You are on page 1of 16

Preparatoria Ensayo

Nombre: Ruben Orlando Rodriguez Bauelos Matrcula: 2683319 Nombre del curso: Nombre del profesor:
Recuperacin de desastres evaluacin del proceso del negocio y administracin

Ing. Lauro Rubn Rodrguez Bravo

Mdulo: 1 Fecha: 21/03/2013 Bibliografa:

Actividad:
Actividad integradora 1

Equipo: NA

Actividad integradora 1 Instrucciones: Lee el siguiente caso y da respuesta a las preguntas que se mencionan al final. En esta actividad, pondremos en prctica parte de la realidad vivida en nuestro pas recientemente y la empataremos con los conceptos estudiados en los temas de este mdulo. Despus de las inundaciones provocadas por el huracn Alex, muchas personas, empresas e infraestructura, fueron y siguen estando afectadas. Tomando esto como caso vivencial, un desastre declarado y muy publicado (ya sea porque radiques en Nuevo Len o porque lo hayas visto por medio de la televisin) al igual que otros estados, se han llevado a cabo planes de recuperacin y contingencia. Lo que nos ocupa el da de hoy es empatarlo con el tema del mdulo. De acuerdo a lo ledo en el captulo correspondiente al libro de texto y en los materiales del curso, analiza el impacto que puede traer al negocio de venta de computadoras, impresoras, perifricos y equipos consumibles de sistemas, la prdida total despus del paso del huracn Alex. Se considera que el negocio estaba localizado en la Avenida Constitucin (que fue la ms afectada) y que por ello ha sufrido prdidas en todos los sentidos. 1. Realiza un plan de continuidad de negocio. Debers hacer lo necesario para que pueda realizarse hasta el paso de Diseo y desarrollo del plan del BCP. Un plan de continuidad de negocio (BCP) consta de: o Inicio y administracin del proyecto.

2. 3.

Monitoreo y mantenimiento. Da un ejemplo para Entrenamiento. Qu haras para Implementacin y Pruebas?

o o o o o o

BIA, Anlisis de impacto al negocio. Estrategias de recuperacin. Diseo y desarrollo del plan. Entrenamiento. Implementacin y pruebas.

Enva la actividad a tu tutor, en formato de ensayo.

1.

Realiza un plan de continuidad de negocio. Debers hacer lo necesario para que pueda realizarse hasta el paso de Diseo y desarrollo del plan del BCP. Un plan de continuidad de negocio (BCP) consta de: o Inicio y administracin del proyecto.

o o o o o o

BIA, Anlisis de impacto al negocio. Estrategias de recuperacin. Diseo y desarrollo del plan. Entrenamiento. Implementacin y pruebas. Monitoreo y mantenimiento.

Preparatoria Ensayo
4. Da un ejemplo para Entrenamiento.

5.

Qu haras para Implementacin y Pruebas?

Ttulo:
Actividad integradora 1

Introduccin:

Desarrollo: Conclusin:

Explicacin del tema 1


Recuperacin de desastres, evaluacin del proceso del negocio y administracin de riesgos Tema 1. Los desastres y sus consecuencias en las operaciones del negocio
1.1 Desastres y otras interrupciones Qu es un desastre? Definiremos un desastre como todo aquel incidente que provoque una interrupcin en las operaciones del negocio. Estas interrupciones pueden variar en su duracin desde minutos hasta das, y adicionalmente impactarn negativamente las operaciones del negocio. La magnitud de los desastres no slo debe medirse en trminos financieros. Tambin se debern considerar en trminos de prdidas de:

La confianza de los consumidores. Participacin de mercados. Ventas directas. Vidas humanas. De productividad.

Entre otras.

Los desastres pueden ser ocasionados por la naturaleza, fallas en servicios y por el hombre.

Preparatoria Ensayo

Impactos de desastres en la empresa

Los daos ocasionados a la empresa como consecuencia de estos desastres, pueden ser tan devastadores que incluso lleguen a ocasionar el cierre del negocio.

La prdida de confianza y el dao a la imagen de la empresa debern ser tratadas por el departamento de Relaciones Pblicas de la misma, de tal forma que se minimicen los daos y aseguren que la crisis no sea peor.

Las empresas debern contar con prcticas enfocadas a minimizar los daos ocasionados por una interrupcin ocasionada por algn desastre. Para esto debern tener establecidas polticas y procedimientos para enfrentarlos. Reaccionar ante estas crisis no es una labor sencilla.

