guia desarrollo plan continuidad negocio

7/29/2019 Guia Desarrollo Plan Continuidad Negocio

1/74

Escuela Universitaria de Informtica

Universidad Politcnica de Madrid

Gua de Desarrollo de un Plan de

Continuidad de Negocio

Autora: Laura del Pino Jimnez

Director de Tesis: Jorge Rami Aguirre

Fecha del trabajo or iginal: julio 2007


2/74

BREVE CURRICULUM VITAE DE LA AUTORA (diciembre de 2008)

Laura del Pino es Ingeniero Tcnico en Informtica de Sistemas por la Universidad

Politcnica de Madrid. Ha realizado el Curso Superior de Direccin de Seguridad de

la Informacin del IADE de la Universidad Autnoma y es CISA por la ISACA.

Comenz a trabajar en Seguridad informtica en KPMG como NITSO, National

Information Security Officer, pasando en el ao 2000 a formar parte de AZERTIA

como Consultor Senior de Seguridad. Actualmente desarrolla su carrera profesionalen el departamento de Seguridad de INDRA.

NOTA DEL DIRECTOR DE TESIS

Laura realiz su Trabajo Fin de Carrera en la Escuela Universitaria de InformticaEUI de la Universidad Politcnica de Madrid en este tema en el ao 2007, ocasin

en la que tuve la grata oportunidad de ser su tutor de tesis, como profesor del

departamento de Lenguajes, Proyectos y Sistemas Informticos LPSI.

A mediados de 2008 le ped que hiciese un breve resumen de esa tesis para

publicarlo en Internet como documento de libre distribucin, con el objeto de que

fuese una gua prctica y de fcil entendimiento. Este es el feliz resultado de

dicho trabajo.

Agradezco a Laura en todo su valor el esfuerzo que ha realizado, conociendo el

poco tiempo libre que le dejan sus actividades profesionales que desarrolla en

esta importante rea de la seguridad de la informacin.

Madrid, marzo de 2009.


3/74

Gua de Desarrollo de Plan de Continuidad de Negocio

ndice

NDICE


4/74


ndice

1. INTRODUCCIN ....................................................................................................................... 12. OBJETO DE LA GUIA ............................................................................................................... 23. ANTECEDENTES ........................................................................................................................ 34. QU ES UN PLAN DE CONTINUIDAD DE NEGOCIO? ................................................ 55. POR DNDE EMPEZAMOS ..................................................................................................... 76. FASE I. ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS ............................ 9

6.1 ANLISIS DE IMPACTO ................................................................................................... 106.1.1 RELACIN DE PROCESOS.................................................................................................... 116.1.2 RELACIN DE APLICACIONES............................................................................................... 116.1.3 RELACIN DE DEPARTAMENTOS Y USUARIOS ....................................................................... 126.1.4 DETERMINAR LOS PROCESOS CRTICOS............................................................................... 126.1.5 PERIODO MXIMO DE INTERRUPCIN...................................................................................12

6.2 ANLISIS DE RIESGOS ................................................................................................... 146.2.1 IDENTIFICAR ACTIVOS ......................................................................................................... 156.2.2 IDENTIFICAR AMENAZAS ...................................................................................................... 166.2.3 EVALUAR VULNERABILIDADES ............................................................................................. 176.2.4 EVALUACIN DEL IMPACTO ................................................................................................. 186.2.5 EVALUACIN DEL RIESGO ................................................................................................... 186.2.6 EVALUAR CONTRAMEDIDAS................................................................................................. 20

7. FASE II. ESTRATEGIA DE RESPALDO ............................................................................ 227.1 SELECCIN DE ESTRATEGIAS ........................................................................................ 22

8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD............................................ 258.1 ORGANIZACIN DE LOS EQUIPOS.................................................................................. 25

8.1.1 EQUIPO DIRECTOR O COMIT DE CRISIS ............................................................................... 268.1.2 EQUIPO DE RECUPERACIN ................................................................................................ 268.1.3 EQUIPO LOGSTICO............................................................................................................. 268.1.4 EQUIPO DE RELACIONES PBLICAS Y ATENCIN A CLIENTES.................................................. 278.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO ............................................................................... 27

8.2 DESARROLLO DE PROCEDIMIENTOS ............................................................................ 288.2.1 FASE DE ALERTA ................................................................................................................ 298.2.2 FASE DE TRANSICIN ......................................................................................................... 31


5/74


ndice

8.2.3 FASE DE RECUPERACIN .................................................................................................... 328.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA ................................................ 338.2.5 GENERACIN DE INFORMES Y EVALUACIN.......................................................................... 33

9. FASE IV. PRUEBAS Y MANTENIMIENTO ....................................................................... 349.1 PRUEBAS ............................................................................................................................ 34

9.1.1. OBJ ETIVOS DEL PLAN DE PRUEBAS ...................................................................................... 349.2 TIPOS DE PRUEBAS ......................................................................................................... 34

9.2.1. EJ ERCICIOS TCNICOS ................................................................................................... 359.2.2. TEST COMPLETO............................................................................................................ 35

