de la organización frente a la contingencia. Por otra parte,

proporcionar mecanismos para restaurar los productos y/o servicios claves a

un nivel aceptable y dentro de un marco de tiempo limitado, protegiendo la

imagen de la organización buscado evaluar las alternativas de solución que

sean convenientes y poder evitar que estas situaciones se vuelvan a repetir.

La seguridad de la información debe ser un proceso integrado. Esto quiere

decir que con el uso de controles técnicos, administrativos, y físicos, se debe

lograr la confianza en los sistemas y garantizar que cumplan con los

parámetros de: disponibilidad, integridad, confidencialidad, confiabilidad y

desempeño, sin dejar de lado variables como la productividad y la recuperación

de los procesos de negocio.

El plan de Continuidad, tiene como objetivo proteger los procesos críticos del

negocio, contra desastres o fallas mayores, junto con las posibles

consecuencias que se puedan tener, como pérdidas de tipo financiero,

credibilidad, productividad, etc. debido a la no disponibilidad de los recursos de

la organización. El Plan de Continuidad del Negocio, busca mitigar el riesgo a

dichas fallas o desastres, mediante un plan que permita la pronta recuperación

de la operación, en caso de presentarse algún evento que afecte el flujo normal

de las actividades de la compañía.

13

Inicialmente se plantea las definiciones de algunos términos y siglas, utilizados

en el Plan de Recuperación; las definiciones iníciales se pueden utilizar en las

definiciones siguientes para facilitar la comprensión de los demás términos.

Plan Continuidad del Negocio. Es el documento matriz, el cual contiene

los lineamientos necesarios para asegurar la continuidad de la organización

antes, durante y posterior a la presentación de una contingencia.

Aplicaciones. Son programas de computador que están diseñados con

capacidades lógicas y matemáticas para procesar información. El término

Aplicación se utiliza para agrupar un conjunto de programas que responden

a requerimientos particulares del negocio o área de negocio.

Servidor. Es un computador que tiene la capacidad de prestar servicios de

procesamiento o cómputo y almacenamiento de datos a las aplicaciones.

Telecomunicaciones. Son servicios de transmisión de datos a grandes

distancias, que son procesados por computadores. Estos servicios son

prestados por proveedores a través de canales y equipos de comunicación.

El conjunto de enlaces, equipos y computadores conforman las redes, como

por ejemplo, la conocida Internet.

Centro de Cómputo. Es una instalación construida con especificaciones

técnicas y ambientales especiales donde se instalan y mantienen en

operación los servidores y equipos de comunicación.

Centro de Cómputo Principal (CCP). Es un Centro de Cómputo que

mantiene la operación y los servicios del negocio de la organización,

soportados por las aplicaciones que están instaladas en los servidores allí

instalados.

RTO Tiempo Crítico. Es la cantidad de tiempo, medida en horas, que la

organización puede soportar la interrupción de los servicios soportados en

14

el Centro de Cómputo Principal. De sus siglas en ingles Recovery Time

Objective.

Contingencia. Es un evento fortuito que afecta al Centro de Cómputo

Principal causando la interrupción prolongada, mayor al Tiempo Crítico, de

los servicios que se prestan desde allí a las áreas internas de la

organización, sus clientes, proveedores y entidades reguladoras.

Centro de Cómputo de Contingencia (CCC). Es un Centro de Cómputo

que actúa como respaldo del Centro de Cómputo Principal para ser utilizado

en caso que se presente una contingencia.

Aplicación Crítica. Es una aplicación instalada en el Centro de Cómputo

Principal que desempeña funciones que no pueden estar interrumpidas por

un tiempo mayor al Tiempo Crítico.

BIA. Sigla en Inglés para Business Impact Analysis. Consiste en una

herramienta organizacional que ayuda a determinar de forma cualitativa y

cuantitativa el impacto en el negocio producto de una contingencia.

Plataforma Tecnológica. Es un conjunto de elementos de tecnología, con

unas características comunes dispuesto para satisfacer una necesidad de

procesamiento. Por ejemplo, una plataforma de autorizaciones centralizada.

Equipo de Recuperación. Es un grupo humano que tiene la

responsabilidad de ejecutar un conjunto de actividades en respuesta a una

contingencia, con el objetivo de recuperar la operación crítica de una

organización en un Centro de Cómputo de Contingencia.

Plan de Recuperación. Es un documento que contiene la información

necesaria para guiar de forma organizada la ejecución de las actividades a

cargo de los diferentes Equipos de Recuperación, ante declaración de

15

Contingencia. También es conocido como DRP por sus siglas en inglés,

Disaster Recovery Plan.

LDRPS (Living Disaster Recovery Planning System). Es un programa de

computador, que se utiliza para organizar y documentar los apartes del plan

de Recuperación.

Salas de Usuarios. Salas dotadas de teléfonos, computadores personales

e impresora; conectados a la red del Centro de Cómputo de Contingencia.

Centro de Operación de Contingencia (COC). Son instalaciones propias

de la entidad cuya función es la de facilitar la recuperación de las funciones

criticas del negocio, descritas en el Plan de Continuidad de Negocio.

Solución de recuperación. Es un conjunto de elementos compuesto por la

infraestructura contratada con proveedores (Centro de cómputo de

Contingencia, Servidores, Sala de usuarios, Telecomunicaciones),

Aplicaciones críticas, Centro de Operación de Contingencia y el Plan de

Recuperación.

DEFINICIÓN DE CONTINGENCIA

Se entiende como situación de contingencia, a un evento o sucesión de eventos no

previstos que afecten el Centro de Cómputo Principal - CCP causando la

indisponibilidad total o parcial de las aplicaciones.

Ante la ocurrencia de un evento que afecte el Centro de Cómputo Principal o la

disponibilidad de las aplicaciones críticas, deben utilizarse los siguientes criterios

para determinar si dicho evento corresponde al escenario de contingencia:

Interrupción que supere o se prevea puede superar el Tiempo de Recuperación -

RTO.

16

Cualquier interrupción en el Centro de Cómputo Principal, que afecte directa o

indirectamente su capacidad para operar y que pudiera verse aliviado con la

movilización de la producción de Tecnología al Centro de Cómputo de

Contingencia.

Afectación de la disponibilidad total o parcial de las aplicaciones respaldadas en el

Centro de Cómputo de Contingencia.

17

ESTRUCTURA DE LA DOCUMENTACIÓN DEL PLAN DE RECUPERACION

A continuación se describe la estructura utilizada en los procesos de recuperación

tecnológica en cinco fases para la documentación de todas las actividades del

Plan de Recuperación.

Figura No. 1: Fuente: Banco AVVillas 2007

Operación normal para contingencia

En esta fase se agrupan las actividades que cada equipo de recuperación debe

desarrollar para mantener preparada la solución de recuperación, compuesta

por la infraestructura contratada (Centro de cómputo de Contingencia, enlaces

de comunicaciones, aplicaciones) y el Plan de Recuperación de Desastres

(DRP).

Manejo de incidentes

En esta fase se agrupan las actividades que cada equipo de recuperación debe

desarrollar para evaluar un problema que potencialmente lleve a la declaración

de contingencia, la toma de la decisión de dicha declaración y la notificación de

la misma, tanto a las áreas internas como a entes externos (clientes,

proveedores, entidades reguladoras y otros).

18

Cubre el período desde el momento cero de la contingencia, es decir aquel en

el cual se presenta el evento, hasta que se activen los equipos de trabajo y sus

respectivos planes. También se identifican en esta fase las actividades de

recuperación del Centro de Cómputo Principal y las actividades de planeación

del retorno de la operación de las aplicaciones críticas desde el Centro de

Cómputo de Contingencia al Centro de Cómputo Principal, hasta el momento

en que se inicia dicho retorno.

Movilización

En esta fase se agrupan las actividades que cada equipo de recuperación debe

desarrollar para trasladar la operación afectada al Centro de Computo de

Contingencia - CCC y en caso de ser requerido al – Centro de Operaciones de

Contingencia COC; desde el momento en que se declara, notifica y activan los

planes, hasta la puesta en operación de dichos servicios al segundo

datacenter.

Operación durante la contingencia

En esta fase se agrupan las actividades que cada equipo de recuperación debe

desarrollar durante la operación en el Centro de Cómputo de Contingencia,

después de concluida la movilización, con el fin de mantener activas las

aplicaciones movilizadas, hasta el momento en que se inicia el retorno a la

normalidad, prestando el servicio con las restricciones propias de la

contingencia.

Retorno a la normalidad

En esta fase se agrupan las actividades que cada equipo de recuperación debe

desarrollar desde el momento en que se inicia la movilización del CCC hacia el

CCP, hasta que el servicio sea recuperado totalmente en el CCP.

19

PRUEBAS DEL PLAN DE RECUPERACION

EL propósito de esta prueba es identificar y documentar los procedimientos que

deberán ejecutarse para la planeación, realización y documentación de pruebas

del Plan de Recuperación. La planeación de pruebas incluye el alcance, los

objetivos, criterios de medición, personal involucrado, tareas y tiempos, para

validar la efectividad del plan de recuperación.