Se deber nombrar un vocero oficial quin ser el nico autorizado para emitir declaraciones ante la opinin pblica. Su labor ser la de informar el estado de avance de las investigaciones y reportar los resultados una vez que se cuente con ellos. Adems ser quien presente las acciones correctivas pertinentes. 1.2 Planeacin de Continuidad de Negocios (BCP Business Continuity Plan) Se deber contar con un Plan de Recuperacin de Desastres (BCP) para restaurar las operaciones del negocio de una manera eficiente. El plan de continuidad de los sistemas de informacin es un componente crtico pues la mayora de los negocios dependen de la disponibilidad de los sistemas. De acuerdo a Leo Wrobel (1993) un Plan de Recuperacin de Desastres es un concepto que le asegura a la organizacin la habilidad de continuar con las operaciones del da a da a pesar de la interrupcin ocasionada por un desastre, mediante la implementacin inmediata de un procedimiento documentado, pre planeado y bien ensayado por los responsables del sistema. Los principales objetivos de un plan de recuperacin de desastres deben contemplar:

Proteger vidas humanas. Minimizar las prdidas. Maximizar la capacidad de recuperacin. Mantener la posicin competitiva de la empresa.

Mantener la confianza de los clientes.

Preparatoria Ensayo

El BCP deber estar diseado de tal forma que apoye el logro de los objetivos del negocio. Para lograr esto el primer paso ser definir la criticidad de los diferentes sistemas de informacin. Se deber validar la importancia de cada aplicacin en el logro de objetivos para de ah establecer el plan. En este plan se debern incluir tanto el hardwarecomo el software necesarios. El BCP deber establecer qu es lo que se debe hacer en caso de un desastre contestando a las siguientes preguntas:

Cmo se restablecen los sistemas de cmputo? Cul es el proceso de recuperacin de informacin? Dnde se encuentran los equipos de respaldo y cules son sus capacidades? Qu proveedores debern involucrarse en el proceso?

Los planes de recuperacin de desastres son costosos, por tal motivo ser de suma importancia establecer cules son los procesos crticos, el tiempo requerido de recuperacin de los mismos y su costo. Para esto se deber contar con un anlisis costo-beneficio. Etapas de un Plan de Continuidad de Negocio

1.3 Polticas de Continuidad de Negocios

Las polticas de continuidad del negocio deben ser proactivas e incluir controles preventivos, correctivos y de deteccin. Dentro de estas polticas, el BCP es el control correctivo de mayor importancia.

Las polticas de continuidad de negocio, debern estar alineadas con los objetivos de la empresa. As mismo, estas polticas debern basarse en lo que se denomina lasmejores prcticas. Existen diferentes organizaciones internacionales como ISACA, IEEE e ISO que en sus estndares describen cules son las mejores prcticas. Esto es el resultado de la aplicacin de diferentes metodologas de trabajo en diversas empresas en el mundo. A partir de los resultados obtenidos, establecen la mejor forma de trabajo. y esto es lo que se aplica como una poltica que utiliza las mejores prcticas. Es importante reconocer que no todas las polticas son aplicables a nuestra empresa. Se deber realizar un anlisis y seleccionar solo aquellas polticas acordes a nuestros objetivos. Esas polticas sern las que guen las acciones de nuestro BCP. Debes recordar que, para tener xito, las polticas de BCP, al igual que cualquier otra poltica de la empresa, deben ser promulgada, apoyada y difundida por la alta direccin.

Preparatoria Ensayo

Para minimizar los efectos de un desastre, se deber contar con respaldos de informacin, personal entrenado en la administracin de crisis y un BCP bien diseado, documentado, probado, financiado y auditado. Ejemplo Un buen ejemplo de lo que debe ser un BCP lo puedes encontrar en el Plan de Continuidad del Negocio del MIT (Massachusetts Institute of Technology).ingresa a su pgina http://web.mit.edu y en buscar escribe MIT Business Continuity Plan ,selecciona la liga Massachusetts Institute of Technology Public version Business al archivo en formato pdf.