9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD............................................................ 36ANEXOS ............................................................................................................................................... 37ANEXO I CUADROS DE RECOGIDA DE DATOS ANLISIS DE IMPACTO ................................. 38ANEXO II - LISTADO DE AMENAZAS ................................................................................................ 41ANEXO III EJEMPLOS DE VULNERABILIDADES.......................................................................... 43ANEXO IV EJEMPLO RBOL DE LLAMADAS............................................................................... 44ANEXO V SITIOS DE INTERS........................................................................................................ 45CASO DE ESTUDIO............................................................................................................................. 47

ANTECEDENTES ............................................................................................................................. 47ANLISIS DE IMPACTO ................................................................................................................ 48

COMPONENTESDELOSPROCESOS ...................................................................................... 48PROCESOPEDIDOS................................................................................................................... 48PROCESODENMINAS ............................................................................................................ 50

TIEMPO MXIMO DE RECUPERACIN DE LOS PROCESOS .................................................. 52ANLISIS DE RIESGOS ................................................................................................................ 53

INVENTARIODEACTIVOS ......................................................................................................... 53LISTADODEAMENAZAS ............................................................................................................ 53VULNERABILIDADES .................................................................................................................. 54EVALUACINDERIESGOS ....................................................................................................... 55RECOMENDACIONES-CONTRAMEDIDAS.............................................................................. 55

ESTRATEGIA DE RECUPERACIN .............................................................................................. 56DESARROLLO DEL PLAN .............................................................................................................. 57

COMITDECRISIS ..................................................................................................................... 57EQUIPODERECUPERACIN .................................................................................................... 58


6/74


ndice

EQUIPODECOORDINACINLOGSTICA................................................................................. 59EQUIPODERELACIONESPBLICAS ....................................................................................... 60EQUIPODELASUNIDADESDENEGOCIO ............................................................................... 61

FASE DE ALERTA ........................................................................................................................... 62PROCEDIMIENTO DE NOTIFICACIN DEL DESASTRE ............................................................................ 62PROCEDIMIENTO DE EJ ECUCIN DEL PLAN........................................................................................ 62PROCEDIMIENTO DE NOTIFICACIN DE EJ ECUCIN DEL PLAN ............................................................. 62

FASE DE TRANSICIN.................................................................................................................. 64PROCEDIMIENTO DE CONCENTRACIN Y TRASLADO DE MATERIAL Y PERSONAS................................... 64PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIN ......................................... 64

FASE DE RECUPERACIN ............................................................................................................ 65PROCEDIMIENTO DE RESTAURACIN ................................................................................................ 65PROCEDIMIENTO DE SOPORTE Y GESTIN......................................................................................... 65

FASE DE VUELTA A LA NORMALIDAD ....................................................................................... 66ANLISIS DEL IMPACTO .................................................................................................................... 66ADQUISICIN DE NUEVO MATERIAL ................................................................................................... 66FIN DE LA CONTINGENCIA................................................................................................................. 66

CONCLUSIONES............................................................................................................................. 67BIBLIOGRAFA..................................................................................................................................... 68


7/74


Introduccin

1

1. INTRODUCCIN

Dentro de la Gestin de la Seguridad de la Informacin en una compaa esimportante contar con un plan alternativo que asegure la continuidad de laactividad del Negocio en caso de que ocurran incidentes graves.

Tradicionalmente, los Planes de Continuidad, denominados Planes deContingencia en sus orgenes, estn asociados a grandes compaas quenecesitan reaccionar de forma inmediata ante cualquier evento que interrumpasus servicios. La realidad es que cualquier compaa puede sufrir un incidenteque afecte a su continuidad y, dependiendo de la forma en que se gestione dichoincidente, las consecuencias pueden ser ms o menos graves.

Esta gua pretende desglosar las actividades necesarias para desarrollar un Plande Continuidad de Negocio, proporcionando plantillas y ejemplos que ayuden allector a entender cada una de las fases y tareas que componen el Plan.

Es importante destacar que la gua puede servir para desarrollar un Plan deContinuidad de Negocio tanto en una gran compaa como en una Pyme, aunqueconsecuentemente el tiempo, el esfuerzo y el presupuesto a emplear variarnsensiblemente.


8/74


Objeto de la Gua

2

2. OBJETO DE LA GUIA

Una de las motivaciones que me ha llevado a desarrollar esta gua es la pocainformacin que he encontrado que contenga una descripcin detallada de lasfases y tareas que componen un Plan de Continuidad. Por ello, los principalesobjetivos son:

o Dar a conocer la importancia del Plan de Continuidad de Negocio parahacer frente a incidentes graves de seguridad en una compaa.

o Desarrollar una Gua completa sobre Continuidad de Negocio, donde semuestren cada una de las fases que componen el Plan.

o Resumir de forma clara y sencilla cada una de las actividades a desarrollardentro de las Fases del Plan de Continuidad.

o Establecer ejemplos ilustrativos que ayuden a confeccionar un Plan deContinuidad.


9/74


Antecedentes

3

3. ANTECEDENTES

A la velocidad con la que operan los negocios actuales un incidente de unaspocas horas de duracin puede tener un impacto catastrfico en los resultados yen la imagen de la organizacin que lo sufra.