Se prueba el plan de recuperación para asegurar la capacidad de la compañía de

recuperar su operación en caso de contingencia en un tiempo definido. Un

beneficio adicional de probar el plan es capacitar al personal que será responsable

de la ejecución del plan de recuperación. De acuerdo con la metodología la

importancia de las pruebas del Plan, más allá que se compruebe la correcta

operación de la tecnología en el Centro de Cómputo de Contingencia, es que se

identifiquen elementos que deben ser mejorados en el Plan y en la Tecnología,

para que se ajuste la Solución de Recuperación aumentando su capacidad de

respuesta adecuada a las expectativas de la organización ante la ocurrencia de un

evento que origine una contingencia. La metodología establece que las pruebas

deben ejecutarse con las actividades documentadas en el plan de recuperación.

TIPOLOGIAS DE LAS PRUEBAS DRP

La infraestructura de contingencia debe monitorearse y probarse de forma

periódica, con el fin de garantizar su disponibilidad. Para ello se han considerado

3 clases de pruebas:

CONTINGENCIA PROGRAMADA O TOTAL

Se movilizan todos los servicios respaldados al CCC, trasladando la operación del

la organización al datacenter de contingencia. Implica:

Uso de la copia secundaria.

Interrupción de los servicios de la organización por un tiempo determinado

(horas RTO movilización + horas Retorno).

20

Suspensión de servicios para ambientes de desarrollo y pruebas (si los

maneja); así como para servicios de producción no respaldados.

Movilización de usuarios finales, para ejecutar la listas de chequeo de las

aplicaciones.

Validación de servicios en prioritarios para la organización.

Replicación sentido CCC -> CCP.

CERRADA

Se movilizan uno, varios o la totalidad de los servicios cubiertos por contingencia,

en un ambiente aislado y controlado, sin presentar afectación de la prestación

normal de los servicios de la organización. Implica:

Aislamiento de la red LAN entre CCP y CCC.

Uso de la copia terciaria.

Se deben arrancar algunos servidores necesarios .

Movilización de usuarios finales, para ejecutar la listas de chequeo de las

aplicaciones.

Se trabajará con datos reales, donde las pruebas de usuario no modificarán

los datos de producción.

Dentro de esta categoría se han incluido pruebas de funcionalidad;

correspondientes a validar los cambios o inclusiones sobre hardware, sistema

operativo, bases de datos y aplicativos en la infraestructura.

PARCIAL

Parcial: Se movilizan uno o varios servicios del CCC para probar su correcta

funcionalidad en operación en contingencia. Implica

21

Uso de copia Secundaria

Replicación sentido CCC -> CCP de los discos involucrados en la prueba.

Conectividad LAN activa entre los dos datacenter.

Suspensión programada del o los servicios involucrados para fases de

movilización y retorno.

Movilización de usuarios finales, para ejecutar la listas de chequeo de las

aplicaciones.

POLITICAS PARA LAS PRUEBAS

Se han establecido las siguientes políticas para diseñar y ejecutar las diferentes

pruebas del DRP:

Cualquiera que fuese la necesidad o naturaleza de las pruebas, deben

programarse de manera que en lo posible no afecten el servicio de

replicación.

Basado en las mejores prácticas se ejecutarán a lo menos 2 Contingencias

Programadas al año.

Previa realización de una Contingencia Programada, se debe ejecutar una

prueba cerrada de todos los servicios respaldados.

La confirmación de la funcionalidad de un servicio respaldado se dará

mediante la ejecución de set de pruebas por parte de usuario final.

Garantizar mediante pruebas la disponibilidad de los servicios en

contingencia para los periodos de alta transaccionalidad como lo son:

Vacaciones Junio-Julio y Festividades navideñas Diciembre-Enero. Sin

embargo, dichas pruebas no deberán realizarse en dichos meses.

Como mínimo se deben realizar 2 pruebas cerradas al año

El inicio de fases de movilización y de retorno para escenarios de

contingencias programadas o parciales deberá ser concertado previamente

con los líderes de los diferentes equipos del DRP con la organización.

22

EVALUACION DE LA PRUEBA

Una vez se haya realizado la prueba y como actividad final, es necesario efectuar

una evaluación o revisión de su desarrollo en la cual estén analizados los

objetivos, los parámetros, los criterios establecidos, las fallas y fortalezas.

Se sugiere concentrar la evaluación en una lista de chequeo o en una tabla que

contemple los elementos de la prueba.

ETAPA DESCRIPCION

1 Planeamiento

de la prueba

Definir los equipos participantes, los objetivos específicos

de la prueba y confirmar con la localidad alterna la fecha

y hora de realización.

2 Notificación de

la prueba a los

equipos de

trabajo.

Notificar a los equipos participantes la realización de la

prueba y verificar que todos ellos estén enterados.

3 Alistamiento y

habilitación de

los sitios alternos

para la prueba.

Incluye contar con todos los elementos necesarios para

iniciar el proceso de prueba en el(los) centro(s)

alterno(s).

4 Puesta en

producción de los

sitios alternos

para la prueba

Actividades de los equipos de recuperación tendientes a

restaurar y sincronizar los Aplicaciones.

5 Operación en

los sitios alternos

para la prueba

Actividades de los equipos de recuperación tendientes a

probar la operación en los sitios alternos de contingencia.

6 Evaluación de la

prueba

Reunirse con el personal que participó en la prueba para

identificar problemas y bondades del plan de

recuperación.

Tabla de etapas de prueba

23

Alistamiento y habilitación de los sitios alternos para la prueba

DESCRIPCIÓN RESPONSABLES

Identificar las tareas del plan que ameriten para la

prueba y referenciar a los equipos para su realización. Equipo coordinador

Tabla de actividades de alistamiento y habilitación de los sitios alternos para la prueba

PUESTA EN PRODUCCIÓN DE LOS SITIOS ALTERNOS PARA LA PRUEBA

DESCRIPCIÓN RESPONSABLES

Identificar las tareas del plan que ameritan para la

prueba y referenciar a los equipos para su realización. Equipo coordinador

Tabla de actividades de puesta en producción de los sitios alternos para la prueba

Operación en los sitios alternos para la prueba

DESCRIPCIÓN RESPONSABLES

Identificar las tareas del plan que ameritan para la

prueba y referenciar a los equipos para su realización. Equipo coordinador

Tabla de actividades de operación en los sitios alternos para la prueba

EVALUACION DE LA PRUEBA

DESCRIPCIÓN RESPONSABLES

Reunirse con el personal de los centros alternos de Equipo coordinador

24

DESCRIPCIÓN RESPONSABLES

recuperación.

Identificar las áreas de problema. Todos los equipos

Identificar las fortalezas. Todos los equipos

Identificar las desviaciones. Todos los equipos

Generar las recomendaciones para la corrección de las

áreas problema.

Todos los equipos

Tabla de actividades de evaluación de la prueba

WEB 2.0

El término Web 2.0 se utilizó por primera vez en el año 2004 cuando Dale

Dougherty de O’Reilly Media utilizó este término en una conferencia en la que

hablaba del renacimiento y evolución de la Web. Comenzó con una sesión de

'brainstorming' realizada entre O'Reilly y MediaLive International. Dale Dougherty,

pionero de la web y vicepresidente de O'Reilly, observaron que lejos de

'estrellarse', la web era más importante que nunca, con apasionantes nuevas

aplicaciones y con sitios web apareciendo con sorprendente regularidad.

En el año 2009, el término 'Web 2.0' ha arraigado claramente, con más de 9,5

millones de menciones en Google. Pero todavía existe un enorme de desacuerdo

sobre qué significa Web 2.0, existiendo algunas críticas que afirman que se trata

simplemente de una palabra de moda, fruto del marketing, y sin sentido, en tanto

que otros la aceptan como un nuevo paradigma.

25

INTERPRETACION DE WEB

Figura No. 2: Telefonica.com.co

La Web 2.0 se refiere a una nueva generación de Webs basadas en la creación de

contenidos producidos y compartidos por los propios usuarios del portal.

En la Web 2.0 los consumidores de información se han convertido en “pro-

consumidores”, es decir, en productores de la información que ellos mismos

consumen.

La Web 2.0 se refiere a una nueva generación de Webs basadas en la creación de

páginas Web donde los contenidos son compartidos y producidos por los propios

usuarios del portal.

Si hay una Web 2.0 necesariamente debe existir una Web 1.0 de donde

evoluciona la primera. La Web 1.0 es la Web tradicional que todos conocemos y

26

que se caracteriza porque el contenido e información de un site es producido por

un editor o Webmaster para luego ser consumido por los visitantes de este site. En

el modelo de la Web 2.0 la información y contenidos se producen directa o

indirectamente por los usuarios del sitio Web y adicionalmente es compartida por

varios portales Web de estas características.