Explicacin del tema 2


Recuperacin de desastres, evaluacin del proceso del negocio y administracin de riesgos Tema 2. Anlisis de impactos al negocio y estrategias de recuperacin
2.1 Administracin de Incidentes

Los incidentes y las crisis a las que se enfrenta una empresa son dinmicos. Esto quiere decir que evolucionan a travs del tiempo y tienen las caractersticas de ser rpidos e imprevisibles. Como lo viste en el tema anterior, debemos ser proactivos para enfrentar los incidentes, y para lograrlo debemos asegurar que nuestra administracin de incidentes sea dinmica y bien documentada para ser exitosa.

Clasificacin de Incidentes

Clasificacin de Incidentes Sin importancia Eventos Menores Incidentes Mayores Causan un impacto material negativo sobre los procesos del negocio e incluso pueden afectar otros sistemas de la empresa y/o de los clientes. Crisis

No causan daos Poco significativos y no perceptibles o significativos. producen un impacto financiero o material relevante. Por ejemplo, cadas breves del Sistema Operativo sin prdida de informacin o Por ejemplo, la falla de interrupciones breves en la algunos de los puntos de energa elctrica con venta (cajas) de un respaldos de UPS. supermercado.

Pueden causar un impacto material severo que afecte la continuidad del negocio con efectos sobre otros sistemas propios y de clientes. La severidad de estos incidentes es directamente proporcional Por ejemplo, la suspensin al tiempo transcurrido de actividades bancarias desde su inicio hasta su como resultado de una falla resolucin. en su base de datos. Por ejemplo, la falla el servidor Web de una empresa dedicada a la venta de productos solamente va Internet.

Todos los incidentes sin importar su clasificacin deben ser documentados. Esta documentacin debe incluir los detalles de cada incidente, su clasificacin y su seguimiento. Este es un proceso dinmico que nos permitir monitorear cada problema desde su generacin hasta su resolucin. No podemos perder de vista el hecho que incluso algunos incidentes podrn variar de una clasificacin a otra durante el tiempo de duracin. Adicionalmente, la documentacin nos servir como historial y herramienta de anlisis.

El anlisis de incidentes se convertir en una herramienta de planeacin. ste nos permitir desarrollar planes de contingencia ms acertados e incluso prevenir algunos. Por ejemplo, podemos encontrar que la causa real de un incidente radica en el espacio disponible del disco duro. (Recordemos que cuando se ejecutan aplicaciones se generan archivos temporales para su operacin y si no hay espacio disponible fallarn). De tal forma que al incrementar nuestra capacidad de almacenamiento podamos evitarlos.

Preparatoria Ensayo

Para lograr una administracin eficiente de los incidentes, se deber nombrar un responsable de seguridad a quin se le deben reportar todo tipo de problema. l llevar el registro de los incidentes y ser quien se encargue de iniciar las acciones correctivas pertinentes. Estas acciones correctivas debern estar documentadas de tal forma que se siga el protocolo de solucin de problemas indicado.

Para clasificar un incidente se deber tomar en cuenta:

El impacto sobre los datos. El impacto material. Impacto sobre otras aplicaciones. Impacto con los clientes. Tiempo de improductividad.

Anlisis de impacto al negocio El objetivo de esta etapa es identificar los diversos riesgos que pueden tener un impacto en la empresa ya sea financiero, humano, legal y de reputacin, as como en la continuidad de diferentes procesos. Para realizar un anlisis de impactos exitosos, ser necesario que el responsable de su elaboracin tenga un entendimiento claro de la organizacin, de los procesos claves del negocio y de las aplicaciones de SI (Sistemas de Informacin) que los soportan. Adems, para poder establecer el grado de criticidad ser necesario que la alta direccin de la empresa se involucre en el proceso al igual que los usuarios finales y el departamento de TI. (Tecnologa Informtica) Existen diferentes mtodos para recopilar informacin al realizar un anlisis de impacto, a continuacin se presentan los 3 ms comunes. Mtodos para realizar un anlisis de impactos Cuestionario - Es el mtodo ms popular. - Se desarrolla un cuestionario y se solicita a los usuarios claves que lo llenen. - La informacin recopilada se tabula y analiza. Entrevistas - Se procede a entrevistar a los usuarios claves. - Los resultados de estas entrevistas se tabulan y analizan. Reuniones - Se rene el personal y se busca llegar a un acuerdo en cuanto al impacto al negocio de las diferentes interrupciones.