La ntima dependencia que existe entre el negocio y los sistemas de informacinexige que stos estn preparados para afrontar las mltiples amenazas queponen en riesgo su operatividad y, en consecuencia, la continuidad del negocio.El incendio ocurrido en el Edificio Windsor en Madrid en el mes de febrero de2005 o el Huracn Katrina en agosto de ese mismo ao, son dos ejemplos quevienen a sumarse a sucesos, como los atentados del 11-S del ao 2001. Sin

embargo, en no pocas ocasiones no es necesario un desastre de dimensionesparecidas a las de los mencionados anteriormente para poner en peligro no slola buena marcha del negocio sino su misma supervivencia; eventos como lairrupcin de un virus o la instalacin de un parche de seguridad pueden conducira la inoperabilidad temporal de los sistemas, la prdida de informacin crtica o,en ltima instancia, la inutilizacin de las infraestructuras.

Tipos de incidentes

No slo las catstrofes ambientales, tales como incendios o inundaciones,pueden causar daos adversos a una organizacin. Otros tipos de incidentes,como los que se detallan a continuacin, pueden tener impactos adversos parauna compaa:

Incidentes serios de seguridad en los sistemas, como delitoscibernticos, prdida de informacin, robo de informacin sensible osu distribucin accidental, fallos en los sistemas IT, errores deoperacin en los sistemas, etc.

Daos en las infraestructuras o en los servicios, fallos en elsuministro elctrico, fallos en el suministro de agua, fallos en lascomunicaciones, huelgas en los servicios de limpieza.

Fallos en los equipos o en los sistemas, incluyendo fallos en lasfuentes de alimentacin, en los equipos de refrigeracin.

Daos deliberados como actos de terrorismo o de sabotaje, guerras,robos, huelgas, etc.

Los accidentes afectan de forma diferente a cada organizacin, dependiendo desu tamao y de su rea de actividad, no siendo el tamao una caracterstica


10/74


Antecedentes

4

fundamental; las pequeas y medianas organizaciones tambin pueden verseseriamente afectadas.

Las consecuencias de estos accidentes sobre las organizaciones que no tienen unplan de continuidad de negocio pueden llegar a ocasionar incluso el cierre de lasmismas. Tomemos como ejemplo las siguientes cifras:

Un 43% de las organizaciones despus de un accidente no podrncontinuar sus operaciones vindose obligadas a cerrar.

Un 80% tendrn que hacerlo en menos de 13 meses.

Un 53% de los clientes de estas organizaciones no recuperarn lasprdidas causadas por los daos derivados.

Un 50% se vern forzadas a cerrar antes de cinco aos despus deldesastre.

Fuente: Cmara de Comercio de Londres

A pesar de que los efectos inmediatos de un desastre aparentemente son laprdida de beneficios por la parada de actividad puntual y la incapacidad paraproveer servicios crticos, no son stos los efectos ms perniciosos que unincidente de este tipo provoca.

Otros efectos derivados que pueden causar un gran impacto en la compaa sonla prdida de reputacin de cara a los clientes, o la prdida de ventajacompetitiva con otras compaas.


11/74


Qu es un Plan de Continuidad de Negocio?

5

4. QU ES UN PLAN DE CONTINUIDAD DE NEGOCIO?

Un Plan de Continuidad de Negocio se compone de varias fases que comienzancon un anlisis de los procesos que componen la organizacin. Este anlisisservir para priorizar qu procesos son crticos para el negocio y establecer unapoltica de recuperacin ante un desastre. Por cada proceso se identifican losimpactos potenciales que amenazan la organizacin, estableciendo un plan quepermita continuar con la actividad empresarial en caso de una interrupcin.

Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia,est orientado al mantenimiento del negocio de la organizacin, con lo quepriorizar las operaciones de negocio crticas necesarias para continuar en

funcionamiento despus de un incidente no planificado.En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntasclave:

Cules son los recursos de informacin relacionados con los procesoscrticos del negocio de la compaa?

Cul es el perodo de tiempo de recuperacin crtico para los recursosde informacin en el cual se debe establecer el procesamiento del negocioantes de que se experimenten prdidas significativas o aceptables?

Un Plan de Continuidad reducir el nmero y la magnitud de las decisiones quese toman durante un perodo en que los errores pueden resultar mayores. El Planestablecer, organizar y documentar los riesgos, responsabilidades, polticas yprocedimientos, acuerdos con entidades internas y externas.

La activacin de un Plan de Continuidad debera producirse solamente ensituaciones de emergencia y cuando las medidas de seguridad hayan fallado.

BENEFICIOS

Identifica los diversos eventos que podran impactar sobre la continuidadde las operaciones y su impacto financiero, humano y de reputacin sobrela organizacin.

Obliga a conocer los tiempos crticos de recuperacin para volver a lasituacin anterior al desastre sin comprometer al negocio.

Previene o minimiza las prdidas para el negocio en caso de desastre. Clasifica los activos para priorizar su proteccin en caso de desastre.

