WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN...
Transcript of WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN...
WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN DRP
JAIRO ALEJANDRO ROMERO 624002
NELSON GEOVANNI NOSSA 621816
UNIVERSIDAD CATOLICA DE COLOMBIA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA SISTEMAS
BOGOTA, 2.010
2
WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN DRP
JAIRO ALEJANDRO ROMERO 624002
NELSON GEOVANNI NOSSA 621816
Anteproyecto de grado como requisito parcial para obtener
El título Profesional Ingeniero de Sistemas
Director
GERMAN CUBILLOS CARTAGENA
UNIVERSIDAD CATOLICA DE COLOMBIA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
BOGOTA D.C.
NOVIEMBRE 2010
4
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA INGENIERÍA DE SISTEMAS
Formato
F-062-05-001
FECHA
20-11-2010
FICHA DE PROYECTO
Título: WIKI PARA DOCUMENTACIÓN ACTUALIZADA EN DRP
Descriptores: Plan continuidad del negocio, Plan de recuperación de desastres,
Contingencia, BIA, Web 2.0, Wiki, Gestión de riesgos.
Tipo de Proyecto: Trabajo de Grado
Línea de Investigación: CONVERGENCIA ENTRE TECNOLOGÍAS DE
INFORMACIÓN, COMUNICACIONES Y GESTION DE
ORGANIZACIONES
Proyecto asociado: N/A
Fase / Seminarios: N/A
Director / Coordinador: GERMAN CUBILLOS CARTAGENA
Duración: 14 semanas Costo: $4.003.600.oo
DATOS DE LOS ESTUDIANTES
NOMBRE CODIGO TELÉFONOS e-mail
JAIRO ALEJANDRO ROMERO 624002 3142479705 [email protected]
NELSON GEOVANNI NOSSA 621816 3166895940 [email protected]
EMPRESA O ENTIDAD PARTICIPANTE
Razón social: Universidad Católica de Colombia
5
TABLA DE CONTENIDO
1. RESUMEN EJECUTIVO
2. PLANTEAMIENTO DEL PROBLEMA
2.1. DESCRIPCION
2.2. IDENTIFICACION
2.3. FORMULACION
2.4. JUSTIFICACION
3. OBJETIVOS
3.1. GENERAL
3.2. ESPECIFICOS
4. MARCO DE REFERENCIA
4.1. MARCO TEORICO
4.2. MARCO CONCEPTUAL
5. METODOLOGÍA
6. CRONOGRAMA
7. PROGRAMACION DE ACTIVIDADES
8. PRESUPUESTO
9. RECURSOS
10. ESTRATEGIA DE COMUNICACIONES
BIBLIOGRAFÍA
6
ANEXO A FICHAS DE REGISTRO DOCUMENTAL DEL PROYECTO
1. RESUMEN EJECUTIVO
La aplicación a realizar en este proyecto y propuesto ante el Programa de
Ingeniería de Sistemas de la Universidad Católica de Colombia, será un sitio Web
colaborativo (Wiki) que permitirá controlar la actualización de la documentación del
plan de recuperación de desastres de una organización.
Se trata de un proyecto enmarcado dentro de la línea de convergencia entre
tecnologías de información, comunicaciones y gestión de organizaciones en el
cual se aplicarán los conocimientos adquiridos sobre los sistemas de TI, tomando
como base algunos de los parámetros que dictan las diferentes metodologías
sobre el tema y haciendo uso de software de código abierto.
De esta manera, el éxito de la recuperación y reanudación planificada de los
sistemas y las operaciones después de una interrupción depende de la existencia
de estrategias de recuperación actualizadas basadas en prioridades e impacto en
la organización, la Web 2.0 puede permitir que todos los involucrados en el DRP
actualicen y conozcan el plan de recuperación oportunamente.
Esta herramienta está dirigida a todo el personal involucrado en el plan de
continuidad del negocio de una organización y específicamente a los encargados
del plan de recuperación de desastres.
7
2. PLANTEAMIENTO DEL PROBLEMA
2.1 Descripción
2.2 Identificación
2.3 Formulación
2.4 Justificación
“Dos de cinco empresas que han experimentado un desastre quedaron fuera del
negocio en los siguientes cinco años. Los Planes de Continuidad y los servicios de
recuperación de desastres aseguran la viabilidad de la organización.”
Gartner (Roberta Witty, Donna Scott) - Disaster Recovery Plans and Systems Are
Essentia, 2007.
Buscando adaptarse al contexto actual, los negocios en el tercer milenio han
llegado a depender de las tecnologías de la información para sus operaciones
cotidianas. Normalmente se automatizan los procesos para hacer a la
organización tan efectiva como sea posible. Por lo tanto, la disponibilidad de los
sistemas de TI resulta crítica para la continuidad del negocio. La recuperación de
la infraestructura de TI en caso de desastres tales como huracanes, terremotos e
inundaciones o sobre aquellos causados de manera deliberada por el hombre
(ataques de virus, explosiones, incendios, sabotaje) ha cobrado particular
relevancia. Cada organización debe estar preparada para reaccionar ante una
posible interrupción. Las caídas en los centros de cómputo afectan a la
organización entera impactando las actividades internas e implicando una enorme
pérdida de ingresos. Externamente, la imagen pública y las relaciones con los
clientes y vendedores son puestas en riesgo seriamente.
El resultado de la implementación de un DRP es poder contar con un plan de
contingencia que incluye las responsabilidades y facultades detalladas de los
8
miembros del equipo de recuperación de desastres. Un DRP establece una guía y
provee la certeza razonable de que los recursos y las instalaciones críticas de TI
permanecerán disponibles en caso de un desastre.
¿Cuales son los errores más comunes en la recuperación de desastres?
Algunos expertos detectan las siguientes dificultades:
Planificación inadecuada: ¿Se identificaron todos los sistemas críticos y se
planificó en detalle cómo recuperar el backup actualizado? Todo el mundo cree
que conoce qué información tiene en la red, pero la mayoría de la gente no sabe
cuántos servidores tiene o cómo están configurados o qué aplicaciones residen en
los mismos, qué servicios corren, qué versión del software o sistema operativo
tienen. Las herramientas de inventario de software aseguran encargarse de estos
temas, pero generalmente fallan en la captura de detalles importantes acerca de
las revisiones de software y otros detalles.
Fallas para encaminar el negocio dentro de la planificación y las pruebas del plan
de recuperación
No construir planes de recuperación adecuados que especifiquen los tiempos de
respuesta objetivo, las aplicaciones y/o sistemas críticos, los documentos vitales
necesarios para el negocio y las funciones de negocio en la construcción de los
planes para las operaciones que deben continuar después de un desastre.
El tener la documentación del plan disponible y actualizado al 100% permitirá:
• Fiabilidad garantizada: un plan actualizado y probado provee la certeza que los
sistemas de soporte y respaldo trabajarán efectivamente.
• Minimizar la toma de decisiones durante un desastre: Durante una situación de
desastre altamente estresante, la toma de decisiones críticas llega a ser
exponencialmente más compleja como resultado directo del corto período
disponible para reaccionar.
9
• Proveer un sentido de seguridad: El conocimiento y la certeza de que se cuenta
con un plan actualizado para la continuación de las operaciones trasmite confianza
a los empleados, al equipo de administración y a los clientes,
10
3. OBJETIVOS
A continuación se relacionan los objetivos del anteproyecto.
3.1 GENERAL
Desarrollar un Wiki que permita controlar la actualización de la documentación del
plan de recuperación de desastres (DRP) de una organización.
3.2 ESPECIFICOS
Definir las especificaciones técnicas del Wiki (Arquitectura, Diseño funcional
y especificaciones no funcionales)
Registrar el contenido (Plan de Recuperación de Desastres) del Wiki
Implementar el Wiki, confirmando su ejecución y aceptación.
11
4. MARCO DE REFERENCIA
A continuación se relacionan los conceptos del BCP y DRP
4.1 MARCO TEORICO
Antes de pasar a exponer el marco teórico y metodológico más íntimamente
ligado al objeto de estudio de este anteproyecto, es preciso presentar, aunque
sea de forma breve, el marco teórico general del que se parte: perdida de la
información por desastres sobre naturales o errores humanos.
El tema principal del más reciente estudio publicado en la última edición de la
encuesta Global de Seguridad de la Información realizado por Ernst & Young.
A la pregunta: ¿cuáles son las principales consecuencias sí la información de
su organización se pierde, se ve comprometida o no está disponible?
“Los daños a la reputación y la marca se citaron como las consecuencias más
significativas de incidentes relacionados con seguridad de la información para
el 85% de los encuestados a escala global. Este hallazgo, en combinación con
la preocupación por mantener la confidencia del proveedor (77%), la
protección contra la pérdida de ingresos (72%) y la pérdida de clientes (71%)
son indicadores claves de porqué la seguridad de la información permanece
como la directriz principal de la mayoría de las organizaciones”.
Los orígenes y posterior desarrollo de lo que hoy día se conoce como
Continuidad de Negocio se encuentra ligado a la Planeación para
Recuperación de Desastres (DRP) como la Planeación para el
Restablecimiento del Negocio. En concreto Recuperación de Desastres es la
capacidad para responder a una interrupción de los servicios mediante la
implementación de un plan para restablecer las funciones críticas de una
organización.
Toda empresa busca el éxito y lograr cumplir sus metas con el cliente y sus
productos ofreciendo calidad y eficiencia, pero ninguna compañía está libre de
12
riesgos, perder sus productos por un incendio, paralizar sus operaciones por
atentados, entre otros; ante estos eventos ¿Cree que la empresa podrá
mantenerse líder en el mercado?, ¿Perdería la fidelidad de sus clientes?, ¿La
imagen del negocio resultará afectada?
Estos y muchos interrogantes tienen respuesta ante cualquier desastre natural
o humano, del cual sólo dependerá de las proyecciones de la compañía en
invertir y aplicar un Plan de Continuidad del Negocio (BCP).
Analizar, buscar y presentar las alternativas más factibles para la mejora
proactiva de la organización frente a la contingencia. Por otra parte,
proporcionar mecanismos para restaurar los productos y/o servicios claves a
un nivel aceptable y dentro de un marco de tiempo limitado, protegiendo la
imagen de la organización buscado evaluar las alternativas de solución que
sean convenientes y poder evitar que estas situaciones se vuelvan a repetir.