Independientemente del mtodo a utilizar, se deber contestar a las siguientes preguntas: 1. 2. 3. Cules son los diferentes procesos del negocio? Cules son los recursos de informacin crtica relacionados con los procesos crticos negocio de la empresa? Cul es el perodo crtico de tiempo de recuperacin para los recursos de informacin, antes de que se experimenten prdidas significativas?

En cualquier estrategia de recuperacin de desastres, se debe tomar en cuenta que existe una relacin inversa entre el tiempo y el costo de recuperacin. A mayor tiempo tolerable de recuperacin, un costo menor y a menor tiempo tolerable de recuperacin, un costo mayor.

Una vez identificada la informacin anterior podemos proceder a clasificar los sistemas. Clasificacin de los sistemas Clasificacin Crtico Descripcin Estas funciones slo pueden ser reemplazadas por capacidades idnticas. No pueden ser reemplazadas por mtodos manuales. Tienen una tolerancia a interrupciones muy baja. El costo de Ejemplo El sistema de toma de pedidos de una empresa como Amazon.com.

Preparatoria Ensayo
interrupcin es muy alto. Son funciones que pueden ser realizadas manualmente pero El sistema contable de solamente durante un perodo corto de tiempo. Mayor tolerancia a una empresa interrupciones que en los sistemas crticos. Los costos de manufacturera. interrupcin son ms bajos siempre y cuando se restablezcan las operaciones en un perodo no mayor a 5 das. Las funciones de estos sistemas pueden ser realizadas manualmente a un costo razonable y durante un perodo prolongado de tiempo. Sin embargo, se requiere de personal adicional para poder llevarlos a cabo. Sistemas con funciones que pueden ser interrumpidas por un perodo largo de tiempo y a un costo insignificante para la empresa. Adems requieren de poco esfuerzo para recuperar la informacin cuando el servicio se restablezca. El sistema de nmina de una empresa pequea.

Vital

Sensitivo

No sensitivo

El sistema de registro de visitantes de una empresa.

2.2 Estrategias de recuperacin Una vez realizados los anlisis de impactos sobre el negocio y el anlisis de criticidad, se podr proceder a definir las estrategias de recuperacin. Sin embargo, para poder establecerlas antes, ser necesario definir el Objetivo de Punto de Recuperacin (RPO, Recovery Point Objetive) y el Objetivo de Tiempo de Recuperacin (RTO, Recovery Time Objetive).

Imagen obtenida de: http://www.ccisa.com.mx. Slo para fines educativos.

El RPO determina la cantidad permitida de prdida de informacin en caso de una interrupcin, bsicamente, para establecer cada cuanto tiempo se deben realizar los respaldos de informacin. Por su parte, el RTO establece la cantidad de tiempo improductivo aceptable, con la finalidad de conocer cunto tiempo tengo para reanudar el servicio. A menor RTO y RPO, ms costo. Una estrategia de recuperacin de desastres debe combinar medidas preventivas, de deteccin y correccin buscando cuando sea posible eliminar las amenazas completamente y minimizar la probabilidad de que ocurran y sus efectos. Se debern desarrollar diferentes estrategias y presentarlas a la alta direccin para seleccionar las ms indicadas. La seleccin de la estrategia depender de:

La criticidad del proceso. El costo de recuperacin. El RPO y RTO. Nivel de seguridad.

Preparatoria Ensayo

2.3 Alternativas de recuperacin Para aquellos eventos en los que las instalaciones fsicas se ven afectadas y en cuyo caso el recuperar las operaciones del negocio seran prolongadas, se requieren alternativas de solucin distintas a la ubicacin primaria. Para estos casos existen soluciones alternativas como las que se muestran a continuacin:

Hot site: Es una instalacin que cuenta con hardware, software y equipos de comunicacin compatibles con los originales. Se configura y est listo para operar en un plazo de varias horas. Su costo es elevado pero no tanto como el de instalaciones duplicadas. Warm site: Es una instalacin parcialmente configurada. Cuenta con conexiones y equipos de red, unidades de disco, unidades de cinta y controladores. No cuenta con la computadora principal, razn por la cual su costo es inferior al del hot site. El sitio estar listo para reanudar operaciones en unas horas, sin embargo el tiempo total de recuperacin depender principalmente de la adquisicin de la computadora principal lo cual puede llevar varios das o semanas.