Aporta una ventaja competitiva frente a la competencia.


12/74


Qu es un Plan de Continuidad de Negocio?

6

Fomenta e implica a los recursos humanos de la compaa en lasactividades de continuidad.

QUIEN DEBE TENER UN PLAN DE RECUPERACIN?

Una pregunta que podemos hacernos es si el tamao de una organizacindetermina la necesidad o no de tener un Plan de Continuidad. Se puederesponder a esta pregunta diciendo que NO. Si una organizacin es muy grande,con beneficios millonarios, con grandes edificios y gran nmero de empleados, osi se trata de una persona trabajando en una pequea oficina con 5 empleados,ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a lospocos recursos y a las pocas opciones de respuesta ante un desastre, en algunoscasos sera ms vital desarrollar un Plan de Recuperacin de Negocio para lospequeos negocios que para las grandes corporaciones.


13/74


Por Dnde Empezamos?

5. POR DNDE EMPEZAMOS

Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por

obtener un conocimiento de la compaa: sus productos/servicios, sus objetivosempresariales, procesos internos, etc.

No es lo mismo un Plan de Continuidad para una empresa de servicios deInternet que para una empresa fabricante de juguetes. Aunque en ambos casosel objetivo ser el de seguir dando servicio a sus clientes, las actividades yprocesos sobre las que se soporta la empresa tendrn diferentes prioridades derecuperacin ante una contingencia grave.

El propsito general de un Plan de recuperacin es obtener un mapa deacciones que reduzcan la toma de decisiones durante las operaciones derecuperacin, restaure los servicios crticos rpidamente y permita un normalfuncionamiento de los sistemas y procesos lo antes posible, minimizando costesy aumentando la efectividad.

Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:

Figura 1. Diagrama de Fases del P lan de Continuidad

7


14/74


Por Dnde Empezamos?

8

FASE I ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS

Se trata de obtener un conocimiento de los objetivos de negocio y de los

procesos que se consideran crticos para el funcionamiento de la compaa. Unavez identificados los procesos crticos, se analizarn cules son los riesgosasociados a dichos procesos para identificar cules son las causas potencialesque pueden llegar a interrumpir un negocio.

FASE II SELECCIN DE ESTRATEGIAS

Esta fase tiene dos objetivos:

Por un lado, valorar las diferentes alternativas y estrategias de respaldo enfuncin de los resultados obtenidos en la fase anterior, para seleccionar lams adecuada a las necesidades de la compaa.

Por otro lado, corregir las vulnerabilidades detectadas en los procesoscrticos de negocio identificadas en el Anlisis de Riesgos.

FASE III- DESARROLLO DEL PLAN

Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e

implantarla dentro de la compaa. En esta fase se desarrollan losprocedimientos y planes de actuacin para las distintas reas y equipos, y seorganizan los equipos que intervienen en cada fase del Plan.

FASE IV PRUEBAS Y MANTENIMIENTO

Una parte importante del Plan de Continuidad, es conocer que realmentefunciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza laprueba del Plan, para afinarlo segn los resultados. Adems, en esta ltima fasese definirn los procedimientos de mantenimiento del Plan.


15/74


FASE I. Anlisis del Negocio y Evaluacin de Riesgos

9

6. FASE I. ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS

Para desarrollar un Plan de Continuidad con garanta de xito, lo primero es

conocer y entender cules son los procesos de negocio que son esenciales dentrode la compaa en la que se va a desarrollar el Plan, con el objetivo de asegurarla continuidad de la actividad en caso de contingencia. Para ello debemosempezar por responder a cuestiones tales como:

Cules son las actividades ms importantes para la compaa?

Cmo afectara econmicamente una interrupcin de los servicios a medidaque va pasando el tiempo sin reanudar el servicio?

Cul sera la capacidad operativa de la empresa a medida que pasa eltiempo?

Cul es el plazo mximo para volver a la normalidad sin llegar a incurrir engraves prdidas?

Las actividades/procesos que se clasifican como esenciales dentro de unacompaa suelen ser en su mayora los Operacionales. Estos procesos interactandirectamente con los clientes o con otras organizaciones externas a la compaa

(Dpto. de Ventas, Dpto. Atencin al Cliente, etc.). Tambin es posible, que estosprocesos dependan de otros internos, que tambin deben ser analizados.

Para conocer cules son las necesidades de la compaa en cuanto a estrategiasde continuidad, vamos a utilizar dos mecanismos de anlisis:

Anlisis de Impacto (BIA Business Impact Analysis): Nos permitiridentificar la urgencia de recuperacin de cada funcin de negocio, determinandoel impacto en caso de interrupcin. Esta informacin nos permitir seleccionarcul es la estrategia ms adecuada.

Anlisis de Riesgos: El Objetivo de un anlisis de riesgos es identificar yanalizar los diferentes factores de riesgo que potencialmente podrn afectar a lasactividades que queremos proteger. La evaluacin de riesgos supone imaginarselo que puede ir mal y a continuacin estimar el impacto que supondra para laorganizacin. Se ha de tener en cuenta la probabilidad de que sucedan cada unode los problemas posibles. De esta forma se pueden priorizar los problemas y sucoste potencial desarrollando un plan de accin adecuado.