La seguridad de la información debe ser un proceso integrado. Esto quiere
decir que con el uso de controles técnicos, administrativos, y físicos, se debe
lograr la confianza en los sistemas y garantizar que cumplan con los
parámetros de: disponibilidad, integridad, confidencialidad, confiabilidad y
desempeño, sin dejar de lado variables como la productividad y la recuperación
de los procesos de negocio.
El plan de Continuidad, tiene como objetivo proteger los procesos críticos del
negocio, contra desastres o fallas mayores, junto con las posibles
consecuencias que se puedan tener, como pérdidas de tipo financiero,
credibilidad, productividad, etc. debido a la no disponibilidad de los recursos de
la organización. El Plan de Continuidad del Negocio, busca mitigar el riesgo a
dichas fallas o desastres, mediante un plan que permita la pronta recuperación
de la operación, en caso de presentarse algún evento que afecte el flujo normal
de las actividades de la compañía.
13
Inicialmente se plantea las definiciones de algunos términos y siglas, utilizados
en el Plan de Recuperación; las definiciones iníciales se pueden utilizar en las
definiciones siguientes para facilitar la comprensión de los demás términos.
Plan Continuidad del Negocio. Es el documento matriz, el cual contiene
los lineamientos necesarios para asegurar la continuidad de la organización
antes, durante y posterior a la presentación de una contingencia.
Aplicaciones. Son programas de computador que están diseñados con
capacidades lógicas y matemáticas para procesar información. El término
Aplicación se utiliza para agrupar un conjunto de programas que responden
a requerimientos particulares del negocio o área de negocio.
Servidor. Es un computador que tiene la capacidad de prestar servicios de
procesamiento o cómputo y almacenamiento de datos a las aplicaciones.
Telecomunicaciones. Son servicios de transmisión de datos a grandes
distancias, que son procesados por computadores. Estos servicios son
prestados por proveedores a través de canales y equipos de comunicación.
El conjunto de enlaces, equipos y computadores conforman las redes, como
por ejemplo, la conocida Internet.
Centro de Cómputo. Es una instalación construida con especificaciones
técnicas y ambientales especiales donde se instalan y mantienen en
operación los servidores y equipos de comunicación.
Centro de Cómputo Principal (CCP). Es un Centro de Cómputo que
mantiene la operación y los servicios del negocio de la organización,
soportados por las aplicaciones que están instaladas en los servidores allí
instalados.
RTO Tiempo Crítico. Es la cantidad de tiempo, medida en horas, que la
organización puede soportar la interrupción de los servicios soportados en
14
el Centro de Cómputo Principal. De sus siglas en ingles Recovery Time
Objective.
Contingencia. Es un evento fortuito que afecta al Centro de Cómputo
Principal causando la interrupción prolongada, mayor al Tiempo Crítico, de
los servicios que se prestan desde allí a las áreas internas de la
organización, sus clientes, proveedores y entidades reguladoras.
Centro de Cómputo de Contingencia (CCC). Es un Centro de Cómputo
que actúa como respaldo del Centro de Cómputo Principal para ser utilizado
en caso que se presente una contingencia.
Aplicación Crítica. Es una aplicación instalada en el Centro de Cómputo
Principal que desempeña funciones que no pueden estar interrumpidas por
un tiempo mayor al Tiempo Crítico.
BIA. Sigla en Inglés para Business Impact Analysis. Consiste en una
herramienta organizacional que ayuda a determinar de forma cualitativa y
cuantitativa el impacto en el negocio producto de una contingencia.
Plataforma Tecnológica. Es un conjunto de elementos de tecnología, con
unas características comunes dispuesto para satisfacer una necesidad de
procesamiento. Por ejemplo, una plataforma de autorizaciones centralizada.
Equipo de Recuperación. Es un grupo humano que tiene la
responsabilidad de ejecutar un conjunto de actividades en respuesta a una
contingencia, con el objetivo de recuperar la operación crítica de una
organización en un Centro de Cómputo de Contingencia.
Plan de Recuperación. Es un documento que contiene la información
necesaria para guiar de forma organizada la ejecución de las actividades a
cargo de los diferentes Equipos de Recuperación, ante declaración de
15
Contingencia. También es conocido como DRP por sus siglas en inglés,
Disaster Recovery Plan.
LDRPS (Living Disaster Recovery Planning System). Es un programa de
computador, que se utiliza para organizar y documentar los apartes del plan
de Recuperación.
Salas de Usuarios. Salas dotadas de teléfonos, computadores personales
e impresora; conectados a la red del Centro de Cómputo de Contingencia.
Centro de Operación de Contingencia (COC). Son instalaciones propias
de la entidad cuya función es la de facilitar la recuperación de las funciones
criticas del negocio, descritas en el Plan de Continuidad de Negocio.
Solución de recuperación. Es un conjunto de elementos compuesto por la
infraestructura contratada con proveedores (Centro de cómputo de
Contingencia, Servidores, Sala de usuarios, Telecomunicaciones),
Aplicaciones críticas, Centro de Operación de Contingencia y el Plan de
Recuperación.
DEFINICIÓN DE CONTINGENCIA
Se entiende como situación de contingencia, a un evento o sucesión de eventos no
previstos que afecten el Centro de Cómputo Principal - CCP causando la
indisponibilidad total o parcial de las aplicaciones.
Ante la ocurrencia de un evento que afecte el Centro de Cómputo Principal o la
disponibilidad de las aplicaciones críticas, deben utilizarse los siguientes criterios
para determinar si dicho evento corresponde al escenario de contingencia:
Interrupción que supere o se prevea puede superar el Tiempo de Recuperación -
RTO.
16
Cualquier interrupción en el Centro de Cómputo Principal, que afecte directa o
indirectamente su capacidad para operar y que pudiera verse aliviado con la
movilización de la producción de Tecnología al Centro de Cómputo de
Contingencia.
Afectación de la disponibilidad total o parcial de las aplicaciones respaldadas en el
Centro de Cómputo de Contingencia.
17
ESTRUCTURA DE LA DOCUMENTACIÓN DEL PLAN DE RECUPERACION
A continuación se describe la estructura utilizada en los procesos de recuperación
tecnológica en cinco fases para la documentación de todas las actividades del
Plan de Recuperación.
Figura No. 1: Fuente: Banco AVVillas 2007
Operación normal para contingencia
En esta fase se agrupan las actividades que cada equipo de recuperación debe
desarrollar para mantener preparada la solución de recuperación, compuesta
por la infraestructura contratada (Centro de cómputo de Contingencia, enlaces
de comunicaciones, aplicaciones) y el Plan de Recuperación de Desastres
(DRP).
Manejo de incidentes
En esta fase se agrupan las actividades que cada equipo de recuperación debe
desarrollar para evaluar un problema que potencialmente lleve a la declaración
de contingencia, la toma de la decisión de dicha declaración y la notificación de
la misma, tanto a las áreas internas como a entes externos (clientes,
proveedores, entidades reguladoras y otros).
18
Cubre el período desde el momento cero de la contingencia, es decir aquel en
el cual se presenta el evento, hasta que se activen los equipos de trabajo y sus
respectivos planes. También se identifican en esta fase las actividades de
recuperación del Centro de Cómputo Principal y las actividades de planeación
del retorno de la operación de las aplicaciones críticas desde el Centro de
Cómputo de Contingencia al Centro de Cómputo Principal, hasta el momento
en que se inicia dicho retorno.
Movilización
En esta fase se agrupan las actividades que cada equipo de recuperación debe
desarrollar para trasladar la operación afectada al Centro de Computo de
Contingencia - CCC y en caso de ser requerido al – Centro de Operaciones de
Contingencia COC; desde el momento en que se declara, notifica y activan los
planes, hasta la puesta en operación de dichos servicios al segundo
datacenter.
Operación durante la contingencia
En esta fase se agrupan las actividades que cada equipo de recuperación debe
desarrollar durante la operación en el Centro de Cómputo de Contingencia,
después de concluida la movilización, con el fin de mantener activas las
aplicaciones movilizadas, hasta el momento en que se inicia el retorno a la
normalidad, prestando el servicio con las restricciones propias de la
contingencia.
Retorno a la normalidad
En esta fase se agrupan las actividades que cada equipo de recuperación debe
desarrollar desde el momento en que se inicia la movilización del CCC hacia el
CCP, hasta que el servicio sea recuperado totalmente en el CCP.
19
PRUEBAS DEL PLAN DE RECUPERACION
EL propósito de esta prueba es identificar y documentar los procedimientos que
deberán ejecutarse para la planeación, realización y documentación de pruebas
del Plan de Recuperación. La planeación de pruebas incluye el alcance, los
objetivos, criterios de medición, personal involucrado, tareas y tiempos, para
validar la efectividad del plan de recuperación.
Se prueba el plan de recuperación para asegurar la capacidad de la compañía de
recuperar su operación en caso de contingencia en un tiempo definido. Un
beneficio adicional de probar el plan es capacitar al personal que será responsable
de la ejecución del plan de recuperación. De acuerdo con la metodología la
importancia de las pruebas del Plan, más allá que se compruebe la correcta
operación de la tecnología en el Centro de Cómputo de Contingencia, es que se
identifiquen elementos que deben ser mejorados en el Plan y en la Tecnología,
para que se ajuste la Solución de Recuperación aumentando su capacidad de
respuesta adecuada a las expectativas de la organización ante la ocurrencia de un
evento que origine una contingencia. La metodología establece que las pruebas
deben ejecutarse con las actividades documentadas en el plan de recuperación.
TIPOLOGIAS DE LAS PRUEBAS DRP
La infraestructura de contingencia debe monitorearse y probarse de forma
periódica, con el fin de garantizar su disponibilidad. Para ello se han considerado
3 clases de pruebas:
CONTINGENCIA PROGRAMADA O TOTAL
Se movilizan todos los servicios respaldados al CCC, trasladando la operación del
la organización al datacenter de contingencia. Implica:
Uso de la copia secundaria.