Cold site: Este site solo se encuentra listo para recibir equipos. Cuenta con instalaciones elctricas, cableado, aire acondicionado, pisos y suelo falso. La activacin de este puede llevar varias semanas. El tiempo que se requiera para conseguir e instalar los equipos. Por lo anterior es ms econmico que un warm site. Instalaciones duplicadas: Son tambin llamadas instalaciones redundantes pues son una rplica de nuestro sitio primario. Cuentan con hardware, software, equipos de comunicaciones e infraestructura igual al sitio que estn respaldando. Estn configuradas y cuentan con la informacin lista para reanudar las operaciones en cuestin de minutos. Por lo anterior representa la alternativa ms cara de las mencionadas. Sitio mviles: Consiste bsicamente de un remolque con servidores, computadoras de escritorio, equipos de comunicacin, incluso equipos de microondas y satlite. Son utilizados en situaciones de desastres expandidos. Acuerdos con otras empresas: Es un mtodo utilizado con poca frecuencia y consiste bsicamente en un acuerdo entre empresas con equipos similares en donde se comprometen mutuamente a brindar tiempo de computadora a su contraparte en caso de emergencia. En muchas ocasiones estos acuerdos son organizados por los proveedores de equipo cuando las computadoras utilizadas son escasas o muy costosas.

Explicacin del tema 3


Recuperacin de desastres, evaluacin del proceso del negocio y administracin de riesgos Tema 3. Diseo de planes de continuidad del negocio y recuperacin de desastres
3.1 Recursos requeridos Los recursos requeridos en la elaboracin de un plan de continuidad de negocio incluyen el equipo computacional (el cual ya tratamos en el tema anterior), el recurso humano y los datos. En este punto trataremos la parte del recurso humano, y definiremos el personal que deber estar involucrado y sus responsabilidades. Al final de este mdulo, trataremos la parte de datos. Bsicamente, hablaremos de los diferentes mtodos de respaldo de informacin. Asignacin de responsabilidades y formacin de equipos Antes de plantear y describir las funciones de los equipos involucrados en el proceso de recuperacin de desastres, veamos la siguiente tabla en donde se muestran las responsabilidades de departamentos y personas en un Plan de Continuidad de Negocio. Departamento Responsabilidad

Alta administracin

Iniciar el proyecto. Responsables finales.

Aprobacin y apoyo del proyecto. Identificacin y jerarquizacin de procesos crticos. Planeacin de BCP. Administracin operaciones del plan.

Administracin Media

Comit BCP

Implementacin y pruebas al BCP.

Preparatoria Ensayo
Implementacin y pruebas BCP.

Unidades funcionales del negocio

Comunicacin del plan. Revisin de BCP. Evaluacin de pruebas del plan. Revisin de:

Departamento de Auditoria de IT

o o o

Instalaciones externas. Contratos de procesamiento externo.

Coberturas de seguros.

Equipos de Recuperacin de desastres Los siguientes representan los equipos de recuperacin de desastres que se pueden formar: Equipo de respuesta a incidentes: Es el equipo responsable de recibir todos los reportes de incidentes para decidir cul es la accin correspondiente. Equipo de accin de emergencias: Representa el primer equipo de respuesta ante un desastre. Su funcin principal es la de evacuar las instalaciones y tomar las acciones necesarias para salvaguardar la vida del personal. Equipo de evaluacin de daos: Sus funciones principales son las de evaluar los daos, sus causas y estimar el tiempo en que se pueden recuperar las operaciones del negocio. Equipo de administracin de emergencias: Este equipo est formado por ejecutivos y administradores. Sern los responsables de expresar comentarios ante la prensa y el manejo de las relaciones pblicas. Es adems el equipo responsable de coordinar a todos los dems equipos y responsable de la toma de decisiones claves. Es tambin el responsable de manejar las finanzas. Equipo de salvamento: Responsables de la reconstruccin de las instalaciones daadas. Entre sus actividades se incluyen limpiar las instalaciones, analizar activos destruidos y recuperarlos, llenar las formas de seguros y realizar los trmites legales correspondientes y restaurar los documentos digitales y en papel. Equipo de comunicaciones: Su responsabilidad principal es la de instalar equipos de comunicaciones (radios, telfonos, fax, etctera) en las instalaciones de recuperacin alternas. Equipo de seguridad: Responsables de la administracin de seguridad durante la crisis. Debern coadyuvar a mantener el orden. Equipo de operaciones de emergencias: Formado por operadores y supervisores familiarizados con las operaciones del negocio. Se ubican en el sitio alterno y operan los sistemas. Equipo de transporte: Responsables de proporcionar el transporte del personal a las instalaciones de recuperacin. Equipo de coordinacin: En caso de existir varias localidades alternas, sern quienes administren el funcionamiento y comunicaciones entre ellas. Equipo de soporte administrativo : Realizarn las operaciones de soporte necesarias para la administracin del negocio como por ejemplo el pago de nminas y registros contables. Equipo de abastecimientos: Responsable de las compras de insumos necesarios. Equipo de relocalizacin: Sern los responsables al trmino de la crisis de coordinar el regreso a las instalaciones. Equipo de Pruebas de recuperacin: Responsables de probar el BCP/DRP y determinar su efectividad. 3.2 Componentes del Plan Dependiendo del tamao y los requerimientos de la organizacin, se podrn desarrollar diferentes planes que formen parte del BCP. Entre ellos estn:

Preparatoria Ensayo

Plan de continuidad de operaciones. Plan de recuperacin de desastres. Plan de reanudacin del negocio. Plan de soporte de continuidad. Plan de comunicaciones de crisis. Plan de respuesta a incidentes. Plan de transporte.

Plan de emergencia de ocupantes.

Estos planes tambin deben estar protegidos. Se recomienda que se tengan copias de los planes almacenadas en los sitios alternos y en las casas de los responsables de los diferentes equipos de recuperacin.

Otro componente consiste en la elaboracin de una lista de los involucrados en los planes de recuperacin de desastres con la informacin de dnde se pueden localizar, e incluir un directorio telefnico. Este directorio se distribuir entre los miembros de los equipos de recuperacin para su fcil localizacin.

El plan de recuperacin de desastres, adicionalmente a los procesos de recuperacin de hardware y software computacional, debe considerar los equipos de telecomunicaciones. En las empresas actuales los equipos de comunicaciones tienen tanta importancia como los equipos de cmputo. La responsabilidad de las comunicaciones recae en las empresas y no en los proveedores de servicios de telecomunicaciones. Por lo tanto, la empresa deber crear su propio plan para recuperar las comunicaciones en caso de fallas.

Algunos mtodos para proteccin de las redes son:

Redundancia. Utilizando capacidad extra. Mediante cableado adicional y equipo duplicado de ruteadores y switches adicionales que seran utilizados en caso de falla.

Direccionamiento alternativo. Contar con medios de comunicacin alternativos en casos de fallas. Por ejemplo, si la informacin se transmite va inalmbrica, es importante contar con un cableado a utilizar en caso de fallas.

Direccionamiento diverso. Instalacin duplicada de cables para mantener una va de comunicacin. Por ejemplo, la instalacin duplicada de cables. Puede ser por el mismo conducto.

Diversidad de red de largo alcance. Esta facilidad la proveen las compaas de comunicacin de larga distancia. Consiste en un acuerdo entre los diversos proveedores del servicio para que, en caso de fallas, la seal se pueda conmutar entre los diferentes medios de los proveedores.

Proteccin de circuito de ltima milla. Consiste en una combinacin de lneas T1, microondas y cableado redundante entre proveedores de servicios locales de comunicacin. Similar al de red de largo alcance pero con proveedores locales.

Recuperacin de voz. Cableado redundante para los servicios de comunicaciones de voz. Puede incluirse el uso de VoIP (Voice over IP) para comunicacin de voz por Internet.

Tolerancia de fallas: Este componente se enfoca a la parte de hardware. Existen dos orientaciones bsicas en este aspecto. Una de ellas a nivel servidor y la otra a nivel discos. A nivel servidor se utilizan clsteres de computadoras para en caso de que una falle no se pierda la capacidad total de computo. A nivel discos, la tolerancia a fallas se refuerza mediante lo que se llama Arreglo Redundante de Discos Independientes (RAID por sus siglas en ingls).

Preparatoria Ensayo

Existen muchos niveles de RAID sin embargo los ms usados se presentan en el diagrama siguiente:

Imagen obtenida de: :http://www.vicosoft.org/blog/raid/ Slo para fines educativos.