16/74



10

6.1 ANLISIS DE IMPACTO

El Anlisis de Impacto es esencial para establecer una estrategia derecuperacin, que en principio dar continuidad a las actividades crticas yposteriormente al resto, si es posible.

El nivel de criticidad de una actividad dentro de la compaa se mide en funcinde lo dependiente de ella, que es la organizacin y de lo que repercutira suindisponibilidad. En trminos econmicos esta valoracin sera responder a lapregunta de cunto perdera la organizacin si la actividad/proceso no estuvieradisponible.

Dentro del Anlisis de Impacto podemos distinguir las siguientes actividades:

Obtencin de la Relacin de Procesos: Establecer los procesos denegocio que se realizan en la compaa.

Obtencin de la Relacin de Aplicaciones: Establecer la relacin deaplicaciones que soportan los procesos de la compaa.

Relacin de Departamentos y Usuarios: Se identifican losdepartamentos que hay en la empresa y el nombre de las personas que la

componen y que intervienen en los procesos. Determinar cules son los Procesos Crticos: Pueden darse dos

valoraciones, una basada en la importancia para la compaa de losprocesos cuya ausencia tendra un impacto alto en la actividad de lacompaa (valoracin cualitativa). La otra, se referira a las prdidaseconmicas por perodo debido a la ausencia de los procesos (valoracincuantitativa).

Perodo Mximo de Interrupcin: El acumulado de prdidas suele ircreciendo linealmente a medida que pasan los das y las actividades estn

interrumpidas. No obstante, a partir de un momento que denominaremosPerodo Mximo de Interrupcin, las prdidas sufren un aumentosignificativo y las funciones no podran ser reasumidas.

En los casos en que la organizacin tenga varias sedes, ser necesario establecerun alcance geogrfico.

En el Anexo I se incluye un ejemplo de recogida de datos para cada una de laspartes que componen el Anlisis de Impacto. La recogida de esta informacinpermitir evaluar las necesidades de la organizacin en materia de continuidad,por lo que es importante que la informacin sea lo ms completa posible.


17/74



11

6.1.1 RELACIN DE PROCESOS

Para obtener la informacin sobre los procesos y las aplicaciones que losgestionan, es esencial la participacin de las personas responsables de losmismos dentro de la compaa, y de aquellos trabajadores que conocen enprofundidad los mismos. Para ello pueden utilizarse entrevistas personales ycuestionarios que nos acercarn a los procesos crticos del negocio.

Podemos dividir los procesos en operativos y procesos de soporte. Los procesosoperativos son aquellos que guardan una relacin directa con el cliente(comercial, facturacin, almacenaje, atencin al cliente, etc.). Los procesos desoporte, seran aquellos que facilitan los recursos para poder realizar los

procesos operativos (recursos humanos, gestin financiera, etc.)

6.1.2 RELACIN DE APLICACIONES

En este apartado debe recogerse el inventario de los recursos tecnolgicos quesoportan los procesos de la compaa, a fin de identificar aquellos que densoporte directo a los servicios crticos.

Los tipos de recursos que se deben analizar son:

Hardware, identificando cada uno de los elementos hardware que soportanlos sistemas de informacin de la compaa.

Software Base, recogiendo todos aquellos componentes de software, incluidotodos los asociados al sistema operativo, indispensables para elfuncionamiento y optimizacin del Sistema de Informacin de la compaa.

Software de Aplicaciones, inventariando las aplicaciones de gestin que sonutilizadas en la empresa.

Sistemas de Infraestructura, considerando aquellos elementos ocomponentes que sin disponer de una tecnologa enfocada propiamente altratamiento de la informacin s son requeridos para garantizan laoperatividad del servicio.


18/74



12

6.1.3 RELACIN DE DEPARTAMENTOS Y USUARIOS

Los procesos de la compaa estn gestionados por departamentos/usuarios.Dentro del inventario de procesos es necesario conocer el personal involucradoen los mismos. Esta informacin puede obtenerse en las mismas entrevistasdonde se recoge la informacin de los procesos existentes y de los elementos(hardware, software, etc.) que lo componen.

6.1.4 DETERMINAR LOS PROCESOS CRTICOS

Esta tarea supone evaluar los impactos econmicos y operacionales sobre el

negocio en caso de no disponer de la funcin analizada. La valoracin deprdidas no es una cuestin sencilla, ya que pueden concurrir aspectosintangibles, tales como la imagen de la organizacin ante sus clientes. Algunoscriterios que pueden ayudar a valorar las eventuales prdidas pueden ser:

Coste de horas de trabajo perdidas, al no poder usar las aplicaciones queno tengan alternativa manual o cuyo tratamiento manual suponga unaprdida de eficiencia importante.

Ingresos dejados de percibir.

Penalizaciones por incumplimiento de contratos con clientes.

Sanciones administrativas por incumplimiento de leyes debido a la faltade control en situacin de desastre (exposicin de datos personales,incumplimiento de normativa internacional como la Ley Sarbanes Oxley,etc.).