En la Web 2.0 los consumidores de información se han convertido en

“prosumidores”, es decir, en productores de la información que ellos mismos

consumen. La Web 2.0 pone a disposición de millones de personas herramientas

y plataformas de fácil uso para la publicación de información en la red. Al día de

hoy cualquiera tiene la capacidad de crear un blog o bitácora y publicar sus

artículos de opinión, fotos, vídeos, archivos de audio, etc. y compartirlos con otros

portales e internautas.

27

Figura No. 3: Telefonica.com.co 2009

Los sistemas de información, son esenciales para la supervivencia de las

organizaciones modernas, sin embargo, muchas empresas no tienen una total

certeza sobre el real estado de sus planes, la actualización de la

documentación y las pruebas del plan de continuidad del Negocio. Una

planeación prudente exige que todos los ejecutivos aseguren que su

organización pueda sobrevivir a un hombre o los desastres naturales que

destruyen o desactivan los sistemas de información manual o automática.

La gestión de la continuidad del negocio es un proceso que identifica

amenazas potenciales a la organización y sus impactos a la operación. Provee

una estructura para construir resiliencia (resistencia a ser afectada)

organizacional con la capacidad para la efectiva respuesta salvaguardando los

28

intereses de las principales partes interesadas, reputación, marca y activos de

valor.

Las organizaciones modernas tienen una gran variedad de funciones

operativas y de gestión, cuya continuidad de las operaciones son

fundamentales para la viabilidad continua de las organizaciones, la Gestión de

Continuidad de Negocio consiste en la organización de las operaciones de

emergencia de estas funciones críticas de negocio y planificación de los

recursos para la recuperación de estas funciones por la afectación de

diferentes orígenes (humano o un desastre natural).

El plan de continuidad del negocio brinda planes de manejo que son

necesarios para todas las unidades de una organización, incluido los centros

de datos, sistemas de información, funciones de apoyo, y las funciones que la

organización lleva a cabo manualmente.

Las empresas deben implementar un total enfoque en la continuidad de su

gestión empresarial, adecuado a la naturaleza y la escala de sus operaciones.

La continuidad de los negocios aumenta la vida de una empresa, la resistencia

a la interrupción de los negocios derivados de eventos internos y externos

puede reducir el impacto en los negocios de la empresa, sus operaciones, su

reputación, y la rentabilidad.

Todas las empresas deben identificar, evaluar y gestionar los riesgos

potenciales de la continuidad del negocio para asegurar la continuidad de su

vida productiva.

Las operaciones de negocio críticas se definen como funciones de negocios,

recursos e infraestructura que tienen el potencial, si se interrumpe, para

impactar significativamente la compañía la reputación o la rentabilidad.

29

4. MARCO CONCEPTUAL

Con el proyecto se quiere que las personas involucradas en el DRP

aprovechando el concepto de la Web 2.0 (Wiki), puedan mantener y actualizar la

documentación del plan de recuperación de desastres de una organización.

La implementación de esta tecnología permitirá aprovechar uno de los aspectos

más importante de la Web 2.0 que se refiere a la creación de contenidos

producidos y compartidos por los propios usuarios del portal, los consumidores de

esta información se convierten en “pro-consumidores”, es decir, en productores de

la información que ellos mismos consumen, se debe recordar que lo más

importante es la actualización de los contenidos.

Para lograr este fin, será necesario mantener el plan actualizado y sincronizado

con los cambios del negocio. Se deberán considerar todos los cambios en las

funciones para la inclusión y la actualización del plan de recuperación. El

mantenimiento del Plan de Recuperación es consecuencia de la ejecución

consistente del proceso de administración de cambios. Desde este punto de vista,

independientemente de cómo se tenga definido e implementado un proceso formal

de administración de cambios lo importante es que se cree la conciencia y se

aplique disciplinadamente que todo cambio deberá ser replicado en el Wiki, así

como todo cambio en el negocio puede potencialmente afectar el Plan de

Recuperación y por lo tanto debe ser documentado.

30

ESTRUCTURA DEL DRP

Figura No. 4

Es una estructura de recuperación que cubre los información crítica, para

que un negocio pueda comenzar de nuevo sus operaciones en caso de un

desastre natural o causado por humanos.

31

DIFERENCIAS WEB 1.0 Y WEB 2.0

Figura No. 5

32

MAPA CONCEPTUAL DE UN WIKI

Figura No. 6

http://debiogeo.blogspot.com/2007/01/un-mapa-conceptual-sobre-los-wikis.html

Explica las diferentes formas de beneficiarse de un wiki y las diferentes

beneficios que tiene el mismo.

33

5. METODOLOGIA

La metodología que se utilizara para el desarrollo del proyecto es AUP-RUP.

El Agile UP (AUP) es una versión simplificada de Rational Unified Process

(RUP). Este describe un enfoque simple y fácil de entender para el desarrollo de

software usando técnicas y conceptos que aún se mantienen vigentes en RUP.

El ciclo de vida del Agile UP

Figura No. 7

Tomado de: http://cgi.una.ac.cr/AUP/html/overview.html 2005

Las disciplinas son ejecutadas en una manera iterativa, definiendo las actividades

las cuales los miembros del equipo ejecutan para construir, validar y liberar

software funcional que cumpla con las necesidades de sus involucrados. Las

disciplinas son:

34

Modelado. El objetivo de esta disciplina es entender el negocio de la

organización, el problema de dominio que se aborda en el proyecto, e

identificar las soluciones viables para manejar el dominio del problema.

Implementación. El objetivo de esta disciplina es transformar su modelo (s)

en código ejecutable y llevar a cabo un nivel básico de las pruebas, en

particular, la unidad de prueba.

Pruebas. El objetivo de esta disciplina es ejecutar una objetiva evaluación

para asegurar la calidad. Esto incluye la detección de defectos, validaciones

de que el sistema funciona como fue diseñado, y verificar que se cumplan

los requerimientos.

Despliegue. El objetivo de ésta disciplina es planificar la entrega del

proyecto de desarrollo y ejecutar el plan, para dejar disponible el sistema al

usuario final.

Administración de la Configuración. La meta de esta disciplina es manejar

el acceso a sus productos de trabajo de proyecto. Esta no sólo incluye el

rastreo de versiones del trabajo del producto en el tiempo, sino que también

el control y administración de los cambio estos productos.

Administración del Proyecto. El objetivo de esta disciplina es dirigir las

actividades a lo largo del proyecto. Esto incluye la administración del riesgo,

dirección del personal (asignación de tareas, rastreo del progreso, etc.), y

coordinación con personas y sistemas fuera del alcance del proyecto para

asegurar su liberación a tiempo y dentro del presupuesto.

Entorno. El objetivo de esta disciplina es soportar el resto del esfuerzo

asegurando que el proceso apropiado, las guías (normas y directrices), y

herramientas (hardware y software) estén disponibles para cuando el

equipo las necesite.

35

6. CRONOGRAMA

A continuación se relaciona el cronograma de actividades, las cuales se cubrirán

en 14 semanas.

36

8. PROGRAMACION DE ACTIVIDADES

A continuación se relaciona la programación de actividades.

OBJETIVOS ESPECIFICOS ACTIVIDADES RECURSOS

DURACION

(SEMANAS)

1.Definir las especificaciones técnicas del Wiki

(Arquitectura, Diseño funcional y especificaciones no

funcionales.

1.1. Análisis del documento del BCP Humanos : 4 semanas

1.2. Análisis de los requerimientos del

DRP

Jairo Romero

Nelson Nossa

1.3 Seleccionar los procesos del DRP Tecnológicos:

1.4. Seleccionar las estructuras de la

contingencia

No aplica

Materiales:

Documentación del

DRP

2. Registrar el Contenido (Plan de Recuperación de

Desastres) del Wiki

2.1. Diseño del Wiki Humanos: 7 semanas

Jairo Romero

Nelson Nossa

Tecnológicos:

Lenguaje de

programación

adecuado

Materiales:

Tutoriales

3. Implementar el Wiki, confirmando su ejecución y

aceptación.

3.1. Implementar el Wiki Humanos: 3 semanas

Jairo Romero

Nelson Nossa

Tecnológicos:

Internet

HTML

Duración total = 14 semanas

37

9. PRESUPUESTO

A continuación se relaciona el presupuesto del proyecto.

INGRESOS EGRESOS

DETALLE VALOR DETALLE VALOR

Recursos Propios $ 4003600 Honorarios Director $ 1.500.000

Portatiles (2) $ 1.500.000

Telefonos (2) $ 60.000

Internet $ 300.000

Papeleria $ 10.000

Memorias USB (2) $ 40.000

Impresora $ 100.000

Asesorias Tecnicas $ 100.000

Alimentacion $ 240.000

Transporte $ 153.600

TOTAL INGRESOS $ 4003600 TOTAL EGRESOS $ 4.003.600

38

10. RECURSOS

A continuación se relacionan los recursos a utilizar

Recursos Planta Física

Laboratorio Universidad

Sala Profesores Universidad

Cuartos de Estudio Vivienda

Recursos Tecnológicos

1 Maquina desktop HP 5100 Windows XP Profesional

Impresora Lexmar X340

Conexión a Internet

1 Microsoft Office Project 2007

Recursos Humanos

Germán Cubillos Director del Proyecto

Jairo Romero

Nelson Nossa

RECURSOS INTERACTIVOS

Guía de los Fundamentos de la Dirección de Proyectos Tercera Edición

39

INSUMOS

Papelería General

11. ESTRATEGIA DE COMUNICACION

Al finalizar cada una de las fases del desarrollo del proyecto se entregará un

informe de alcance de objetivos y actividades desarrolladas al docente de la

Facultad de Ingeniería de Sistemas asignado como Director del Proyecto.