Interrupción de los servicios de la organización por un tiempo determinado
(horas RTO movilización + horas Retorno).
20
Suspensión de servicios para ambientes de desarrollo y pruebas (si los
maneja); así como para servicios de producción no respaldados.
Movilización de usuarios finales, para ejecutar la listas de chequeo de las
aplicaciones.
Validación de servicios en prioritarios para la organización.
Replicación sentido CCC -> CCP.
CERRADA
Se movilizan uno, varios o la totalidad de los servicios cubiertos por contingencia,
en un ambiente aislado y controlado, sin presentar afectación de la prestación
normal de los servicios de la organización. Implica:
Aislamiento de la red LAN entre CCP y CCC.
Uso de la copia terciaria.
Se deben arrancar algunos servidores necesarios .
Movilización de usuarios finales, para ejecutar la listas de chequeo de las
aplicaciones.
Se trabajará con datos reales, donde las pruebas de usuario no modificarán
los datos de producción.
Dentro de esta categoría se han incluido pruebas de funcionalidad;
correspondientes a validar los cambios o inclusiones sobre hardware, sistema
operativo, bases de datos y aplicativos en la infraestructura.
PARCIAL
Parcial: Se movilizan uno o varios servicios del CCC para probar su correcta
funcionalidad en operación en contingencia. Implica
21
Uso de copia Secundaria
Replicación sentido CCC -> CCP de los discos involucrados en la prueba.
Conectividad LAN activa entre los dos datacenter.
Suspensión programada del o los servicios involucrados para fases de
movilización y retorno.
Movilización de usuarios finales, para ejecutar la listas de chequeo de las
aplicaciones.
POLITICAS PARA LAS PRUEBAS
Se han establecido las siguientes políticas para diseñar y ejecutar las diferentes
pruebas del DRP:
Cualquiera que fuese la necesidad o naturaleza de las pruebas, deben
programarse de manera que en lo posible no afecten el servicio de
replicación.
Basado en las mejores prácticas se ejecutarán a lo menos 2 Contingencias
Programadas al año.
Previa realización de una Contingencia Programada, se debe ejecutar una
prueba cerrada de todos los servicios respaldados.
La confirmación de la funcionalidad de un servicio respaldado se dará
mediante la ejecución de set de pruebas por parte de usuario final.
Garantizar mediante pruebas la disponibilidad de los servicios en
contingencia para los periodos de alta transaccionalidad como lo son:
Vacaciones Junio-Julio y Festividades navideñas Diciembre-Enero. Sin
embargo, dichas pruebas no deberán realizarse en dichos meses.
Como mínimo se deben realizar 2 pruebas cerradas al año
El inicio de fases de movilización y de retorno para escenarios de
contingencias programadas o parciales deberá ser concertado previamente
con los líderes de los diferentes equipos del DRP con la organización.
22
EVALUACION DE LA PRUEBA
Una vez se haya realizado la prueba y como actividad final, es necesario efectuar
una evaluación o revisión de su desarrollo en la cual estén analizados los
objetivos, los parámetros, los criterios establecidos, las fallas y fortalezas.
Se sugiere concentrar la evaluación en una lista de chequeo o en una tabla que
contemple los elementos de la prueba.
ETAPA DESCRIPCION
1 Planeamiento
de la prueba
Definir los equipos participantes, los objetivos específicos
de la prueba y confirmar con la localidad alterna la fecha
y hora de realización.
2 Notificación de
la prueba a los
equipos de
trabajo.
Notificar a los equipos participantes la realización de la
prueba y verificar que todos ellos estén enterados.
3 Alistamiento y
habilitación de
los sitios alternos
para la prueba.
Incluye contar con todos los elementos necesarios para
iniciar el proceso de prueba en el(los) centro(s)
alterno(s).
4 Puesta en
producción de los
sitios alternos
para la prueba
Actividades de los equipos de recuperación tendientes a
restaurar y sincronizar los Aplicaciones.
5 Operación en
los sitios alternos
para la prueba
Actividades de los equipos de recuperación tendientes a
probar la operación en los sitios alternos de contingencia.
6 Evaluación de la
prueba
Reunirse con el personal que participó en la prueba para
identificar problemas y bondades del plan de
recuperación.
Tabla de etapas de prueba
23
Alistamiento y habilitación de los sitios alternos para la prueba
DESCRIPCIÓN RESPONSABLES
Identificar las tareas del plan que ameriten para la
prueba y referenciar a los equipos para su realización. Equipo coordinador
Tabla de actividades de alistamiento y habilitación de los sitios alternos para la prueba
PUESTA EN PRODUCCIÓN DE LOS SITIOS ALTERNOS PARA LA PRUEBA
DESCRIPCIÓN RESPONSABLES
Identificar las tareas del plan que ameritan para la
prueba y referenciar a los equipos para su realización. Equipo coordinador
Tabla de actividades de puesta en producción de los sitios alternos para la prueba
Operación en los sitios alternos para la prueba
DESCRIPCIÓN RESPONSABLES
Identificar las tareas del plan que ameritan para la
prueba y referenciar a los equipos para su realización. Equipo coordinador
Tabla de actividades de operación en los sitios alternos para la prueba
EVALUACION DE LA PRUEBA
DESCRIPCIÓN RESPONSABLES
Reunirse con el personal de los centros alternos de Equipo coordinador
24
DESCRIPCIÓN RESPONSABLES
recuperación.
Identificar las áreas de problema. Todos los equipos
Identificar las fortalezas. Todos los equipos
Identificar las desviaciones. Todos los equipos
Generar las recomendaciones para la corrección de las
áreas problema.
Todos los equipos
Tabla de actividades de evaluación de la prueba
WEB 2.0
El término Web 2.0 se utilizó por primera vez en el año 2004 cuando Dale
Dougherty de O’Reilly Media utilizó este término en una conferencia en la que
hablaba del renacimiento y evolución de la Web. Comenzó con una sesión de
'brainstorming' realizada entre O'Reilly y MediaLive International. Dale Dougherty,
pionero de la web y vicepresidente de O'Reilly, observaron que lejos de
'estrellarse', la web era más importante que nunca, con apasionantes nuevas
aplicaciones y con sitios web apareciendo con sorprendente regularidad.
En el año 2009, el término 'Web 2.0' ha arraigado claramente, con más de 9,5
millones de menciones en Google. Pero todavía existe un enorme de desacuerdo
sobre qué significa Web 2.0, existiendo algunas críticas que afirman que se trata
simplemente de una palabra de moda, fruto del marketing, y sin sentido, en tanto
que otros la aceptan como un nuevo paradigma.
25
INTERPRETACION DE WEB
Figura No. 2: Telefonica.com.co
La Web 2.0 se refiere a una nueva generación de Webs basadas en la creación de
contenidos producidos y compartidos por los propios usuarios del portal.
En la Web 2.0 los consumidores de información se han convertido en “pro-
consumidores”, es decir, en productores de la información que ellos mismos
consumen.
La Web 2.0 se refiere a una nueva generación de Webs basadas en la creación de
páginas Web donde los contenidos son compartidos y producidos por los propios
usuarios del portal.
Si hay una Web 2.0 necesariamente debe existir una Web 1.0 de donde
evoluciona la primera. La Web 1.0 es la Web tradicional que todos conocemos y
26
que se caracteriza porque el contenido e información de un site es producido por
un editor o Webmaster para luego ser consumido por los visitantes de este site. En
el modelo de la Web 2.0 la información y contenidos se producen directa o
indirectamente por los usuarios del sitio Web y adicionalmente es compartida por
varios portales Web de estas características.
En la Web 2.0 los consumidores de información se han convertido en
“prosumidores”, es decir, en productores de la información que ellos mismos
consumen. La Web 2.0 pone a disposición de millones de personas herramientas
y plataformas de fácil uso para la publicación de información en la red. Al día de
hoy cualquiera tiene la capacidad de crear un blog o bitácora y publicar sus
artículos de opinión, fotos, vídeos, archivos de audio, etc. y compartirlos con otros
portales e internautas.
27
Figura No. 3: Telefonica.com.co 2009
Los sistemas de información, son esenciales para la supervivencia de las
organizaciones modernas, sin embargo, muchas empresas no tienen una total
certeza sobre el real estado de sus planes, la actualización de la
documentación y las pruebas del plan de continuidad del Negocio. Una
planeación prudente exige que todos los ejecutivos aseguren que su
organización pueda sobrevivir a un hombre o los desastres naturales que
destruyen o desactivan los sistemas de información manual o automática.
La gestión de la continuidad del negocio es un proceso que identifica
amenazas potenciales a la organización y sus impactos a la operación. Provee
una estructura para construir resiliencia (resistencia a ser afectada)
organizacional con la capacidad para la efectiva respuesta salvaguardando los
28
intereses de las principales partes interesadas, reputación, marca y activos de
valor.
Las organizaciones modernas tienen una gran variedad de funciones
operativas y de gestión, cuya continuidad de las operaciones son
fundamentales para la viabilidad continua de las organizaciones, la Gestión de
Continuidad de Negocio consiste en la organización de las operaciones de
emergencia de estas funciones críticas de negocio y planificación de los
recursos para la recuperación de estas funciones por la afectación de
diferentes orígenes (humano o un desastre natural).
El plan de continuidad del negocio brinda planes de manejo que son
necesarios para todas las unidades de una organización, incluido los centros
de datos, sistemas de información, funciones de apoyo, y las funciones que la
organización lleva a cabo manualmente.
Las empresas deben implementar un total enfoque en la continuidad de su
gestión empresarial, adecuado a la naturaleza y la escala de sus operaciones.
La continuidad de los negocios aumenta la vida de una empresa, la resistencia
a la interrupción de los negocios derivados de eventos internos y externos
puede reducir el impacto en los negocios de la empresa, sus operaciones, su
reputación, y la rentabilidad.
Todas las empresas deben identificar, evaluar y gestionar los riesgos
potenciales de la continuidad del negocio para asegurar la continuidad de su
vida productiva.
Las operaciones de negocio críticas se definen como funciones de negocios,
recursos e infraestructura que tienen el potencial, si se interrumpe, para
impactar significativamente la compañía la reputación o la rentabilidad.