Gastos financieros.

Para simplificar esta valoracin de los procesos podemos establecer unaclasificacin numrica, asignando mayor prioridad (p.e. 1) a aquellos procesosque se consideren ms crticos y menor prioridad (p.e. 3) a aquellos que seconsideren menos crticos.

6.1.5 PERIODO MXIMO DE INTERRUPCIN

Una vez que obtenemos la visin del negocio, de los procesos que lo componen yde la criticidad de cada uno de ellos, debemos establecer los tiempos derecuperacin. Teniendo en cuenta que el objetivo del Plan es dar continuidad alnegocio tras un incidente o contingencia grave con las menores prdidaseconmicas posibles para la compaa, deben estimarse para cada uno de los


19/74



procesos que se han considerado crticos, el tiempo a partir del cual las prdidaseconmicas afectaran de forma grave a la compaa (Tiempo mximo de

interrupcin). Esta estimacin es importante de cara a seleccionar la estrategiade respaldo adecuada a las necesidades de recuperacin.

Pueden existir procesos en los que el tiempo de recuperacin es muy pequeo(horas), por ejemplo el servicio de banca electrnica de un banco, y otrosprocesos como la facturacin a clientes en una empresa de servicios, puedentener un periodo de recuperacin mayor (das o semanas).

MINUTOS HORAS DIAS SEMANAS MESES

13

Figura 2. Tiempos de Recuperacin

TIEMPO MXIMO DE INTERRUPCIN

TIEMPO DE RECUPERACIN OBJETIVO PERDIDAS ECOMICAS GRAVES

En definitiva, el Anlisis de Criticidad nos da una visin de los procesos,actividades y recursos a proteger con la prioridad de recuperacin de cada unode ellos, junto con los tiempos objetivo de puesta en marcha tras un incidente.


20/74



6.2 ANLISIS DE RIESGOS

El objetivo de un Anlisis de Riesgos es poner de manifiesto aquellas debilidadesactuales que por su situacin o su importancia pueden poner en marcha, antesde lo deseable, el Plan de Recuperacin de Negocio. El Anlisis de Riesgo debecentrarse en los procesos/actividades del negocio que se han consideradocrticos, aunque tambin puede extenderse a aquellos que no lo son.

La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacinestimar el coste que supondra. Se ha de tener en cuenta la probabilidad de quesucedan cada uno de los problemas posibles. De esta forma se pueden priorizarlos problemas y su coste potencial desarrollando un plan de accin adecuado.

En lo fundamental, la evaluacin de riesgos que se ha de llevar a cabo ha decontestar, con la mayor fiabilidad posible, a las siguientes preguntas:

Qu se intenta proteger?

Cul es su valor para uno o para la organizacin?

Frente a qu se intenta proteger?

Cul es la probabilidad de un ataque?

ESQUEMA DEL ANLISIS DE RIESGOS

Figura 3. Esquema Anlisis de Riesgos

14


21/74



15

Existen diferentes metodologas de Anlisis de Riesgos:

MARION

OCTAVE

MAGERIT

Para el desarrollo de esta gua no se ha seleccionado ninguna metodologaconcreta, sino que se realiza una descripcin general de los pasos que componenun Anlisis de Riesgos.

6.2.1 IDENTIFICAR ACTIVOS

Para cada uno de los procesos crticos de la compaa es necesario realizar uninventario de los activos involucrados en el proceso. Los activos se definen comolos recursos de una compaa que son necesarios para la consecucin de susobjetivos de negocio. Ejemplos de activos de una compaa pueden ser:

Informacin

Equipamiento Conocimiento

Sistemas

Nota: en el apartado anterior, se ha obtenido gran parte de esta informacin,sobre los activos que componen los procesos crticos.

Cada activo de la compaa tendr unos costes asociados. En algunos casosestos costes pueden ser cuantificados con un valor econmico (activos tangibles)

como el software o el hardware, y en otros casos es ms complicado cuantificarel activo con valores monetarios (activos intangibles) tales como el prestigio o laconfianza de los clientes.

El proceso de elaborar un inventario de activos es uno de los aspectosfundamentales de un correcto anlisis de riesgos. En este inventario seidentificar claramente su propietario y su valor para la organizacin, as comosu localizacin actual.

A continuacin se incluye un esquema con la relacin existente entre losdiferentes elementos que intervienen en el Anlisis de Riesgos.


22/74



Figura 4. Componentes del Anlisis de Riesgos

6.2.2 IDENTIFICAR AMENAZAS

Una amenaza se define como un evento que puede desencadenar un incidente enla organizacin, produciendo daos materiales o prdidas inmateriales en susservicios.

A la hora de analizar los riesgos hay que evaluar las distintas amenazas quepueden provenir de las ms diversas fuentes. Entre stas se incluyen losagresores malintencionados, las amenazas no intencionadas y los desastresnaturales.

La siguiente ilustracin clasifica las distintas amenazas a los sistemas.