Los resultados de este trabajo de grado, implementación y su documentación, se

darán a conocer a la comunidad educativa de la Universidad Católica de Colombia

y a la Dirección de Investigaciones de la Facultad de Ingeniería, Programa de

Sistemas.

Se presentara un póster, un artículo en formato IEEE y resultados de la feria en la

comunidad universitaria e demás invitados

40

BIBLIOGRAFÍA

ICONTEC, Compendio tesis y otros trabajos de grado, Sexta actualización. Bogotá:

Instituto colombiano de normas técnicas y certificación (ICONTEC), 2008.

BCLS-2000 Curso de continuidad de Negocios para Profesionales.

http://www.cpm.org.mx/revistas/comprmiso/vol%206%20num%2017/paginas/drp.pdf

ttp://bieec.epn.edu.ec:8180/dspace/bitstream/123456789/1294/2/T%2011177%20CAPI

TULO%203.pdf

http://www.emarket.cl/dir/umayor/topinf/0605_Manual%20de%20Contingencia%20Infor

matico.pdf

http://www.cptm.com.mx/work/sites/CPTM/resources/LocalContent/7567/1/ManualdeR

espaldosCPTM.pdf

http://www.riuady.uady.mx/riuady/plan_de_contingencias_uady.pdf

http://capacitacion.softwarelibre.gob.ve/aulas/file.php/1/Manuales_de_Cursos/manuale

s_Servicios_de_administracion_GNULinux/manual-respaldo.pdf

http://www.gavab.es/wiki/download/ai/Temario/AudInf-Apuntes-8.pdf

http://colombia.emc.com/collateral/software/white-papers/h6859-virtzng-business-crtcl-

appts-wp.pdf

http://upcommons.upc.edu/pfc/bitstream/2099.1/2594/2/34405-2.pdf

http://mx.oocities.com/acadentorno/aui6.pdf

http://www.cemla.org/pdf/aud-991109-spn.PDF

http://bieec.epn.edu.ec:8180/dspace/bitstream/123456789/1294/1/T%2011177%20CA

PITULO%204.pdf

http://www.proviasdes.gob.pe/organizacion/plan_cont_inf/Plan%20Contingencias%20R

D-2008-02457-999.pdf

http://www.bbr.cat/presentaciones/pdf/Noticias_EventosBbr/Sistemes/Oracle11g_HA&

DR.pdf

http://www.sisteseg.com/files/Microsoft_Word_Articulo_BS_25999_DEF1.pdf

41

http://www.revistaays.com/DocsNum17/HoyHablamosDe/HoyHablamos17.pdf

http://www.cegesti.org/exitoempresarial/publicaciones/publicacion_63_150508_es.pdf

http://cgi.una.ac.cr/AUP/html/overview.html

http://aulablog21.wikispaces.com/tallerwikispaces2

Debate y Conocimiento Articulos Qué es Web 2.0 Telefonica.mht

42

FICHA DE REGISTRO DOCUMENTAL

Código: sep10

Fuente No. 2 Elaboró: JRNN

Tipo de fuente: Documento PDF

Titulo: ESTRATEGIAS Y POLITICAS PARA CONTINUIDAD DEL NEGOCIO

Autor:

SISTESEG

Ubicación: www.sisteseg.com

Descripción:

La seguridad de la información debe ser un proceso integrado. Esto quiere decir que con el uso

de controles técnicos, administrativos, y físicos, debemos lograr la confianza en nuestros

sistemas y garantizar que cumplan con los parámetros de: disponibilidad, integridad,

confidencialidad, confiabilidad y desempeño, sin dejar de lado variables como la productividad y

la recuperación de los procesos de negocio.

El plan de Continuidad, tiene como objetivo proteger los procesos críticos del negocio,

contra desastres o fallas mayores, junto con las posibles consecuencias que se puedan

tener, como pérdidas de tipo financiero, credibilidad, productividad, etc. debido a la no

disponibilidad de los recursos de la organización. El Plan de Continuidad del Negocio,

busca mitigar el riesgo a dichas fallas o desastres, mediante un plan que permita la

pronta recuperación de la operación, en caso de presentarse algún evento que afecte el

43

flujo normal de las actividades de SISTESEG.

Tabla de contenido:

1. Audiencia

2. Introducción

3. Definiciones

4. Objetivo

5. Política general

6. Elementos adicionales a la política general.

7. Políticas relacionadas

8. Roles y Responsabilidades

9. Violaciones a la política

10. Revisión de la política

Palabras clave:

Referencias:

http://www.sisteseg.com/files/Microsoft_Word_-

_Estrategias_y_politicas_para_continuidad_del_negocio.pdf

http://www.thebci.org/

http://www.business-continuity-world.com/

http://www.sisteseg.com/

44

RESUMEN

Política Continuidad del Negocio [BS 7799 Control A.11.1]

1. Audiencia

Esta política aplicará para todo el personal que labore en, o, para SISTESEG, con el fin

de poder garantizar la continuidad del negocio, en caso de un evento que afecte la

operación normal.

2. Introducción

El plan de Continuidad, tiene como objetivo proteger los procesos críticos del negocio,

contra desastres o fallas mayores, junto con las posibles consecuencias que se puedan

tener, como pérdidas de tipo financiero, credibilidad, productividad, etc. debido a la no

disponibilidad de los recursos de la organización. El Plan de Continuidad del Negocio,

busca mitigar el riesgo a dichas fallas o desastres, mediante un plan que permita la

pronta recuperación de la operación, en caso de presentarse algún evento que afecte el

flujo normal de las actividades de SISTESEG.

3. Definiciones

Plan de continuidad del negocio (BCP-Business Continuity Plan): Un plan

documentado y probado con el fin de responder ante una emergencia de manera

adecuada, logrando así el mínimo impacto a la operación del negocio de SISTESEG.

Plan de Contingencia: Es un subconjunto de un plan de continuidad de negocio, que

contempla como reaccionar ante una contingencia que pueda afectar la disponibilidad o

los servicios ofrecidos por los sistemas informáticos. Una contingencia puede ser un

problema de corrupción de datos, suministro eléctrico, un problema de software o

hardware, errores humanos, intrusión etc.

Plan de recuperación frente a desastres: Es aquella parte del plan de contingencia y

45

del plan de continuidad de negocio, que aborda aquellas contingencias que, por su

gravedad, no permiten continuar prestando el servicio desde el centro local y debe

continuarse el servicio desde un nuevo centro. Este plan debe contemplar la vuelta atrás

cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado

en el centro local.

Business Impact Assessment (BIA): El propósito del BIA es crear un documento que

ayude a entender el impacto que un desastre pueda tener sobre un negocio en

particular. Contempla tres objetivos fundamentales:

Priorizar procesos críticos del negocio.

Calcular el “Máximum Tolerable Downtime”, (MTD) el cual es el tiempo

máximo

sin servicio que una organización puede soportar y seguir siendo una compañía

que cumple con sus objetivos de negocio. Normalmente es encontrado que este

tiempo es mucho menor de lo esperado.

4. Objetivo

Evitar interrupciones a los procesos críticos del negocio como consecuencia de fallas o

desastres.

5. Enunciado de la Política General

Debido a que cualquier interrupción en los procesos de negocio afecta la operación, es

responsabilidad de las directivas de la organización aprobar un plan de continuidad de

negocio que cubra las actividades esenciales y críticas de SISTESEG.

Se deben incluir controles para identificar y reducir riesgos, limitar las consecuencias de

los diferentes incidentes y por ultimo asegurar la recuperación inmediata de las

operaciones esenciales.

Como parte fundamental del soporte al negocio, todos los sistemas de información

deben poseer planes de contingencia y recursos necesarios que aseguren la

46

continuidad de los procesos de negocio.

6. Elementos adicionales a la política general

Aspectos de la Continuidad del Negocio a ser considerados en la definición de las

políticas

funcionales:

Respaldo de información

Seguridad física

Mantenimiento del plan

Pruebas del plan

Simulaciones

Intentos de restauración

7. Políticas relacionadas

Política de seguridad física

8. Roles y responsabilidades

Esta política es responsabilidad de ser aprobada por las directivas de SISTESEG, luego

de un estudio previo y detallado de sus posibles consecuencias, con el fin de garantizar

la continuidad del negocio en caso de un evento que afecte la operación normal de los

procesos críticos.