29
4. MARCO CONCEPTUAL
Con el proyecto se quiere que las personas involucradas en el DRP
aprovechando el concepto de la Web 2.0 (Wiki), puedan mantener y actualizar la
documentación del plan de recuperación de desastres de una organización.
La implementación de esta tecnología permitirá aprovechar uno de los aspectos
más importante de la Web 2.0 que se refiere a la creación de contenidos
producidos y compartidos por los propios usuarios del portal, los consumidores de
esta información se convierten en “pro-consumidores”, es decir, en productores de
la información que ellos mismos consumen, se debe recordar que lo más
importante es la actualización de los contenidos.
Para lograr este fin, será necesario mantener el plan actualizado y sincronizado
con los cambios del negocio. Se deberán considerar todos los cambios en las
funciones para la inclusión y la actualización del plan de recuperación. El
mantenimiento del Plan de Recuperación es consecuencia de la ejecución
consistente del proceso de administración de cambios. Desde este punto de vista,
independientemente de cómo se tenga definido e implementado un proceso formal
de administración de cambios lo importante es que se cree la conciencia y se
aplique disciplinadamente que todo cambio deberá ser replicado en el Wiki, así
como todo cambio en el negocio puede potencialmente afectar el Plan de
Recuperación y por lo tanto debe ser documentado.
30
ESTRUCTURA DEL DRP
Figura No. 4
Es una estructura de recuperación que cubre los información crítica, para
que un negocio pueda comenzar de nuevo sus operaciones en caso de un
desastre natural o causado por humanos.
32
MAPA CONCEPTUAL DE UN WIKI
Figura No. 6
http://debiogeo.blogspot.com/2007/01/un-mapa-conceptual-sobre-los-wikis.html
Explica las diferentes formas de beneficiarse de un wiki y las diferentes
beneficios que tiene el mismo.
33
5. METODOLOGIA
La metodología que se utilizara para el desarrollo del proyecto es AUP-RUP.
El Agile UP (AUP) es una versión simplificada de Rational Unified Process
(RUP). Este describe un enfoque simple y fácil de entender para el desarrollo de
software usando técnicas y conceptos que aún se mantienen vigentes en RUP.
El ciclo de vida del Agile UP
Figura No. 7
Tomado de: http://cgi.una.ac.cr/AUP/html/overview.html 2005
Las disciplinas son ejecutadas en una manera iterativa, definiendo las actividades
las cuales los miembros del equipo ejecutan para construir, validar y liberar
software funcional que cumpla con las necesidades de sus involucrados. Las
disciplinas son:
34
Modelado. El objetivo de esta disciplina es entender el negocio de la
organización, el problema de dominio que se aborda en el proyecto, e
identificar las soluciones viables para manejar el dominio del problema.
Implementación. El objetivo de esta disciplina es transformar su modelo (s)
en código ejecutable y llevar a cabo un nivel básico de las pruebas, en
particular, la unidad de prueba.
Pruebas. El objetivo de esta disciplina es ejecutar una objetiva evaluación
para asegurar la calidad. Esto incluye la detección de defectos, validaciones
de que el sistema funciona como fue diseñado, y verificar que se cumplan
los requerimientos.
Despliegue. El objetivo de ésta disciplina es planificar la entrega del
proyecto de desarrollo y ejecutar el plan, para dejar disponible el sistema al
usuario final.
Administración de la Configuración. La meta de esta disciplina es manejar
el acceso a sus productos de trabajo de proyecto. Esta no sólo incluye el
rastreo de versiones del trabajo del producto en el tiempo, sino que también
el control y administración de los cambio estos productos.
Administración del Proyecto. El objetivo de esta disciplina es dirigir las
actividades a lo largo del proyecto. Esto incluye la administración del riesgo,
dirección del personal (asignación de tareas, rastreo del progreso, etc.), y
coordinación con personas y sistemas fuera del alcance del proyecto para
asegurar su liberación a tiempo y dentro del presupuesto.
Entorno. El objetivo de esta disciplina es soportar el resto del esfuerzo
asegurando que el proceso apropiado, las guías (normas y directrices), y
herramientas (hardware y software) estén disponibles para cuando el
equipo las necesite.
35
6. CRONOGRAMA
A continuación se relaciona el cronograma de actividades, las cuales se cubrirán
en 14 semanas.
36
8. PROGRAMACION DE ACTIVIDADES
A continuación se relaciona la programación de actividades.
OBJETIVOS ESPECIFICOS ACTIVIDADES RECURSOS
DURACION
(SEMANAS)
1.Definir las especificaciones técnicas del Wiki
(Arquitectura, Diseño funcional y especificaciones no
funcionales.
1.1. Análisis del documento del BCP Humanos : 4 semanas
1.2. Análisis de los requerimientos del
DRP
Jairo Romero
Nelson Nossa
1.3 Seleccionar los procesos del DRP Tecnológicos:
1.4. Seleccionar las estructuras de la
contingencia
No aplica
Materiales:
Documentación del
DRP
2. Registrar el Contenido (Plan de Recuperación de
Desastres) del Wiki
2.1. Diseño del Wiki Humanos: 7 semanas
Jairo Romero
Nelson Nossa
Tecnológicos:
Lenguaje de
programación
adecuado
Materiales:
Tutoriales
3. Implementar el Wiki, confirmando su ejecución y
aceptación.
3.1. Implementar el Wiki Humanos: 3 semanas
Jairo Romero
Nelson Nossa
Tecnológicos:
Internet
HTML
Duración total = 14 semanas
37
9. PRESUPUESTO
A continuación se relaciona el presupuesto del proyecto.
INGRESOS EGRESOS
DETALLE VALOR DETALLE VALOR
Recursos Propios $ 4003600 Honorarios Director $ 1.500.000
Portatiles (2) $ 1.500.000
Telefonos (2) $ 60.000
Internet $ 300.000
Papeleria $ 10.000
Memorias USB (2) $ 40.000
Impresora $ 100.000
Asesorias Tecnicas $ 100.000
Alimentacion $ 240.000
Transporte $ 153.600
TOTAL INGRESOS $ 4003600 TOTAL EGRESOS $ 4.003.600
38
10. RECURSOS
A continuación se relacionan los recursos a utilizar
Recursos Planta Física
Laboratorio Universidad
Sala Profesores Universidad
Cuartos de Estudio Vivienda
Recursos Tecnológicos
1 Maquina desktop HP 5100 Windows XP Profesional
Impresora Lexmar X340
Conexión a Internet
1 Microsoft Office Project 2007
Recursos Humanos
Germán Cubillos Director del Proyecto
Jairo Romero
Nelson Nossa
RECURSOS INTERACTIVOS
Guía de los Fundamentos de la Dirección de Proyectos Tercera Edición
39
INSUMOS
Papelería General
11. ESTRATEGIA DE COMUNICACION
Al finalizar cada una de las fases del desarrollo del proyecto se entregará un
informe de alcance de objetivos y actividades desarrolladas al docente de la
Facultad de Ingeniería de Sistemas asignado como Director del Proyecto.
Los resultados de este trabajo de grado, implementación y su documentación, se
darán a conocer a la comunidad educativa de la Universidad Católica de Colombia
y a la Dirección de Investigaciones de la Facultad de Ingeniería, Programa de
Sistemas.
Se presentara un póster, un artículo en formato IEEE y resultados de la feria en la
comunidad universitaria e demás invitados
40
BIBLIOGRAFÍA
ICONTEC, Compendio tesis y otros trabajos de grado, Sexta actualización. Bogotá:
Instituto colombiano de normas técnicas y certificación (ICONTEC), 2008.
BCLS-2000 Curso de continuidad de Negocios para Profesionales.
http://www.cpm.org.mx/revistas/comprmiso/vol%206%20num%2017/paginas/drp.pdf
ttp://bieec.epn.edu.ec:8180/dspace/bitstream/123456789/1294/2/T%2011177%20CAPI
TULO%203.pdf
http://www.emarket.cl/dir/umayor/topinf/0605_Manual%20de%20Contingencia%20Infor
matico.pdf
http://www.cptm.com.mx/work/sites/CPTM/resources/LocalContent/7567/1/ManualdeR
espaldosCPTM.pdf
http://www.riuady.uady.mx/riuady/plan_de_contingencias_uady.pdf
http://capacitacion.softwarelibre.gob.ve/aulas/file.php/1/Manuales_de_Cursos/manuale
s_Servicios_de_administracion_GNULinux/manual-respaldo.pdf
http://www.gavab.es/wiki/download/ai/Temario/AudInf-Apuntes-8.pdf
http://colombia.emc.com/collateral/software/white-papers/h6859-virtzng-business-crtcl-
appts-wp.pdf
http://upcommons.upc.edu/pfc/bitstream/2099.1/2594/2/34405-2.pdf
http://mx.oocities.com/acadentorno/aui6.pdf
http://www.cemla.org/pdf/aud-991109-spn.PDF
http://bieec.epn.edu.ec:8180/dspace/bitstream/123456789/1294/1/T%2011177%20CA
PITULO%204.pdf
http://www.proviasdes.gob.pe/organizacion/plan_cont_inf/Plan%20Contingencias%20R
D-2008-02457-999.pdf
http://www.bbr.cat/presentaciones/pdf/Noticias_EventosBbr/Sistemes/Oracle11g_HA&
DR.pdf
http://www.sisteseg.com/files/Microsoft_Word_Articulo_BS_25999_DEF1.pdf
41
http://www.revistaays.com/DocsNum17/HoyHablamosDe/HoyHablamos17.pdf
http://www.cegesti.org/exitoempresarial/publicaciones/publicacion_63_150508_es.pdf
http://cgi.una.ac.cr/AUP/html/overview.html
http://aulablog21.wikispaces.com/tallerwikispaces2
Debate y Conocimiento Articulos Qué es Web 2.0 Telefonica.mht
42
FICHA DE REGISTRO DOCUMENTAL
Código: sep10
Fuente No. 2 Elaboró: JRNN
Tipo de fuente: Documento PDF
Titulo: ESTRATEGIAS Y POLITICAS PARA CONTINUIDAD DEL NEGOCIO
Autor:
SISTESEG
Ubicación: www.sisteseg.com
Descripción:
La seguridad de la información debe ser un proceso integrado. Esto quiere decir que con el uso
de controles técnicos, administrativos, y físicos, debemos lograr la confianza en nuestros
sistemas y garantizar que cumplan con los parámetros de: disponibilidad, integridad,
confidencialidad, confiabilidad y desempeño, sin dejar de lado variables como la productividad y
la recuperación de los procesos de negocio.