Otro componente del BCP son los seguros. El contar con seguros para los equipos de cmputo debe establecerse desde las polticas de la empresa. Las coberturas de los mismos pueden ser muy variables dependiendo del anlisis de riesgo y criticidad. 3.3 Pruebas del plan de continuidad y recuperacin La nica forma de saber si el plan funciona es llevarlo a cabo. No podemos asegurar el buen funcionamiento de un plan hasta que lo hemos probado. Lo ms seguro es que durante las pruebas nos demos cuenta que existen ajustes que debemos realizar. Esta es la forma en que mejoraremos el buen funcionamiento de nuestro plan. Los mtodos de pruebas son muy variados y van desde muy simples hasta extremadamente complejos. Sin importar el mtodo que se use, el objetivo es aprender de la prctica y mejorar el proceso en cada ocasin que se encuentre un problema.

Preparatoria Ensayo

Pruebas de papel: Es el equivalente a una prueba de escritorio. Esto significa que se renen los responsables de ejecutar el plan y lo revisan para detectar reas de oportunidad y analizar que pasara en caso de un incidente verdadero. Prueba de preparacin: Se realiza un simulacro de una suspensin de algunos de los procesos y sistemas del negocio para evaluar el plan. Es una prueba en etapas. Prueba operativa total: Se realiza una suspensin total del servicio de sistemas para ejecutar el plan completo de continuidad de negocio. Mantenimiento del Plan Lo nico constante es el cambio, y por esa razn los BCP deben ser dinmicos . Los planes deben ser actualizados para ajustarse a los cambios en la organizacin. El mejor plan de BCP puede desactualizarse en 6 meses o menos. Se debern asignar responsables para llevar a cabo la actualizacin de los planes de acuerdo a los cambios en el entorno. Una herramienta de software para administrar planes de continuidad puede ser muy til para dar seguimiento a las tareas de mantenimiento. Finalmente se debern establecer controles que garanticen el correcto funcionamiento del plan. 3.4 Respaldos y recuperacin de informacin Los respaldos de informacin consisten en guardar una copia de la informacin en dispositivos secundarios de almacenamiento como cintas o discos duros removibles. Se debern respaldar datos y programas. Se recomienda que estos respaldos se almacenen en una instalacin remota pues en caso de un desastre, por ejemplo, un incendio corremos el riesgo que los respaldos sean daados. Esta instalacin remota debe ser tan segura como la instalacin principal. Se debern realizar respaldos peridicos de la informacin. La periodicidad de los mismos vara de acuerdo a la aplicacin. Por ejemplo, en un sistema de contabilidad en donde los archivos se actualizan mensualmente se deber realizar un respaldo al terminar de procesarlos. Por el contrario, en un sistema en lnea en donde se registran un gran volumen de informacin se deber respaldar al menos cada noche. Existen varios mtodos de rotacin de respaldos, el ms comn es el denominado Abuelo-Padre-Hijo en donde se realizan las copias de respaldo (hijos) diariamente durante una semana. La copia al final de la semana se convierte en el padre. Los medios utilizados durante la semana se reutilizan para almacenar la informacin en la siguiente semana. Al final del mes, la copia final de la semana es almacenada y se le denomina abuelo. Existen 3 mtodos bsicos para respaldar informacin. Entre ellos se podrn realizar diferentes combinaciones. Estos 3 mtodos son:

Copia completa: Como su nombre lo indica se realiza una copia de todos los archivos y programas. Copia diferencial: Slo se respaldan los archivos que han sido modificados o creados desde la ltima copia completa.

Preparatoria Ensayo
Copia incremental: Slo respalda los datos creados o modificados desde la ltima copia o respaldo ya sea completo o incremental.

Explicacin del tema 4 Recuperacin de desastres, evaluacin del proceso del negocio y administracin de riesgos Tema 4. Auditora al plan de continuidad del negocio 4.1 Revisin del plan de continuidad La revisin del plan de continuidad es una tarea que debe realizarse de manera continua. El plazo estimado para esta revisin vara de entre 6 a 12 meses. Una de las herramientas utilizada para revisar el plan de continuidad es mediante una auditora. Las tareas de auditor de un plan de continuidad de negocio incluyen:

Entender y evaluar el BCP y su relacin con los objetivos del negocio. Evaluar el BCP para determinar si es adecuado y est actualizado. Comparar el BCP con estndares y regulaciones gubernamentales. Verificar la efectividad del BCP analizando las pruebas realizadas y revisando los resultados reportados. Revisar las condiciones del sitio alterno: instalaciones, contenido, seguridad y condiciones ambientales. Evaluar la capacidad del personal para responder a situaciones de emergencia. Revisar los procedimientos de emergencia y la capacitacin de los empleados. Asegurar que exista y se realice un plan de mantenimiento al BCP. Revisar los contratos y acuerdos que se incluyan en el BCP. Revisar las plizas de seguro. Evaluar manuales y procedimientos de BCP.