9. Violaciones a la política

En este caso especial, si las directivas de la organización de SISTESEG se

comprometen a desarrollar este plan, será responsabilidad de ellos, no faltar a este

compromiso y tener en cuenta que al no realizar dicho plan, la compañía pudiera estar

47

expuesta a procesos legales y contractuales, que pudieran poner en riesgo el futuro de

la operación de SISTESEG.

10. Revisión de la política

Esta política debe ser modificada si existieran cambios en los procesos de negocio de

SISTESEG o en su infraestructura tecnológica, de no haber cambios, se debe realizar

su revisión anualmente.

FICHA DE REGISTRO DOCUMENTAL

Código: sep10

Fuente No. 3 Elaboró: JRNN

Tipo de fuente: Documento web

Titulo: NORMAS Y ESQUEMAS DE CERTIFICACION PARA LA CONTINUIDAD DEL

NEGOCIO

Autor:

BSI

Ubicación: ww.bsigroup.es

Descripción:

La continuidad de la actividad en caso de una interrupción, ya sea debido a un siniestro

o catástrofe importante o bien debido a un incidente menor, es un requisito fundamental

para cualquier organización. BS 25999, la primera norma británica para la gestión de

48

continuidad de negocio (Business Continuity Management-BCM), se ha concebido para

ayudar a minimizar el riesgo de interrupciones de estas características.

Tabla de contenido:

1. Introducción

2. Descripción General

3. ¿Para quién es Significativo?

4. Estándar

5. Beneficios

6. Formación

7. Pasos a la certificación

Palabras clave:

Referencias:

http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-

gestion/estandares-esquemas/BS-25999/http://www.sisteseg.com/

RESUMEN

1. Descripción General

La norma ayuda a establecer las bases de un sistema BCM y se ha concebido para

mantener en marcha las actividades durante las circunstancias más inesperadas y

desafiantes: protege a los empleados, su reputación y proporciona la capacidad de

49

continuar con la actividad y el comercio.

BS 25999 ha sido desarrollada por un amplio grupo de expertos de primera categoría

que constituyen una muestra representativa de sectores de la industria y de la

Administración para establecer el proceso, los principios y la terminología de la gestión

de continuidad de la actividad comercial.

Proporciona una base para comprender, desarrollar e implantar la continuidad de

negocio en una organización y otorga confianza en los negocios de B2B y de B2C.

Asimismo, contiene un conjunto exhaustivo de controles basados en las mejores

prácticas de BCM y abarca todo el ciclo de vida de la gestión de continuidad de negocio

2. ¿Para quién es significativo?

BS 25999 es una norma adecuada para toda organización, grande o pequeña,

de cualquier sector. Es especialmente apropiada para organizaciones que

operan en entornos de alto riesgo, como las finanzas, telecomunicaciones,

transporte y el sector público, donde la capacidad de continuar la actividad

comercial es primordial para la organización en sí, así como para sus clientes y

partes interesadas.

3. El estándar

BS 25999 comprende dos partes:

la parte 1, el código de buenas prácticas, que ya ha sido publicada y proporciona

unas recomendaciones de buenas prácticas en cuanto a BCM. Esta primera

parte es simplemente un documento de guía..

la parte 2, la especificación, fué publicada el pasado 20 de noviembre 2007 y

proporciona los requisitos de un Sistema de Gestión de Continuidad de

Negocio (SGCN) basado en las mejores prácticas de SGC. Hay un estándard

que puede utilizar para demostrar el cumplimiento vía auditoría y proceso de

certificación.

50

4. Beneficios

Las beneficios de BS 25999 son muchos, especialmente cuando son combinadas con

una certificación independiente de BSI, y abarcan los siguientes puntos:

Marco

Proporciona un marco común consistente, basado en unas mejores prácticas

internacionales, para gestionar la continuidad de negocio.

Resiliencia

Mejora su resiliencia de manera proactiva cuando se enfrenta con una

interrupción en su capacidad de alcanzar objetivos claves.

Reputación

Ayuda a proteger y mejora su reputación y marca.

Ventaja competitiva

Le abre nuevos mercados y le ayuda a ganar nuevos negocios.

Ganar más contratos más efectividad de costos

Le proporciona una ventaja de marketing y usando la certificación, puede

ayudarle a reducir el coste de ofertas muy caras.

Mejora el negocio

La certificación le da una clara comprensión de toda su organización, la cual

puede identificar oportunidades para la mejora.

Mejora continua

El proceso de certificación supone auditorías habituales las cuales aseguren su

sistema de gestión está actualizado.

Cumplimiento

Demuestra que se observan las leyes y las regulaciones.

Ahorro de costes

Crea oportunidades para reducir los costes de los auditores de continuidad de

negocio y puede reducir las primas de seguros.

51

Gestión

Proporciona una capacidad probada para gestionar una interrupción.

5. Formación

Continuar con las operaciones en caso de interrupción, tanto si es debido a que

hay un desastre importante o a un incidente de menor importancia, es requisito

fundamental para cualquier organización. BS 25999, el estándar visionario para

la gestión de la continuidad del negocio (BCM), se ha desarrollado para ayudarle

a reducir al mínimo el riesgo de tales interrupciones.

Ofrecemos un programa de cursos de BS 25999 para aquellos asistentes que

sean nuevos en este estándar y en los sistemas de gestión, así como los que

necesiten auditar y mejorar un sistema existente. Además, nuestros cursos le

ayudarán a entender los beneficios de certificarse en BS 25999.

Usted puede elegir si usted quiere ir a uno de nuestros cursos programados o si

prefiere recibirlo en su propia compañía (in company)

A continuación, encontrará una descripción de los cursos disponibles que

coinciden con la publicación de la parte 2 de BS 25999:

Introducción a la BS 25999

Este curso de 2 días da una descripción de los principios y la práctica de Gestión

de Continuidad de negocio, y está basado en la guía del Instituto de Continuidad

de negocio de Mejores Prácticas, BS 25999, y 10 disciplinas.

Implantación de la BS 25999

Un curso diseñado para gerentes y responsables de personal o personas

involucradas en la implantación de la BS 25999 en sus organizaciones.

52

Auditor interno en BS 25999

Curso práctico en planificación y ejecución de auditoría internas para aquellos

que tengan algún conocimiento de BS 25999.

Auditor Jefe en BS 25999

Un curso intensivo para profesionales en planificación, ejecución y liderazgo

en auditorías efectivas de continuidad de negocio basadas en la BS 25999.

6. Pasos hacia la certificación

Contactar

Contacte con nosotros y explíquenos lo que necesita y nosotros pondremos a su

disposición nuestros mejores servicios .Después, le haremos una

oferta detallada con los costes y tiempo que llevará.

Encuentre su equipo de auditor

Le asignaremos un auditor, el cual será su principal punto de contacto durante el

proceso y después. Ellos tendrán un excelente conocimiento de su área de

negocio y le apoyarán en todos su movimientos para la auditoría y certificación

de su sistema de gestión de continuidad de negocio.

Considerar la formación

Si usted está buscando implantar un sistema de gestión o le gustaría aumentar

su conocimiento general de la norma, tenemos una variedad de jornadas,

seminarios y cursos de formación disponibles.

53

Revisión y auditoría

Realizaremos una revisión en oficina de su sistema de gestión contra la norma

BS 25999 e identificaremos omisiones o puntos débiles que necesite resolver

antes de una auditoría formal. Una vez hayan sido direccionados, realizaremos

una auditoría completa en el lugar de trabajo.

Certificación y después

Una vez se haya completado exitosamente la auditoría, le otorgaremos

un certificado de auditoría, explicando claramente el enfoque de su sistema de

gestión.

FICHA DE REGISTRO DOCUMENTAL

Código: sep10

Fuente No. 4 Elaboró: JRNN

Tipo de fuente: Documento web

Titulo: MICROSOFT SOLUCION PARA LA CONTINUIDAD DEL NEGOCIO

Autor:

MICROSOFT

Ubicación: ww.microsoft.com

54

Descripción:

Microsoft tiene una posición privilegiada para ayudarte a consolidar tu centro de datos, y

recortar así los costes y mejorar la agilidad de negocio. Unimos un valor excelente en la

virtualización del servidor, basada en Windows Server 2008 Hyper-V, con las capacidades

de gestión física y virtual de System Center Virtual Machine Manager. Microsoft trabaja

con un amplio abanico de partners dedicados a la infraestructura de almacenaje para

lograr recortes impresionantes en los costes asociados con el centro de datos gracias a la

combinación de la consolidación de servidores y de almacenaje. En pocas palabras,

nuestras soluciones se han creado para ayudarte a:

Minimizar los gastos de capital

Recortar los gastos operativos

Aumentar el nivel de tus servicios

Tabla de contenido:

1. Continuidad

2. Desarrollo

Palabras clave:

Referencias:

http://www.microsoft.com/spain/virtualizacion/solutions/continuity/default.mspx

http://www.microsoft.com/spain/virtualizacion/solutions/application-

development/default.mspx

http://www.microsoft.com/spain/virtualizacion/solutions/desktop/default.mspx

http://www.microsoft.com/spain/virtualizacion/products/server/default.mspx

http://www.microsoft.com/spain/virtualizacion/solutions/smb/default.mspx

55

http://www.microsoft.com/spain/virtualizacion/solutions/technology/default.mspx

http://www.microsoft.com/spain/virtualizacion/solutions/business-critical-

applications/default.mspx

RESUMEN

1. Soluciones de continuidad de negocio

Realizar la implementación de una estrategia fiable y de recuperación rápida

puede llevar demasiado tiempo y dinero, requerir infraestructuras superfluas de

servidores, almacenaje y redes. Debido a esto, muchas compañías simplemente

no pueden tener planes completos de continuidad de negocio para poder proteger

su infraestructura y sus aplicaciones más importantes.