El plan de Continuidad, tiene como objetivo proteger los procesos críticos del negocio,
contra desastres o fallas mayores, junto con las posibles consecuencias que se puedan
tener, como pérdidas de tipo financiero, credibilidad, productividad, etc. debido a la no
disponibilidad de los recursos de la organización. El Plan de Continuidad del Negocio,
busca mitigar el riesgo a dichas fallas o desastres, mediante un plan que permita la
pronta recuperación de la operación, en caso de presentarse algún evento que afecte el
43
flujo normal de las actividades de SISTESEG.
Tabla de contenido:
1. Audiencia
2. Introducción
3. Definiciones
4. Objetivo
5. Política general
6. Elementos adicionales a la política general.
7. Políticas relacionadas
8. Roles y Responsabilidades
9. Violaciones a la política
10. Revisión de la política
Palabras clave:
Referencias:
http://www.sisteseg.com/files/Microsoft_Word_-
_Estrategias_y_politicas_para_continuidad_del_negocio.pdf
http://www.thebci.org/
http://www.business-continuity-world.com/
http://www.sisteseg.com/
44
RESUMEN
Política Continuidad del Negocio [BS 7799 Control A.11.1]
1. Audiencia
Esta política aplicará para todo el personal que labore en, o, para SISTESEG, con el fin
de poder garantizar la continuidad del negocio, en caso de un evento que afecte la
operación normal.
2. Introducción
El plan de Continuidad, tiene como objetivo proteger los procesos críticos del negocio,
contra desastres o fallas mayores, junto con las posibles consecuencias que se puedan
tener, como pérdidas de tipo financiero, credibilidad, productividad, etc. debido a la no
disponibilidad de los recursos de la organización. El Plan de Continuidad del Negocio,
busca mitigar el riesgo a dichas fallas o desastres, mediante un plan que permita la
pronta recuperación de la operación, en caso de presentarse algún evento que afecte el
flujo normal de las actividades de SISTESEG.
3. Definiciones
Plan de continuidad del negocio (BCP-Business Continuity Plan): Un plan
documentado y probado con el fin de responder ante una emergencia de manera
adecuada, logrando así el mínimo impacto a la operación del negocio de SISTESEG.
Plan de Contingencia: Es un subconjunto de un plan de continuidad de negocio, que
contempla como reaccionar ante una contingencia que pueda afectar la disponibilidad o
los servicios ofrecidos por los sistemas informáticos. Una contingencia puede ser un
problema de corrupción de datos, suministro eléctrico, un problema de software o
hardware, errores humanos, intrusión etc.
Plan de recuperación frente a desastres: Es aquella parte del plan de contingencia y
45
del plan de continuidad de negocio, que aborda aquellas contingencias que, por su
gravedad, no permiten continuar prestando el servicio desde el centro local y debe
continuarse el servicio desde un nuevo centro. Este plan debe contemplar la vuelta atrás
cuando, tras arreglar las consecuencias del desastre, el servicio pueda ser reanudado
en el centro local.
Business Impact Assessment (BIA): El propósito del BIA es crear un documento que
ayude a entender el impacto que un desastre pueda tener sobre un negocio en
particular. Contempla tres objetivos fundamentales:
Priorizar procesos críticos del negocio.
Calcular el “Máximum Tolerable Downtime”, (MTD) el cual es el tiempo
máximo
sin servicio que una organización puede soportar y seguir siendo una compañía
que cumple con sus objetivos de negocio. Normalmente es encontrado que este
tiempo es mucho menor de lo esperado.
4. Objetivo
Evitar interrupciones a los procesos críticos del negocio como consecuencia de fallas o
desastres.
5. Enunciado de la Política General
Debido a que cualquier interrupción en los procesos de negocio afecta la operación, es
responsabilidad de las directivas de la organización aprobar un plan de continuidad de
negocio que cubra las actividades esenciales y críticas de SISTESEG.
Se deben incluir controles para identificar y reducir riesgos, limitar las consecuencias de
los diferentes incidentes y por ultimo asegurar la recuperación inmediata de las
operaciones esenciales.
Como parte fundamental del soporte al negocio, todos los sistemas de información
deben poseer planes de contingencia y recursos necesarios que aseguren la
46
continuidad de los procesos de negocio.
6. Elementos adicionales a la política general
Aspectos de la Continuidad del Negocio a ser considerados en la definición de las
políticas
funcionales:
Respaldo de información
Seguridad física
Mantenimiento del plan
Pruebas del plan
Simulaciones
Intentos de restauración
7. Políticas relacionadas
Política de seguridad física
8. Roles y responsabilidades
Esta política es responsabilidad de ser aprobada por las directivas de SISTESEG, luego
de un estudio previo y detallado de sus posibles consecuencias, con el fin de garantizar
la continuidad del negocio en caso de un evento que afecte la operación normal de los
procesos críticos.
9. Violaciones a la política
En este caso especial, si las directivas de la organización de SISTESEG se
comprometen a desarrollar este plan, será responsabilidad de ellos, no faltar a este
compromiso y tener en cuenta que al no realizar dicho plan, la compañía pudiera estar
47
expuesta a procesos legales y contractuales, que pudieran poner en riesgo el futuro de
la operación de SISTESEG.
10. Revisión de la política
Esta política debe ser modificada si existieran cambios en los procesos de negocio de
SISTESEG o en su infraestructura tecnológica, de no haber cambios, se debe realizar
su revisión anualmente.
FICHA DE REGISTRO DOCUMENTAL
Código: sep10
Fuente No. 3 Elaboró: JRNN
Tipo de fuente: Documento web
Titulo: NORMAS Y ESQUEMAS DE CERTIFICACION PARA LA CONTINUIDAD DEL
NEGOCIO
Autor:
BSI
Ubicación: ww.bsigroup.es
Descripción:
La continuidad de la actividad en caso de una interrupción, ya sea debido a un siniestro
o catástrofe importante o bien debido a un incidente menor, es un requisito fundamental
para cualquier organización. BS 25999, la primera norma británica para la gestión de
48
continuidad de negocio (Business Continuity Management-BCM), se ha concebido para
ayudar a minimizar el riesgo de interrupciones de estas características.
Tabla de contenido:
1. Introducción
2. Descripción General
3. ¿Para quién es Significativo?
4. Estándar
5. Beneficios
6. Formación
7. Pasos a la certificación
Palabras clave:
Referencias:
http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-
gestion/estandares-esquemas/BS-25999/http://www.sisteseg.com/
RESUMEN
1. Descripción General
La norma ayuda a establecer las bases de un sistema BCM y se ha concebido para
mantener en marcha las actividades durante las circunstancias más inesperadas y
desafiantes: protege a los empleados, su reputación y proporciona la capacidad de
49
continuar con la actividad y el comercio.
BS 25999 ha sido desarrollada por un amplio grupo de expertos de primera categoría
que constituyen una muestra representativa de sectores de la industria y de la
Administración para establecer el proceso, los principios y la terminología de la gestión
de continuidad de la actividad comercial.
Proporciona una base para comprender, desarrollar e implantar la continuidad de
negocio en una organización y otorga confianza en los negocios de B2B y de B2C.
Asimismo, contiene un conjunto exhaustivo de controles basados en las mejores
prácticas de BCM y abarca todo el ciclo de vida de la gestión de continuidad de negocio
2. ¿Para quién es significativo?
BS 25999 es una norma adecuada para toda organización, grande o pequeña,
de cualquier sector. Es especialmente apropiada para organizaciones que
operan en entornos de alto riesgo, como las finanzas, telecomunicaciones,
transporte y el sector público, donde la capacidad de continuar la actividad
comercial es primordial para la organización en sí, así como para sus clientes y
partes interesadas.
3. El estándar
BS 25999 comprende dos partes:
la parte 1, el código de buenas prácticas, que ya ha sido publicada y proporciona
unas recomendaciones de buenas prácticas en cuanto a BCM. Esta primera
parte es simplemente un documento de guía..
la parte 2, la especificación, fué publicada el pasado 20 de noviembre 2007 y
proporciona los requisitos de un Sistema de Gestión de Continuidad de
Negocio (SGCN) basado en las mejores prácticas de SGC. Hay un estándard
que puede utilizar para demostrar el cumplimiento vía auditoría y proceso de
certificación.
50
4. Beneficios
Las beneficios de BS 25999 son muchos, especialmente cuando son combinadas con
una certificación independiente de BSI, y abarcan los siguientes puntos:
Marco
Proporciona un marco común consistente, basado en unas mejores prácticas
internacionales, para gestionar la continuidad de negocio.
Resiliencia
Mejora su resiliencia de manera proactiva cuando se enfrenta con una
interrupción en su capacidad de alcanzar objetivos claves.
Reputación
Ayuda a proteger y mejora su reputación y marca.
Ventaja competitiva
Le abre nuevos mercados y le ayuda a ganar nuevos negocios.
Ganar más contratos más efectividad de costos
Le proporciona una ventaja de marketing y usando la certificación, puede
ayudarle a reducir el coste de ofertas muy caras.
Mejora el negocio
La certificación le da una clara comprensión de toda su organización, la cual
puede identificar oportunidades para la mejora.
Mejora continua
El proceso de certificación supone auditorías habituales las cuales aseguren su
sistema de gestión está actualizado.
Cumplimiento
Demuestra que se observan las leyes y las regulaciones.
Ahorro de costes
Crea oportunidades para reducir los costes de los auditores de continuidad de
negocio y puede reducir las primas de seguros.
51
Gestión
Proporciona una capacidad probada para gestionar una interrupción.
5. Formación
Continuar con las operaciones en caso de interrupción, tanto si es debido a que
hay un desastre importante o a un incidente de menor importancia, es requisito
fundamental para cualquier organización. BS 25999, el estándar visionario para
la gestión de la continuidad del negocio (BCM), se ha desarrollado para ayudarle
a reducir al mínimo el riesgo de tales interrupciones.