A continuacin se presenta una serie de preguntas que servirn como gua al auditor y lo guiarn en el desarrollo de la auditora.

Quin es el responsable de coordinar y administrar el BCP? Quin es el responsable de mantener el BCP actualizado? Existen los equipos responsables de la implementacin del plan? Dnde estn almacenadas las copias de los BCP? Qu sistemas crticos cubre el BCP? Qu equipos y aplicaciones no estn cubiertas en el BCP? Y, por qu? Existen supuestos especiales para el plan? Cules? El BCP especifica puntos de reunin? Los procedimientos documentados son adecuados? Existe una clasificacin de desastres? Y, cmo actuar ante cada una? Incluye planes de recuperacin para telecomunicaciones? Dnde se encuentra ubicado el sitio alterno? En caso de no poder regresar al sitio original existe uno alterno? Existen respaldos adecuados de informacin? Qu mtodo y frecuencia de respaldos tienen? Qu medios se utilizan para respaldar informacin? Dnde se almacenan los respaldos? Cules son los procesos para restaurar los respaldos? Estn documentados los procesos de respaldo y de restauracin de datos? Qu entrenamiento se ha dado a los usuarios y al personal responsable del BCP? Existe una lista de prioridades de los usuarios para su reequipamiento? Existe un cronograma de pruebas?

Preparatoria Ensayo

La lista anterior no es exhaustiva y cada auditor podr formularse las preguntas que considere necesarias para su auditora en particular. A continuacin abordaremos algunos de los temas ms relevantes en el proceso de auditora.

Evaluacin de resultados de pruebas anteriores

Los resultados de las pruebas anteriores deben ser resguardados por el coordinador del BCP. El auditor revisar estos resultados y las acciones que se hayan llevado a cabo para corregir las reas de oportunidad detectadas.

4.2 Evaluacin del sitio alterno El sitio alterno debe ser evaluado para asegurar la presencia, sincronizacin y vigencia de los datos y la documentacin necesarios.

Preparatoria Ensayo
El auditor deber revisar el estado y la existencia de:

Archivos de datos. Software de aplicacin Documentacin de aplicaciones. Software del sistema y su documentacin. Documentacin de operaciones. Suministros necesarios. Formularios.

Una copia del BCP.

El auditor realizar un inventario de los puntos mencionados anteriormente. Y revisar que se encuentren debidamente identificados. Entrevistar al personal clave El auditor deber entrevistar a todo el personal involucrado en el plan de continuidad y recuperacin de desastres. En sus entrevistas deber encontrar:

Si el personal entiende y comprende su labora durante una crisis. Si cuentan con copias del plan. Si tienen documentacin detallada de sus actividades.

Evaluacin de la seguridad del sitio alterno Los puntos a revisar en cuanto a seguridad en el sitio alterno incluyen:


Revisin del contrato de sitio alterno

Controles de acceso fsico adecuados. Pisos falsos. Controles de humedad. Controles de temperatura. Circuitos elctricos adecuados. Suministros ininterrumpidos de energa. Dispositivos de deteccin de agua. Detectores de humo.

Sistemas de extincin de incendios.

El auditor deber revisar el contrato con el proveedor del sitio alterno considerando lo siguiente:

Que el contrato est redactado de forma clara y entendible. En caso de ser un sitio compartido revisar las reglas de uso. Que los costos del site estn cubiertos por el seguro. Asegurar que se permita la realizacin de pruebas a intervalos regulares. Evaluar los requerimientos de comunicaciones. Asegurar que el contrato haya sido revisado por un abogado. Revisar las clusulas de incumplimiento del servicio.

Revisin del seguro contra desastres El auditor deber revisar las clusulas del seguro buscando entre otras cosas:

Que la cobertura del seguro cubra el costo real de recuperacin. Revisar las primas y costos del seguro.

Preparatoria Ensayo
Revisar la cobertura del seguro (hardware de proceso y comunicaciones). Cobertura de reemplazos de equipos.

Cobertura de costo de interrupciones.