Gracias a las soluciones de virtualización de continuidad de negocio se pueden

añadir opciones de alta disponibilidad y recuperación de desastres a tu negocio,

incluso si no puedes justificar el gasto y la complejidad de un centro de datos no

vitalizado. Además si ya tienes implementada la continuidad de negocio para

algunas de tus aplicaciones puedes utilizar la virtualización para llevar la

protección a cualquier aplicación adicional.

Windows Server 2008 Hyper-V ayuda a los TI a ofrecer flexibilidad en el

alojamiento físico y una alta disponibilidad en máquinas virtuales dentro y entre los

sitios. Microsoft Windows Server 2008 ofrece la plataforma de continuidad de

negocio más sólida, proporcionándote tecnologías reconocidas tales como

Network Load Balancing y Clustering dentro del propio sistema operativo.

Windows Server ofrece soporte para un amplio abanico de soluciones de

almacenaje compartido de manos de líderes del sector para ofrecer Quick

Migration y Live Migration así como tecnologías de administración de datos a

56

través de diversas ubicaciones y de replicación de datos. En resumen, las

soluciones de continuidad de negocio de la Virtualización Microsoft ofrecen los

siguientes beneficios:

Sacar más partido a los ahorros desde la consolidación hasta lograr ofrecer una

mejor continuidad de negocio

Implementar y mantener el mismo número o un número inferior de servidores al

tiempo que se hace posible la diversificación geográfica

Combinar las capacidades del partners y de Microsoft para lograr soluciones

rentables y de alto rendimiento

2. Soluciones para la automatización de laboratorios y para testeo

El desarrollo de software implica pruebas continuas, reproducción y solución de

bugs. El resultado es que los desarrolladores pueden invertir en torno al 30% de

su tiempo en el aprovisionamiento y las pruebas de caída de los entornos. Cuando

las aplicaciones ya están preparadas para la implementación de la producción, el

personal TI tiene que administrar las configuraciones de las aplicaciones en varias

etapas desde el lanzamiento hasta la producción, con oportunidades similares

para mejorar la eficacia de procesos y la utilización de los recursos.

Gracias a la virtualización, el personal dedicado al desarrollo y el testeo puede

ofrecer configuraciones de una forma rápida a partir de plantillas antiguas.

Después pueden probar las configuraciones y tomar capturas para registrar los

bugs y mejorar la utilización de los recursos mediante la consolidación de las

máquinas virtuales en un puñado de recursos físicos. Durante la implementación

de las aplicaciones, la virtualización facilita a tu personal TI las tareas de

aprovisionamiento, clonación, parcheo y pruebas antes de realizar la

implementación en la producción y archivar los sistemas de producción para la

protección de los datos del negocio.

Gracias a Windows Server 2008 con Hyper-V se consiguen mejoras en la

57

utilización gracias a las configuraciones de pruebas de virtualización en un puñado

de recursos físicos. Systems Center Virtual Machine Manager ofrece un portal self-

service por el que usuarios autorizados pueden ofrecer configuraciones simples.

También permite a los administradores la clonación de las máquinas virtuales con

fines de testeo. Systems Center Data Protection Manager permite la recuperación

y la creación de copias de seguridad rápidas de las configuraciones de

producción. Creado a partir de las capacidades contrastadas de Hyper-V, los

partners de Microsoft también ofrecen soluciones con capacidades completas

como la configuración de multimáquina y la protección de la red para probar

aplicaciones multi-capa.

En resumen, las soluciones de implementación y la implementación de

aplicaciones de Microsoft ofrecen estas ventajas clave:

Mejorar la utilización de los recursos

Incrementar la calidad de las aplicaciones al tiempo que se reduce el tiempo

invertido en su implementación

Aumentar el nivel del servicio al tiempo que se reduce el tiempo invertido en su

implementación

FICHA DE REGISTRO DOCUMENTAL

Código: sep10

Fuente No. 5 Elaboró: JRNN

Tipo de fuente: Documento web

Titulo: IDENTIFICAR Y MINIMIZAR LOS RIESGOS A LOS QUE ESTAN EXPUESTOS

LOS SISTEMAS DE LA EMPRESA

Autor:

58

IBM

Ubicación:

Descripción:

La continuidad de la empresa es vital para el éxito de negocio. En el mundo de hoy,

absolutamente interconectado, todos los aspectos del funcionamiento de una empresa

son vulnerables a las interrupciones. Por esta razón, su continuidad se ha convertido en

una preocupación que va más allá de las TI. Además, con el constante aumento de las

amenazas, garantizar la continuidad de la empresa con el método de "política de

seguros" para el peor caso posible ha quedado completamente obsoleto.

Pero, ¿cómo determinar los requisitos de continuidad y capacidad de recuperación de

su empresa? ¿Cómo identificar e integrar prioridades de negocios y de TI críticas en un

programa de continuidad completo? ¿Por dónde empezar?

Los servicios de continuidad y recuperación de negocio de IBM pueden ayudarle, desde

la planificación y diseño hasta la implantación y administración.

Tabla de contenido:

1. Creación de una infraestructura on demand

2. La necesidad

3. Como puede ayudar IBM

4. Productos y soluciones

Palabras clave:

59

Demand: prestación de servicios bajo demanda

Referencias:

http://www.ibm.com/co/systems/infrastructure/continuity_flat.phtml#need

http://www-05.ibm.com/services/es/bcrs/

RESUMEN

1. Creación de una infraestructura on demand

Cuanto más integra la empresa la tecnología de la información en cada faceta de sus

operaciones diarias, más importante resulta evitar interrupciones en el servicio,

independientemente de los factores externos. Cuanto más global y 24x7 se espera que

sea una empresa, más global y "siempre activa" debe estar la red. La continuidad de

negocio no incluye únicamente el "tiempo de actividad" del sistema; están también en

juego las operaciones, los beneficios e incluso su reputación empresarial.

60

2. La necesidad

Aplicaciones empresariales, potencia de proceso, conectividad, almacenamiento de

datos y acceso a bases de datos deben estar siempre protegidos frente a cualquier tipo

de interrupción; desde tiempos de inactividad planificados y caídas de la alimentación a

desastres naturales y errores humanos, que puedan dañar o destruir instalaciones

enteras. Para asegurar la disponibilidad continuada de los sistemas y de la información

para empleados, socios y clientes se necesita una planificación de una infraestructura

autónoma y de una arquitectura que pueda anticiparse y evitar amenazas, pero que

también asegure una recuperación rápida y la integridad de los datos si se produce una

interrupción.

61

3. Como puede ayudar IBM

IBM comienza con un enfoque metódico para conocer en profundidad

sus requisitos individuales de continuidad de negocio y disponibilidad.

Le podemos ayudar a concebir y a diseñar un plan de continuidad

que minimice o elimine las amenazas de interrupción, establezca

prioridades entre los requisitos críticos en el caso de que se vea

comprometida la disponibilidad y le ayude a minimizar el tiempo de

restauración. Las soluciones de continuidad de IBM utilizan la

experiencia en tecnología avanzada y en mejores prácticas en la

gestión de infraestructuras; respaldado por software de

automatización para la gestión de almacenamiento,

aprovisionamiento de servidor y gestión completa de la

disponibilidad.

62

Utilizamos funciones autónomas y adaptativas y concebimos una

combinación de capacidad de copia de seguridad en línea y fuera de

línea que se ajuste a sus requisitos exclusivos. En suma, IBM ofrece

soluciones y productos globalmente probados para crear una

excelente infraestructura de disponibilidad continuada, copia de

seguridad, y restauración y recuperación rápida de datos.

4. Productos y soluciones

En IBM, nuestro objetivo es ayudarle a impedir que se pierdan datos

y a proteger el valor de su marca. Le ayudamos a conseguirlo con

hardware, software y servicios que reducen la exposición a riesgos y

63

que mejoran el tiempo del ciclo de recuperación. Un elemento clave

consiste en ayudarle a gestionar sus actividades de continuidad y de

recuperación de desastres como un proceso comercial.

Soluciones:

Copia de seguridad y restauración

TotalStorage para continuidad de negocio

Tivoli Storage Manager para copia de seguridad y recuperación

Alta disponibilidad

Clústeres zSeries Parallel Sysplex

Ayuda a ofrecer una disponibilidad de las aplicaciones flexible y

sólida, recursos y datos compartidos, junto con equilibrio de cargas

de trabajo.