Ofrecemos un programa de cursos de BS 25999 para aquellos asistentes que
sean nuevos en este estándar y en los sistemas de gestión, así como los que
necesiten auditar y mejorar un sistema existente. Además, nuestros cursos le
ayudarán a entender los beneficios de certificarse en BS 25999.
Usted puede elegir si usted quiere ir a uno de nuestros cursos programados o si
prefiere recibirlo en su propia compañía (in company)
A continuación, encontrará una descripción de los cursos disponibles que
coinciden con la publicación de la parte 2 de BS 25999:
Introducción a la BS 25999
Este curso de 2 días da una descripción de los principios y la práctica de Gestión
de Continuidad de negocio, y está basado en la guía del Instituto de Continuidad
de negocio de Mejores Prácticas, BS 25999, y 10 disciplinas.
Implantación de la BS 25999
Un curso diseñado para gerentes y responsables de personal o personas
involucradas en la implantación de la BS 25999 en sus organizaciones.
52
Auditor interno en BS 25999
Curso práctico en planificación y ejecución de auditoría internas para aquellos
que tengan algún conocimiento de BS 25999.
Auditor Jefe en BS 25999
Un curso intensivo para profesionales en planificación, ejecución y liderazgo
en auditorías efectivas de continuidad de negocio basadas en la BS 25999.
6. Pasos hacia la certificación
Contactar
Contacte con nosotros y explíquenos lo que necesita y nosotros pondremos a su
disposición nuestros mejores servicios .Después, le haremos una
oferta detallada con los costes y tiempo que llevará.
Encuentre su equipo de auditor
Le asignaremos un auditor, el cual será su principal punto de contacto durante el
proceso y después. Ellos tendrán un excelente conocimiento de su área de
negocio y le apoyarán en todos su movimientos para la auditoría y certificación
de su sistema de gestión de continuidad de negocio.
Considerar la formación
Si usted está buscando implantar un sistema de gestión o le gustaría aumentar
su conocimiento general de la norma, tenemos una variedad de jornadas,
seminarios y cursos de formación disponibles.
53
Revisión y auditoría
Realizaremos una revisión en oficina de su sistema de gestión contra la norma
BS 25999 e identificaremos omisiones o puntos débiles que necesite resolver
antes de una auditoría formal. Una vez hayan sido direccionados, realizaremos
una auditoría completa en el lugar de trabajo.
Certificación y después
Una vez se haya completado exitosamente la auditoría, le otorgaremos
un certificado de auditoría, explicando claramente el enfoque de su sistema de
gestión.
FICHA DE REGISTRO DOCUMENTAL
Código: sep10
Fuente No. 4 Elaboró: JRNN
Tipo de fuente: Documento web
Titulo: MICROSOFT SOLUCION PARA LA CONTINUIDAD DEL NEGOCIO
Autor:
MICROSOFT
Ubicación: ww.microsoft.com
54
Descripción:
Microsoft tiene una posición privilegiada para ayudarte a consolidar tu centro de datos, y
recortar así los costes y mejorar la agilidad de negocio. Unimos un valor excelente en la
virtualización del servidor, basada en Windows Server 2008 Hyper-V, con las capacidades
de gestión física y virtual de System Center Virtual Machine Manager. Microsoft trabaja
con un amplio abanico de partners dedicados a la infraestructura de almacenaje para
lograr recortes impresionantes en los costes asociados con el centro de datos gracias a la
combinación de la consolidación de servidores y de almacenaje. En pocas palabras,
nuestras soluciones se han creado para ayudarte a:
Minimizar los gastos de capital
Recortar los gastos operativos
Aumentar el nivel de tus servicios
Tabla de contenido:
1. Continuidad
2. Desarrollo
Palabras clave:
Referencias:
http://www.microsoft.com/spain/virtualizacion/solutions/continuity/default.mspx
http://www.microsoft.com/spain/virtualizacion/solutions/application-
development/default.mspx
http://www.microsoft.com/spain/virtualizacion/solutions/desktop/default.mspx
http://www.microsoft.com/spain/virtualizacion/products/server/default.mspx
http://www.microsoft.com/spain/virtualizacion/solutions/smb/default.mspx
55
http://www.microsoft.com/spain/virtualizacion/solutions/technology/default.mspx
http://www.microsoft.com/spain/virtualizacion/solutions/business-critical-
applications/default.mspx
RESUMEN
1. Soluciones de continuidad de negocio
Realizar la implementación de una estrategia fiable y de recuperación rápida
puede llevar demasiado tiempo y dinero, requerir infraestructuras superfluas de
servidores, almacenaje y redes. Debido a esto, muchas compañías simplemente
no pueden tener planes completos de continuidad de negocio para poder proteger
su infraestructura y sus aplicaciones más importantes.
Gracias a las soluciones de virtualización de continuidad de negocio se pueden
añadir opciones de alta disponibilidad y recuperación de desastres a tu negocio,
incluso si no puedes justificar el gasto y la complejidad de un centro de datos no
vitalizado. Además si ya tienes implementada la continuidad de negocio para
algunas de tus aplicaciones puedes utilizar la virtualización para llevar la
protección a cualquier aplicación adicional.
Windows Server 2008 Hyper-V ayuda a los TI a ofrecer flexibilidad en el
alojamiento físico y una alta disponibilidad en máquinas virtuales dentro y entre los
sitios. Microsoft Windows Server 2008 ofrece la plataforma de continuidad de
negocio más sólida, proporcionándote tecnologías reconocidas tales como
Network Load Balancing y Clustering dentro del propio sistema operativo.
Windows Server ofrece soporte para un amplio abanico de soluciones de
almacenaje compartido de manos de líderes del sector para ofrecer Quick
Migration y Live Migration así como tecnologías de administración de datos a
56
través de diversas ubicaciones y de replicación de datos. En resumen, las
soluciones de continuidad de negocio de la Virtualización Microsoft ofrecen los
siguientes beneficios:
Sacar más partido a los ahorros desde la consolidación hasta lograr ofrecer una
mejor continuidad de negocio
Implementar y mantener el mismo número o un número inferior de servidores al
tiempo que se hace posible la diversificación geográfica
Combinar las capacidades del partners y de Microsoft para lograr soluciones
rentables y de alto rendimiento
2. Soluciones para la automatización de laboratorios y para testeo
El desarrollo de software implica pruebas continuas, reproducción y solución de
bugs. El resultado es que los desarrolladores pueden invertir en torno al 30% de
su tiempo en el aprovisionamiento y las pruebas de caída de los entornos. Cuando
las aplicaciones ya están preparadas para la implementación de la producción, el
personal TI tiene que administrar las configuraciones de las aplicaciones en varias
etapas desde el lanzamiento hasta la producción, con oportunidades similares
para mejorar la eficacia de procesos y la utilización de los recursos.
Gracias a la virtualización, el personal dedicado al desarrollo y el testeo puede
ofrecer configuraciones de una forma rápida a partir de plantillas antiguas.
Después pueden probar las configuraciones y tomar capturas para registrar los
bugs y mejorar la utilización de los recursos mediante la consolidación de las
máquinas virtuales en un puñado de recursos físicos. Durante la implementación
de las aplicaciones, la virtualización facilita a tu personal TI las tareas de
aprovisionamiento, clonación, parcheo y pruebas antes de realizar la
implementación en la producción y archivar los sistemas de producción para la
protección de los datos del negocio.
Gracias a Windows Server 2008 con Hyper-V se consiguen mejoras en la
57
utilización gracias a las configuraciones de pruebas de virtualización en un puñado
de recursos físicos. Systems Center Virtual Machine Manager ofrece un portal self-
service por el que usuarios autorizados pueden ofrecer configuraciones simples.
También permite a los administradores la clonación de las máquinas virtuales con
fines de testeo. Systems Center Data Protection Manager permite la recuperación
y la creación de copias de seguridad rápidas de las configuraciones de
producción. Creado a partir de las capacidades contrastadas de Hyper-V, los
partners de Microsoft también ofrecen soluciones con capacidades completas
como la configuración de multimáquina y la protección de la red para probar
aplicaciones multi-capa.
En resumen, las soluciones de implementación y la implementación de
aplicaciones de Microsoft ofrecen estas ventajas clave:
Mejorar la utilización de los recursos
Incrementar la calidad de las aplicaciones al tiempo que se reduce el tiempo
invertido en su implementación
Aumentar el nivel del servicio al tiempo que se reduce el tiempo invertido en su
implementación
FICHA DE REGISTRO DOCUMENTAL
Código: sep10
Fuente No. 5 Elaboró: JRNN
Tipo de fuente: Documento web
Titulo: IDENTIFICAR Y MINIMIZAR LOS RIESGOS A LOS QUE ESTAN EXPUESTOS
LOS SISTEMAS DE LA EMPRESA
Autor:
58
IBM
Ubicación:
Descripción:
La continuidad de la empresa es vital para el éxito de negocio. En el mundo de hoy,
absolutamente interconectado, todos los aspectos del funcionamiento de una empresa
son vulnerables a las interrupciones. Por esta razón, su continuidad se ha convertido en
una preocupación que va más allá de las TI. Además, con el constante aumento de las
amenazas, garantizar la continuidad de la empresa con el método de "política de
seguros" para el peor caso posible ha quedado completamente obsoleto.
Pero, ¿cómo determinar los requisitos de continuidad y capacidad de recuperación de
su empresa? ¿Cómo identificar e integrar prioridades de negocios y de TI críticas en un
programa de continuidad completo? ¿Por dónde empezar?
Los servicios de continuidad y recuperación de negocio de IBM pueden ayudarle, desde
la planificación y diseño hasta la implantación y administración.
Tabla de contenido:
1. Creación de una infraestructura on demand
2. La necesidad
3. Como puede ayudar IBM
4. Productos y soluciones
Palabras clave:
59
Demand: prestación de servicios bajo demanda
Referencias:
http://www.ibm.com/co/systems/infrastructure/continuity_flat.phtml#need
http://www-05.ibm.com/services/es/bcrs/
RESUMEN
1. Creación de una infraestructura on demand
Cuanto más integra la empresa la tecnología de la información en cada faceta de sus
operaciones diarias, más importante resulta evitar interrupciones en el servicio,
independientemente de los factores externos. Cuanto más global y 24x7 se espera que
sea una empresa, más global y "siempre activa" debe estar la red. La continuidad de
negocio no incluye únicamente el "tiempo de actividad" del sistema; están también en
juego las operaciones, los beneficios e incluso su reputación empresarial.