Figura 5. Clasificacin General de Amenazas

16


23/74



17

Dependiendo de la organizacin y el proceso analizado, sern aplicables distintostipos de amenazas. Las amenazas tendrn una probabilidad de ocurrencia

que depender de la existencia de una vulnerabilidad que pueda ser explotada,para materializarse en un incidente. Por ejemplo una amenaza del tipo dedesastre natural como es un terremoto, tendr una mayor probabilidad deocurrencia en una empresa con oficinas en Japn, donde los terremotos ocurrencon mayor frecuencia, que en Espaa. Por lo tanto, a priori podemos decir que elriesgo de dao por terremoto en una compaa situada en Japn es mayor que elde una compaa situada en Espaa.

A la hora de valorar la probabilidad de ocurrencia de una amenaza, resulta mscomplicado valorar las amenazas humanas (ataques maliciosos, robos de

informacin, etc.), que las amenazas naturales. En el componente humanoexisten dos factores a tener en cuenta:

AMENAZA= CAPACIDAD X MOTIVACIN

La motivacin es una caracterstica humana que es difcil de valorar, pero que sinembargo es un factor a considerar: empleados descontentos, ex-empleados, etc.

En el anexo II se recogen algunos ejemplos de posibles amenazas.

Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a

la organizacin de forma grave y valorar la probabilidad de que se conviertan enun incidente real.

6.2.3 EVALUAR VULNERABILIDADES

Las vulnerabilidades son debilidades que pueden ser explotadas para convertiruna amenaza en un riesgo real que puede causar daos graves en unacompaa. Las vulnerabilidades en s mismas no causan dao alguno, sino que esuna condicin o un conjunto de condiciones que pueden permitir a una amenazaafectar a un activo.

En el anexo III se recogen algunos ejemplos de vulnerabilidades.

Para identificar las vulnerabilidades que pueden afectar a una compaa debemosresponder a la pregunta: Cmo puede ocurrir una amenaza?

Para responder a esta pregunta ponemos como objetivo la amenaza y definimoslas distintas situaciones por las que puede ocurrir la misma, evaluando si dentro

de la compaa puede darse esa circunstancia; es decir, si el nivel de proteccines suficiente para evitar que se materialice la amenaza. Por ejemplo: si nuestra


24/74



18

Amenaza es que nos roben datos estratgicos de la compaa, podemosestablecer, entre otros, los siguientes escenarios:

ESCENARIOS NIVEL DE PROTECCIN

1. Entrada no autorizada a los datos

a travs del sistema informtico.

Existe un control de acceso a los datos?

2. Robo de datos de los dispositivos

de almacenamiento magntico.

Estn los dispositivos de

almacenamiento protegidos y

controlados de forma adecuada?

3. Robo de datos mediante accesos

no autorizados.

Existen perfiles adecuados de acceso a

los datos?

Figura 6. Cuadro de Escenarios

Si no se responde afirmativamente a las preguntas de la columna derecha, esque existen vulnerabilidades que podran utilizarse de forma que la amenaza seconvierta en un incidente real, y causar daos importantes en la compaa.

6.2.4 EVALUACIN DEL IMPACTO

Los incidentes causan un impacto dentro de la organizacin, que tambindeber tomarse en cuenta a la hora de calcular los riesgos. La valoracin delimpacto puede realizarse de forma cuantitativa, estimando las prdidaseconmicas, o de forma cualitativa, asignando un valor dentro de una escala

(p.e. alto, medio, bajo).

Por ejemplo, el robo de informacin confidencial de la compaa puede causar unimpacto alto si sta cae en malas manos.

En otro caso, podemos estimar las prdidas econmicas de equipos tangiblesvalorando el coste de reposicin y puesta en marcha.

6.2.5 EVALUACIN DEL RIESGO

Riesgo es la posibilidad de que se produzca un impacto determinado en laorganizacin. El riesgo calculado es simplemente un indicador ligado al par de


25/74



valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de larelacin entre el activo y la amenaza a la que el riesgo calculado se refiere.

RIESGO= PROBABILIDAD DE INCIDENTESX IMPACTO

PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD

El riesgo suele expresarse en trminos cualitativos (Alto, Medio, Bajo). Acontinuacin se muestra un ejemplo de una matriz de probabilidad/impacto:

ALTO RIESGO

MEDIORIESGOALTO

RIESGOALTO

MEDI

O

RIESGOBAJO

RIESGOMEDIO

RIESGOALTO

BAJO RIESGO

BAJORIESGOBAJO

RIESGOMEDIO

BAJO MEDIO ALTO

PROBABILIDADD

IMPACTOFigura 7. Matriz de Riesgos

Cuanto ms baja sea la probabilidad de ocurrencia (no existan vulnerabilidades)y el impacto sobre la compaa sea tambin bajo, estaremos en un nivel deriesgo bajo.

Sin embargo, si existen vulnerabilidades que aumenten la probabilidad deocurrencia o el impacto del incidente sea alto para la compaa, estaremos enunos niveles de riesgo medio-alto.