64

Parallel Sysplex geográficamente dispersos

Capacidad de recuperación de desastres y de disponibilidad de

aplicaciones casi continuada, en uno o varios sitios.

High Availability Cluster Multi Processing (HACMP) para AIX

Ayuda a conseguir una disponibilidad de las aplicaciones y una

continuidad de negocio que un hardware fiable solo no puede

ofrecer.

iSeries for High Avalibility

Ayuda a eliminar el tiempo de inactividad planificado y a reducir los

tiempos de inactividad no planificados; para los clientes que

necesitan disponibilidad 24x7.

Disponibilidad continua para Windows®

Diseñado para permitir instalaciones de clúster que abarcan sitios

dispersos y ayudar a proteger clientes frente a desastres o errores de

almacenamiento.

65

FICHA DE REGISTRO DOCUMENTAL

Código: sep10

Fuente No. 6 Elaboró: JRNN

Tipo de fuente: Documento web

Titulo: PLANTILLA DEL PLAN DE RECUPERACION DE DESASTRES DE

CONTINUIDAD DE NEGOCIO

Autor:

Janco Associates, Inc.

Ubicación: http://e-janco.com/drp.htm

Descripción:

Todos los de Continuidad de Negocio / Los planes de recuperación de desastres

debe incluir cómo los empleados se comunican, donde van a ir y cómo van a

seguir haciendo su trabajo. Los detalles pueden variar mucho, dependiendo del

tamaño y el alcance de una empresa y la forma en que hace negocios. Para

algunas empresas, cuestiones como la logística de la cadena de suministro son

más importantes y son el foco en el plan. Para otros, la tecnología de la

66

información puede desempeñar un papel más fundamental, y la continuidad del

negocio o en el plan de recuperación de desastres pueden tener más de un foco

en la recuperación de sistemas.

Pero el punto crítico es que ninguno de los elementos se puede ignorar, y física,

informática y planes de recursos humanos no pueden desarrollarse en forma

aislada unos de otros. (En este sentido, la recuperación de Continuidad de

Negocio / Desastres tiene mucho en común con la convergencia de la

seguridad.) En su corazón, de Continuidad de Negocio de Recuperación /

Desastres se trata de una comunicación constante.

Desastres Janco Plan de Recuperación (DRP) es que la herramienta que se

puede utilizar como una plantilla de planificación de desastres para cualquier

tamaño de empresa. La plantilla y el material de apoyo se han actualizado a la

ley Sarbanes-Oxley y HIPAA. Themplate viene como un documento de Word y

una estática totalmente indexada en formato PDF. El DRP / BCP Plantilla que

incluye:

Plan de Recuperación de Desastres y la Plantilla de Continuidad de Negocio

(WORD y PDF)

Impacto en el negocio y TI análisis de los cuestionarios

Plan de Trabajo

De recuperación de desastres / continuidad de negocio Programa de Auditoría

Lista de planificación pandémica

Tabla de contenido:

1. Estándar de Recuperación de Desastres y continuidad del

Negocio.

67

2. La edición Premium de Desastres de Continuidad de

Negocio de plantilla

3. Recuperación de Desastres de Continuidad de Negocio para

oficinas remotas.

4. DRP y Planes de seguridad clave para el cumplimiento.

5. ¿Por qué es la continuidad de desastres y planificación de

negocios importante?

Palabras clave:

Referencias:

http://e-janco.com/drp.htm

RESUMEN

1. Estándar de recuperación de Desastres y Continuidad del negocio

Preparación para la Recuperación de Desastres Continuidad de Negocios a la luz de la

SOX tiene dos partes principales. La primera es la organización de sistemas para

proteger por completo todos los datos financieros y de otra índole necesarias para

cumplir con las normas de presentación de informes y archivar los datos para satisfacer

68

las futuras solicitudes de aclaración de los informes. El segundo es el de documentar de

manera clara y expresa todos estos procedimientos para que en el caso de una

auditoría SOX, los auditores ver claramente que el PRD existe y adecuada para proteger

los datos.

Retención de Copias de Seguridad y Política de copia de seguridad

Recuperación de Desastres del Programa de Auditoría

El cumplimiento de las normas de la serie ISO 27000 (anteriormente ISO 17799

ya ISO 27001 y ISO 27002), la Ley Sarbanes-Oxley, PCI DSS, HIPAA y

Sitio Web de Recuperación por Desastre Planificación Formulario

Situación del proyecto Formulario de Informe

Informe de Personal Ubicación

Departamento de Recuperación de Desastres de activación libro

o Guía de Referencia Rápida

o Equipo de Alerta de la lista (formulario)

o DRP Responsabilidades del equipo

o DRP Lista de Equipo

o Función crítica (s) Definición

o Normal de negocios Procedimientos horas de respuesta

o Después de horas de Procedimientos de Respuesta

o Ubicación DRP (s) Definición

o DRP Procedimientos de recuperación

o Los procedimientos de notificación

o Notificación lista de llamadas (formulario)

Actualización de Negocios y TI Cuestionario de Análisis de Impacto

Recuperación de Desastres de proveedores Cuestionario

Teléfono del vendedor Lista Formulario Actualización

Formulario de Notificación de los clientes clave

Recursos Críticos para ser Obtenido Formulario

Continuidad del Negocio de Materiales de la web fuera de forma

Continuidad de Negocios Programa de Auditoría

69

2. La edición Premium de Desastres de Continuidad de

Negocio de plantilla

La edición especial contiene 15 descripciones de empleo a jornada completa.

Ellos son:

Director General de Información

Director de Seguridad

Director de Cumplimiento

Vicepresidente de Estrategia y Arquitectura

Director de Recuperación de Desastres y Continuidad del Negocio

Director de Comercio Electrónico

Administrador de recuperación de desastres

Administrador de recuperación de desastres y continuidad de negocio

Coordinador de Recuperación de Desastres

Recuperación de Desastres - Supervisor de Proyectos Especiales

Administrador de Base de Datos

Capacidad Supervisor de Planificación

Administrador de medios de apoyo de Bibliotecas

Gerente de Gestión del Sitio

Pandemia de Coordinador

3. Recuperación de Desastres de Continuidad de Negocio para oficinas

remotas

Los datos que residen fuera del centro de datos en oficinas remotas y sucursales

(Robos) representa una parte significativa de la información de almacén de una

empresa, sin embargo, a menudo ni se protege con ineficientes procesos de copia de

seguridad o no está protegido en todo - dejando a las empresas en situación de riesgo

en muchos frentes .

En un informe de investigación reciente, los proyectos prioritarios de alto Robos incluye

mejorar las medidas de seguridad de la información, asegurar el cumplimiento con el

70

gobierno, la industria o el gobierno mandatos corporativos, y la mejora de Recuperación

por Desastre de Continuidad de Negocio procesos.

4. DRP y Planes de seguridad clave para el cumplimiento

Preparándose para un desastre requiere una planificación detallada de preparación y

pruebas. Saber lo que los activos de TI necesitan ser recuperado, cuando para

recuperarlos y la forma de recuperar es la esencia de TI de recuperación de desastres .

El reto más difícil es el mapeo de los requerimientos del negocio prioridad a los activos

de TI para que la recuperación puede ser un montaje. La estrategia de recuperación a

continuación, se desarrolla sobre la base de las opciones disponibles que apoyen los

objetivos de recuperación necesario. La recuperación de desastres planes resultantes

contienen toda la información que detalla a dónde ir, quién va a hacer qué y la

información necesaria para la reconstrucción de servidores, aplicaciones y restaurar los

datos así como reiniciar y procedimientos de sincronización.

5. ¿Por qué es la continuidad de desastres y planificación de negocios

importante?

Federales, estatales y gobiernos locales son fletados para mitigar y controlar

el evento, proporcionar y medidas de seguridad la vida, a continuación, restaurar

las infraestructuras. La Cruz Roja ofrece ayuda de emergencia en forma de

alimentos, la salud y la vivienda. Si está asegurado, una compañía de seguros se

asentarán las reclamaciones por daños y proporcionar ayuda monetaria. Sin

embargo, ninguna de estas organizaciones, o puede, recuperar su negocio. La

recuperación de su empresa es estrictamente de usted, y comienza con una

sólida continuidad del negocio / plan de recuperación de desastres .

Si su experiencia de la empresa de un desastre, las primeras 72 horas

después del incidente será el más crítico en la recuperación de sus esfuerzos.

¿Cómo responde usted durante ese período se determinará si su negocio va a

sobrevivir o no. Además, la hora más importante es el que inmediatamente

71

después del evento. Si alguna vez es necesario, su plan de continuidad de

negocio le permitirá responder de una manera sistemática y organizada. Guiará

a su organización, paso a paso, de responder al evento real todo el camino hasta

la ocupación total de sus instalaciones reparadas.