60
2. La necesidad
Aplicaciones empresariales, potencia de proceso, conectividad, almacenamiento de
datos y acceso a bases de datos deben estar siempre protegidos frente a cualquier tipo
de interrupción; desde tiempos de inactividad planificados y caídas de la alimentación a
desastres naturales y errores humanos, que puedan dañar o destruir instalaciones
enteras. Para asegurar la disponibilidad continuada de los sistemas y de la información
para empleados, socios y clientes se necesita una planificación de una infraestructura
autónoma y de una arquitectura que pueda anticiparse y evitar amenazas, pero que
también asegure una recuperación rápida y la integridad de los datos si se produce una
interrupción.
61
3. Como puede ayudar IBM
IBM comienza con un enfoque metódico para conocer en profundidad
sus requisitos individuales de continuidad de negocio y disponibilidad.
Le podemos ayudar a concebir y a diseñar un plan de continuidad
que minimice o elimine las amenazas de interrupción, establezca
prioridades entre los requisitos críticos en el caso de que se vea
comprometida la disponibilidad y le ayude a minimizar el tiempo de
restauración. Las soluciones de continuidad de IBM utilizan la
experiencia en tecnología avanzada y en mejores prácticas en la
gestión de infraestructuras; respaldado por software de
automatización para la gestión de almacenamiento,
aprovisionamiento de servidor y gestión completa de la
disponibilidad.
62
Utilizamos funciones autónomas y adaptativas y concebimos una
combinación de capacidad de copia de seguridad en línea y fuera de
línea que se ajuste a sus requisitos exclusivos. En suma, IBM ofrece
soluciones y productos globalmente probados para crear una
excelente infraestructura de disponibilidad continuada, copia de
seguridad, y restauración y recuperación rápida de datos.
4. Productos y soluciones
En IBM, nuestro objetivo es ayudarle a impedir que se pierdan datos
y a proteger el valor de su marca. Le ayudamos a conseguirlo con
hardware, software y servicios que reducen la exposición a riesgos y
63
que mejoran el tiempo del ciclo de recuperación. Un elemento clave
consiste en ayudarle a gestionar sus actividades de continuidad y de
recuperación de desastres como un proceso comercial.
Soluciones:
Copia de seguridad y restauración
TotalStorage para continuidad de negocio
Tivoli Storage Manager para copia de seguridad y recuperación
Alta disponibilidad
Clústeres zSeries Parallel Sysplex
Ayuda a ofrecer una disponibilidad de las aplicaciones flexible y
sólida, recursos y datos compartidos, junto con equilibrio de cargas
de trabajo.
64
Parallel Sysplex geográficamente dispersos
Capacidad de recuperación de desastres y de disponibilidad de
aplicaciones casi continuada, en uno o varios sitios.
High Availability Cluster Multi Processing (HACMP) para AIX
Ayuda a conseguir una disponibilidad de las aplicaciones y una
continuidad de negocio que un hardware fiable solo no puede
ofrecer.
iSeries for High Avalibility
Ayuda a eliminar el tiempo de inactividad planificado y a reducir los
tiempos de inactividad no planificados; para los clientes que
necesitan disponibilidad 24x7.
Disponibilidad continua para Windows®
Diseñado para permitir instalaciones de clúster que abarcan sitios
dispersos y ayudar a proteger clientes frente a desastres o errores de
almacenamiento.
65
FICHA DE REGISTRO DOCUMENTAL
Código: sep10
Fuente No. 6 Elaboró: JRNN
Tipo de fuente: Documento web
Titulo: PLANTILLA DEL PLAN DE RECUPERACION DE DESASTRES DE
CONTINUIDAD DE NEGOCIO
Autor:
Janco Associates, Inc.
Ubicación: http://e-janco.com/drp.htm
Descripción:
Todos los de Continuidad de Negocio / Los planes de recuperación de desastres
debe incluir cómo los empleados se comunican, donde van a ir y cómo van a
seguir haciendo su trabajo. Los detalles pueden variar mucho, dependiendo del
tamaño y el alcance de una empresa y la forma en que hace negocios. Para
algunas empresas, cuestiones como la logística de la cadena de suministro son
más importantes y son el foco en el plan. Para otros, la tecnología de la
66
información puede desempeñar un papel más fundamental, y la continuidad del
negocio o en el plan de recuperación de desastres pueden tener más de un foco
en la recuperación de sistemas.
Pero el punto crítico es que ninguno de los elementos se puede ignorar, y física,
informática y planes de recursos humanos no pueden desarrollarse en forma
aislada unos de otros. (En este sentido, la recuperación de Continuidad de
Negocio / Desastres tiene mucho en común con la convergencia de la
seguridad.) En su corazón, de Continuidad de Negocio de Recuperación /
Desastres se trata de una comunicación constante.
Desastres Janco Plan de Recuperación (DRP) es que la herramienta que se
puede utilizar como una plantilla de planificación de desastres para cualquier
tamaño de empresa. La plantilla y el material de apoyo se han actualizado a la
ley Sarbanes-Oxley y HIPAA. Themplate viene como un documento de Word y
una estática totalmente indexada en formato PDF. El DRP / BCP Plantilla que
incluye:
Plan de Recuperación de Desastres y la Plantilla de Continuidad de Negocio
(WORD y PDF)
Impacto en el negocio y TI análisis de los cuestionarios
Plan de Trabajo
De recuperación de desastres / continuidad de negocio Programa de Auditoría
Lista de planificación pandémica
Tabla de contenido:
1. Estándar de Recuperación de Desastres y continuidad del
Negocio.
67
2. La edición Premium de Desastres de Continuidad de
Negocio de plantilla
3. Recuperación de Desastres de Continuidad de Negocio para
oficinas remotas.
4. DRP y Planes de seguridad clave para el cumplimiento.
5. ¿Por qué es la continuidad de desastres y planificación de
negocios importante?
Palabras clave:
Referencias:
http://e-janco.com/drp.htm
RESUMEN
1. Estándar de recuperación de Desastres y Continuidad del negocio
Preparación para la Recuperación de Desastres Continuidad de Negocios a la luz de la
SOX tiene dos partes principales. La primera es la organización de sistemas para
proteger por completo todos los datos financieros y de otra índole necesarias para
cumplir con las normas de presentación de informes y archivar los datos para satisfacer
68
las futuras solicitudes de aclaración de los informes. El segundo es el de documentar de
manera clara y expresa todos estos procedimientos para que en el caso de una
auditoría SOX, los auditores ver claramente que el PRD existe y adecuada para proteger
los datos.
Retención de Copias de Seguridad y Política de copia de seguridad
Recuperación de Desastres del Programa de Auditoría
El cumplimiento de las normas de la serie ISO 27000 (anteriormente ISO 17799
ya ISO 27001 y ISO 27002), la Ley Sarbanes-Oxley, PCI DSS, HIPAA y
Sitio Web de Recuperación por Desastre Planificación Formulario
Situación del proyecto Formulario de Informe
Informe de Personal Ubicación
Departamento de Recuperación de Desastres de activación libro
o Guía de Referencia Rápida
o Equipo de Alerta de la lista (formulario)
o DRP Responsabilidades del equipo
o DRP Lista de Equipo
o Función crítica (s) Definición
o Normal de negocios Procedimientos horas de respuesta
o Después de horas de Procedimientos de Respuesta
o Ubicación DRP (s) Definición
o DRP Procedimientos de recuperación
o Los procedimientos de notificación
o Notificación lista de llamadas (formulario)
Actualización de Negocios y TI Cuestionario de Análisis de Impacto
Recuperación de Desastres de proveedores Cuestionario
Teléfono del vendedor Lista Formulario Actualización
Formulario de Notificación de los clientes clave
Recursos Críticos para ser Obtenido Formulario
Continuidad del Negocio de Materiales de la web fuera de forma
Continuidad de Negocios Programa de Auditoría
69
2. La edición Premium de Desastres de Continuidad de
Negocio de plantilla
La edición especial contiene 15 descripciones de empleo a jornada completa.
Ellos son:
Director General de Información
Director de Seguridad
Director de Cumplimiento
Vicepresidente de Estrategia y Arquitectura
Director de Recuperación de Desastres y Continuidad del Negocio
Director de Comercio Electrónico
Administrador de recuperación de desastres
Administrador de recuperación de desastres y continuidad de negocio
Coordinador de Recuperación de Desastres
Recuperación de Desastres - Supervisor de Proyectos Especiales
Administrador de Base de Datos
Capacidad Supervisor de Planificación
Administrador de medios de apoyo de Bibliotecas
Gerente de Gestión del Sitio
Pandemia de Coordinador
3. Recuperación de Desastres de Continuidad de Negocio para oficinas
remotas
Los datos que residen fuera del centro de datos en oficinas remotas y sucursales
(Robos) representa una parte significativa de la información de almacén de una
empresa, sin embargo, a menudo ni se protege con ineficientes procesos de copia de
seguridad o no está protegido en todo - dejando a las empresas en situación de riesgo
en muchos frentes .
En un informe de investigación reciente, los proyectos prioritarios de alto Robos incluye
mejorar las medidas de seguridad de la información, asegurar el cumplimiento con el
70
gobierno, la industria o el gobierno mandatos corporativos, y la mejora de Recuperación
por Desastre de Continuidad de Negocio procesos.
4. DRP y Planes de seguridad clave para el cumplimiento
Preparándose para un desastre requiere una planificación detallada de preparación y
pruebas. Saber lo que los activos de TI necesitan ser recuperado, cuando para
recuperarlos y la forma de recuperar es la esencia de TI de recuperación de desastres .
El reto más difícil es el mapeo de los requerimientos del negocio prioridad a los activos
de TI para que la recuperación puede ser un montaje. La estrategia de recuperación a
continuación, se desarrolla sobre la base de las opciones disponibles que apoyen los
objetivos de recuperación necesario. La recuperación de desastres planes resultantes
contienen toda la información que detalla a dónde ir, quién va a hacer qué y la
información necesaria para la reconstrucción de servidores, aplicaciones y restaurar los
datos así como reiniciar y procedimientos de sincronización.
5. ¿Por qué es la continuidad de desastres y planificación de negocios
importante?
Federales, estatales y gobiernos locales son fletados para mitigar y controlar
el evento, proporcionar y medidas de seguridad la vida, a continuación, restaurar
las infraestructuras. La Cruz Roja ofrece ayuda de emergencia en forma de
alimentos, la salud y la vivienda. Si está asegurado, una compañía de seguros se
asentarán las reclamaciones por daños y proporcionar ayuda monetaria. Sin
embargo, ninguna de estas organizaciones, o puede, recuperar su negocio. La
recuperación de su empresa es estrictamente de usted, y comienza con una
sólida continuidad del negocio / plan de recuperación de desastres .
Si su experiencia de la empresa de un desastre, las primeras 72 horas
después del incidente será el más crítico en la recuperación de sus esfuerzos.
¿Cómo responde usted durante ese período se determinará si su negocio va a
sobrevivir o no. Además, la hora más importante es el que inmediatamente
71
después del evento. Si alguna vez es necesario, su plan de continuidad de
negocio le permitirá responder de una manera sistemática y organizada. Guiará
a su organización, paso a paso, de responder al evento real todo el camino hasta
la ocupación total de sus instalaciones reparadas.
FICHA DE REGISTRO DOCUMENTAL
Código: sep10
Fuente No. 7 Elaboró: JRNN
Tipo de fuente: Documento web
Titulo: GESTION DE CONTINUIDAD DEL NEGOCIO
Autor: Ignacio Galicia (Ingeniería Clientes de Nextel S.A. – Bilbao)
Ubicación:
www.navactiva.com
Descripción:
Dando un paso más, no deberíamos conformarnos únicamente con
un Plan de Continuidad de Negocio estático, que pueda quedar
obsoleto con los cambios que pueda sufrir la organización, debemos
pensar en un sistema que nos permita gestionar este plan; un
Sistema de Gestión de la Continuidad de Negocio (BCMS:
Bussines Continuity Management System).
72
Tabla de contenido:
1. Garantizar planes estratégicos.
2. Beneficios Reales
Palabras clave:
Referencias:
http://www.navactiva.com/es/documentacion/la-gestion-de-la-continuidad-de-
negocio_50729
RESUMEN
1. Garantizar planes estratégicos
Un BCMS es una de las principales herramientas de la dirección de las
organizaciones para poder valorar a largo y medio plazo los principales riesgos a
los que se van a enfrentar de cara a su supervivencia última; una adecuada
Gestión de la Continuidad de Negocio nos posibilitaría el poder garantizar la
efectividad de los planes estratégicos a largo plazo.
Un BCMS se compone de un núcleo estratégico operativo, conformado por un
conjunto de módulos que permiten afianzar la planificación estratégica de la
73
organización sobre una sólida base. Este núcleo es capaz de garantizar la
continuidad del negocio y, por lo tanto, la viabilidad de las inversiones y planes
estratégicos desarrollados sobre dicha premisa de continuidad. El desarrollo del
núcleo estratégico operativo que constituye el BCMS es algo de enorme
complejidad por lo que es habitual el encontrarse con dificultades a la hora de
desplegar una estrategia de continuidad de negocio realista, práctico y
abordable. Es fundamental que el BCMS sea operativo y que refleje las
necesidades y las expectativas reales de la organización. Por ello, a la hora de
abordar este tipo de proyectos es importante apoyarse en estándares, modelos
maduros reconocidos internacionalmente. Además, en organizaciones ya
acostumbradas a normas de calidad como la ISO 14000 sobre gestión ambiental,
o la ISO/TS 16949:2009, que marca requisitos particulares de la ISO 9001:2008
para proveedores del sector automotriz, el hecho de adoptar metodologías
basadas en estándares de calidad hace que la tarea sea menos ardua.
Ya existe una norma de reconocido prestigio de la entidad de estandarización
británica British Standard Institute (BSI) enfocada a la gestión de la continuidad
de negocio; la BS25999.
2. Beneficios reales
Una vez decididos a implantar y certificar un BCMS según la norma BS25999,
¿qué beneficios reales obtengo a partir de ello? La recuperación del esfuerzo
e inversión que supone el implantar un sistema de este tipo nos aporta una serie
de beneficios a corto medio plazo: apoyamos la consecución de nuestro Plan de
Negocio, aumentamos la credibilidad de nuestra organización tanto de cara a
nuestros clientes como de cara a nuestros proveedores, optimizamos la gestión
de riesgos, garantizamos la conformidad con requerimientos regulatorios y
reducimos los costes ante fallos e incidentes garantizando la proporcionalidad de
las acciones previstas e incluyendo la posibilidad de conseguir primas de
74
seguros más bajas.
Resumiendo, hemos de intentar ver las crisis como oportunidades de
crecimiento, aunque para ello debemos estar preparados para asumirlas. Un
Plan de Continuidad de Negocio es algo en lo que toda organización debería
invertir ya que un buen PCN puede ser la diferencia entre un bache o un abismo.
Y una vez que tenemos un PCN debemos considerar el que éste sea gestionado,
mantenido y mejorado, en definitiva: BCMS. Necesario para la organización No
pensemos en si un BCMS es necesario para nuestra organización. La respuesta
es sí, pensemos en la extensión o el alcance que deberíamos dar al mismo,
llegando a un entente entre coste y riesgo que estemos dispuestos a asumir.
FICHA DE REGISTRO DOCUMENTAL
Código: oct09
Fuente No. 10 Elaboró: JRNN
Tipo de fuente: Documento PDF
Titulo: AUDITAR BCP, DRP
Autor:
SISTESEG CORPORATION
Ubicación:
Descripción:
Proveer información sobre los principales aspectos en que debería concentrarse un
auditor en la revisión de un DRP
75
Generalizar los conceptos presentados para la evaluación de Planes de Continuidad.
Tabla de contenido:
11. Que auditar
12. Como Auditar
13. Por que Auditar
Palabras clave:
Referencias:
RESUMEN
1. Que auditar Lo que profesionalmente debe realizarse
Lo establecido en buenas prácticas (DRI, ISO, NIST) y Lo definido por la
Organización (TI, Seguridad Física, Alta Gerencia).
Visión de COBIT
Planeación y Organización
Definir un plan estratégico de TI
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización y relaciones de TI
Manejo de la inversión en TI
76
Comunicación de directrices Gerenciales
Administración del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluación de Riesgos
Administración de Proyectos
Administración de Calidad
Adquisición e implementación
Identificación de soluciones
Adquisición y mantenimiento de SW aplicativo
Adquisición y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalación y Acreditación de sistemas
Administración de Cambios
Servicios y Soporte
Definición del nivel de servicio
Administración del servicio de terceros
Administración de la capacidad y el desempeño
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificación y asignación de costos
Capacitación de usuarios
Soporte a los clientes de TI
Administración de la configuración
Administración de problemas e incidentes
Administración de datos
Administración de Instalaciones
Administración de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditoría independiente
COBIT
77
DS4- Asegurar el servicio continúo
Framework de Continuidad de TI
La Gerencia de TI, en cooperación con los propietarios de los procesos de negocio,
debe establecer un framework de continuidad.
Modelos de Seguridad de la Información
ISO-17799 – Componentes de un framework de seguridad
Modelos de Seguridad de la Información
NIST – SP800- 34 – BCP
79
COBIT DS4- Asegurar el servicio continuo
Framework de Continuidad de TI
La Gerencia de TI, en cooperación con los propietarios de los procesos de
negocio, debe:
Establecer un framework de continuidad el cual define:
- Roles, tareas y responsabilidades (estructura organizacional) Proyecto vs. Proceso: Personal interno y externo (usuarios y proveedores de
servicios)
- Enfoque metodológico consistente basado en riesgos utilizar Recursos críticos - Riesgos – Amenazas – Vulnerabilidades -
Contramedidas (eficacia vs. Niveles requeridos) –
Dependencias claves
- Reglas, estructuras y procedimientos para documentar, aprobar, probar y ejecutar el Plan de Continuidad
COBIT
80
DS4- Asegurar el servicio continúo
Estrategia y filosofía del Plan de Continuidad de TI
La Gerencia deberá:
Asegurar que el Plan de Continuidad de TI esté en línea con el Plan de
continuidad general para asegurar consistencia.
Además, el Plan de Continuidad de TI debe considerar los planes a largo y a
corto plazo para asegurar consistencia.
Contenido del Plan de Continuidad de TI - Guías sobre como utilizar el Plan de Continuidad - Procedimientos de emergencia para asegurar la seguridad física de
todos los miembros del staff afectados - Procedimientos de respuesta definidos para permitirle al negocio
retornar al estado en que se encontraba antes del incidente o desastre - Procedimientos de recuperación - Procedimientos para salvaguardar y reconstruir las instalación e de
procesamiento normales - Procedimientos de coordinación con las autoridades públicas - Procedimientos de comunicación con los interesados, empleados,
clientes clave, proveedores críticos, accionistas y gerencia - Información crítica sobre equipos de continuidad, personal afectado,
clientes, proveedores, autoridades públicas y medios de comunicación
2. Como Auditar El proceso de Auditoria
82
Tipo de Auditoria
Verificación de cumplimiento
Comparación contra buena práctica o Certificación o Cumplimiento de Objetivos de Control o CMM (Capability Maturity Model)
Basada en Riesgos
Auditoría Puntual vs. Auditoría Continua
3. Por que Auditar
Revisar para determinar lo adecuado de los Planes
Qué tan bueno es?
Qué tan actualizado está? Descubrir deficiencias serias sobre una base oportuna antes de que la organización
deba implementarlas en una situación catastrófica real – DISMINUIR SORPRESAS
Perspectiva independiente y fresca
Mayor aseguramiento a la gerencia
Motivación para una mayor calidad durante la elaboración del Plan
Facilitar la justificación de provisiones