FICHA DE REGISTRO DOCUMENTAL

Código: sep10

Fuente No. 7 Elaboró: JRNN

Tipo de fuente: Documento web

Titulo: GESTION DE CONTINUIDAD DEL NEGOCIO

Autor: Ignacio Galicia (Ingeniería Clientes de Nextel S.A. – Bilbao)

Ubicación:

www.navactiva.com

Descripción:

Dando un paso más, no deberíamos conformarnos únicamente con

un Plan de Continuidad de Negocio estático, que pueda quedar

obsoleto con los cambios que pueda sufrir la organización, debemos

pensar en un sistema que nos permita gestionar este plan; un

Sistema de Gestión de la Continuidad de Negocio (BCMS:

Bussines Continuity Management System).

72

Tabla de contenido:

1. Garantizar planes estratégicos.

2. Beneficios Reales

Palabras clave:

Referencias:

http://www.navactiva.com/es/documentacion/la-gestion-de-la-continuidad-de-

negocio_50729

RESUMEN

1. Garantizar planes estratégicos

Un BCMS es una de las principales herramientas de la dirección de las

organizaciones para poder valorar a largo y medio plazo los principales riesgos a

los que se van a enfrentar de cara a su supervivencia última; una adecuada

Gestión de la Continuidad de Negocio nos posibilitaría el poder garantizar la

efectividad de los planes estratégicos a largo plazo.

Un BCMS se compone de un núcleo estratégico operativo, conformado por un

conjunto de módulos que permiten afianzar la planificación estratégica de la

73

organización sobre una sólida base. Este núcleo es capaz de garantizar la

continuidad del negocio y, por lo tanto, la viabilidad de las inversiones y planes

estratégicos desarrollados sobre dicha premisa de continuidad. El desarrollo del

núcleo estratégico operativo que constituye el BCMS es algo de enorme

complejidad por lo que es habitual el encontrarse con dificultades a la hora de

desplegar una estrategia de continuidad de negocio realista, práctico y

abordable. Es fundamental que el BCMS sea operativo y que refleje las

necesidades y las expectativas reales de la organización. Por ello, a la hora de

abordar este tipo de proyectos es importante apoyarse en estándares, modelos

maduros reconocidos internacionalmente. Además, en organizaciones ya

acostumbradas a normas de calidad como la ISO 14000 sobre gestión ambiental,

o la ISO/TS 16949:2009, que marca requisitos particulares de la ISO 9001:2008

para proveedores del sector automotriz, el hecho de adoptar metodologías

basadas en estándares de calidad hace que la tarea sea menos ardua.

Ya existe una norma de reconocido prestigio de la entidad de estandarización

británica British Standard Institute (BSI) enfocada a la gestión de la continuidad

de negocio; la BS25999.

2. Beneficios reales

Una vez decididos a implantar y certificar un BCMS según la norma BS25999,

¿qué beneficios reales obtengo a partir de ello? La recuperación del esfuerzo

e inversión que supone el implantar un sistema de este tipo nos aporta una serie

de beneficios a corto medio plazo: apoyamos la consecución de nuestro Plan de

Negocio, aumentamos la credibilidad de nuestra organización tanto de cara a

nuestros clientes como de cara a nuestros proveedores, optimizamos la gestión

de riesgos, garantizamos la conformidad con requerimientos regulatorios y

reducimos los costes ante fallos e incidentes garantizando la proporcionalidad de

las acciones previstas e incluyendo la posibilidad de conseguir primas de

74

seguros más bajas.

Resumiendo, hemos de intentar ver las crisis como oportunidades de

crecimiento, aunque para ello debemos estar preparados para asumirlas. Un

Plan de Continuidad de Negocio es algo en lo que toda organización debería

invertir ya que un buen PCN puede ser la diferencia entre un bache o un abismo.

Y una vez que tenemos un PCN debemos considerar el que éste sea gestionado,

mantenido y mejorado, en definitiva: BCMS. Necesario para la organización No

pensemos en si un BCMS es necesario para nuestra organización. La respuesta

es sí, pensemos en la extensión o el alcance que deberíamos dar al mismo,

llegando a un entente entre coste y riesgo que estemos dispuestos a asumir.

FICHA DE REGISTRO DOCUMENTAL

Código: oct09

Fuente No. 10 Elaboró: JRNN

Tipo de fuente: Documento PDF

Titulo: AUDITAR BCP, DRP

Autor:

SISTESEG CORPORATION

Ubicación:

Descripción:

Proveer información sobre los principales aspectos en que debería concentrarse un

auditor en la revisión de un DRP

75

Generalizar los conceptos presentados para la evaluación de Planes de Continuidad.

Tabla de contenido:

11. Que auditar

12. Como Auditar

13. Por que Auditar

Palabras clave:

Referencias:

RESUMEN

1. Que auditar Lo que profesionalmente debe realizarse

Lo establecido en buenas prácticas (DRI, ISO, NIST) y Lo definido por la

Organización (TI, Seguridad Física, Alta Gerencia).

Visión de COBIT

Planeación y Organización

Definir un plan estratégico de TI

Definir la arquitectura de información

Determinar la dirección tecnológica

Definir la organización y relaciones de TI

Manejo de la inversión en TI

76

Comunicación de directrices Gerenciales

Administración del Recurso Humano

Asegurar el cumplir requerimientos externos

Evaluación de Riesgos

Administración de Proyectos

Administración de Calidad

Adquisición e implementación

Identificación de soluciones

Adquisición y mantenimiento de SW aplicativo

Adquisición y mantenimiento de arquitectura TI

Desarrollo y mantenimiento de Procedimientos de TI

Instalación y Acreditación de sistemas

Administración de Cambios

Servicios y Soporte

Definición del nivel de servicio

Administración del servicio de terceros

Administración de la capacidad y el desempeño

Asegurar el servicio continuo

Garantizar la seguridad del sistema

Identificación y asignación de costos

Capacitación de usuarios

Soporte a los clientes de TI

Administración de la configuración

Administración de problemas e incidentes

Administración de datos

Administración de Instalaciones

Administración de Operaciones

Seguimiento

Seguimiento de los procesos

Evaluar lo adecuado del control Interno

Obtener aseguramiento independiente

Proveer una auditoría independiente

COBIT

77

DS4- Asegurar el servicio continúo

Framework de Continuidad de TI

La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio,

debe establecer un framework de continuidad.

Modelos de Seguridad de la Información

ISO-17799 – Componentes de un framework de seguridad

Modelos de Seguridad de la Información

NIST – SP800- 34 – BCP

78

Modelos de Seguridad de la Información

DRI – BCP

79

COBIT DS4- Asegurar el servicio continuo

Framework de Continuidad de TI

La Gerencia de TI, en cooperación con los propietarios de los procesos de

negocio, debe:

Establecer un framework de continuidad el cual define:

- Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso: Personal interno y externo (usuarios y proveedores de

servicios)

- Enfoque metodológico consistente basado en riesgos utilizar Recursos críticos - Riesgos – Amenazas – Vulnerabilidades -

Contramedidas (eficacia vs. Niveles requeridos) –

Dependencias claves

- Reglas, estructuras y procedimientos para documentar, aprobar, probar y ejecutar el Plan de Continuidad

COBIT

80

DS4- Asegurar el servicio continúo

Estrategia y filosofía del Plan de Continuidad de TI

La Gerencia deberá:

Asegurar que el Plan de Continuidad de TI esté en línea con el Plan de

continuidad general para asegurar consistencia.

Además, el Plan de Continuidad de TI debe considerar los planes a largo y a

corto plazo para asegurar consistencia.

Contenido del Plan de Continuidad de TI - Guías sobre como utilizar el Plan de Continuidad - Procedimientos de emergencia para asegurar la seguridad física de

todos los miembros del staff afectados - Procedimientos de respuesta definidos para permitirle al negocio

retornar al estado en que se encontraba antes del incidente o desastre - Procedimientos de recuperación - Procedimientos para salvaguardar y reconstruir las instalación e de

procesamiento normales - Procedimientos de coordinación con las autoridades públicas - Procedimientos de comunicación con los interesados, empleados,

clientes clave, proveedores críticos, accionistas y gerencia - Información crítica sobre equipos de continuidad, personal afectado,

clientes, proveedores, autoridades públicas y medios de comunicación

2. Como Auditar El proceso de Auditoria

81

Planeación

82

Tipo de Auditoria

Verificación de cumplimiento

Comparación contra buena práctica o Certificación o Cumplimiento de Objetivos de Control o CMM (Capability Maturity Model)

Basada en Riesgos

Auditoría Puntual vs. Auditoría Continua

3. Por que Auditar

Revisar para determinar lo adecuado de los Planes

Qué tan bueno es?

Qué tan actualizado está? Descubrir deficiencias serias sobre una base oportuna antes de que la organización

deba implementarlas en una situación catastrófica real – DISMINUIR SORPRESAS

Perspectiva independiente y fresca

Mayor aseguramiento a la gerencia

Motivación para una mayor calidad durante la elaboración del Plan

Facilitar la justificación de provisiones

83