A modo de ejemplo se muestra la siguiente tabla:

19


26/74



20

DESCRIPCIN PROBAB IMPACTO RIESGO

Terremoto en ciudades situadas fuera defallas ssmicas

BAJA MEDIO BAJO

Terremoto en ciudades situadas sobre fallasssmicas

ALTA MEDIO ALTO

Robo de informacin confidencial compaacon control de acceso lgico

BAJA ALTO MEDIO

Robo de informacin confidencial compaasin control de acceso lgico

ALTA ALTO ALTO

Una vez que se han evaluado los riesgos, queda decidir qu hacemos con ellos.Se pueden tomar diferentes caminos:

Transferir el riesgo a travs de seguros o subcontratando la gestin delriesgo a terceras empresas.

Aceptar el riesgo (posicionamiento aprobado por la direccin de lacompaa).

Reducir el riesgo con controles que los mitiguen. Eliminar el riesgo (eliminando la causa o el foco del riesgo).

6.2.6 EVALUAR CONTRAMEDIDAS

Para reducir riesgos se utilizan los denominados controles o medidas deseguridad. Podemos clasificar los controles en:

Controles preventivos

o Identifican potenciales problemas antes de que ocurrano Previenen errores, omisiones o actos maliciosos.

Ejemplos: Realizar copias de seguridad de los archivos. Contratar seguros para los activos. Establecer procedimientos / polticas de seguridad. Establecer control de acceso a la informacin. Establecer control de acceso fsico.

Controles detectivos

o Identifican y reportan la ocurrencia de un error, omisin o actomalicioso ocurrido.


27/74



21

Ejemplos:

Monitorizacin de eventos. Auditoras internas. Revisiones peridicas de procesos. Sensores de humo. Deteccin de virus (Antivirus).

Controles Correctivos

o Minimizan el impacto de una amenaza.o Solucionan errores detectados por controles detectivos.o Identifican la causa de los problemas con el objeto de corregir

errores producidos.o Modifican los procedimientos para minimizar futuras ocurrencias del

problema.

Ejemplos: Parches de seguridad. Correccin de daos por virus.

Recuperacin de datos perdidos.

Las medidas seleccionadas para mitigar riesgos deben mantener una proporcinentre el esfuerzo y coste necesarios para su implantacin y el riesgo que mitigan(evaluacin del coste-beneficio).

Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posibleque se produzcan incidentes que hagan necesaria su ejecucin. Por ello, esimportante que la compaa conozca sus riesgos y ponga las medidas adecuadaspara corregir el mayor nmero de vulnerabilidades que puedan provocar un

incidente grave.

La evaluacin de riesgos debe ser peridica y de acuerdo con el modelo degestin de riesgos de la organizacin y en funcin de la evolucin del negocio(crecimiento), de cambios importantes en la organizacin (procesos internos),nuevas obligaciones legales, etc.


28/74


FASE II. Estrategia de Respaldo

22

7. FASE II. ESTRATEGIA DE RESPALDO

En esta fase se seleccionarn los mtodos operativos alternativos que se van autilizar en el caso de que ocurra un incidente que provoque una interrupcin enla organizacin. El mtodo seleccionado deber garantizar la restauracin de losprocesos afectados en los tiempos determinados por el Anlisis de Impacto.

7.1 SELECCIN DE ESTRATEGIAS

Existen diferentes estrategias para mitigar el impacto de una interrupcin. Cadauna de estas estrategias tiene unos parmetros de tiempo, disponibilidad y

costes asociados que sern ms o menos apropiados dependiendo de lasfunciones de negocio.

A continuacin se describen diferentes estrategias para reubicacin funcional:

No hacer nada: Este tipo de actuacin podra utilizarse en aquellasfunciones o actividades que se han clasificado como no urgentes en elAnlisis de Impacto. En este tipo de estrategia se asume el riesgo.

Utilizacin de espacios propios: Espacios existentes en la compaatales como salas de formacin, cafeteras, etc. Este tipo de estrategiarequiere una planificacin minuciosa.

Reutilizacin de recursos: Reubicacin de personal con funciones nourgentes en tareas que requieren una mayor prioridad. En este caso sedebe poner cuidado en convertir la funcin no urgente en urgente por serdesatendida durante demasiado tiempo.

Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desdeubicaciones exteriores a la compaa mediante conexin remota.

Acuerdos Recprocos: Acuerdos entre dos organizaciones (o dosunidades de negocio de la propia compaa diferentes) con caractersticasde equipamiento/espacio similares que permitira a cada una de las partesrecuperar funciones en la otra localizacin. En este caso es importantedefinir las condiciones de uso y la realizacin de pruebas peridicas paraasegurar las condiciones pactadas.

Sitio alternativo subcontratado a terceros: Contratacin concompaas especializadas de espacios alternativos para la recuperacin dela actividad. En este caso hay que asegurar que estas compaas pueden


29/74



23

proporcionar unos tiempos de recuperacin acordes con las necesidadesde la organizacin. Este tipo de compaas pueden proporcionar diferentes

de soluciones:

o Espacio dedicado: Se garantiza la disponibilidad inmediata delespacio. En contrapartida este servicio es ms caro que otrasalternativas.

o Espacio compartido: Se comparte el espacio con otras compaas.Es ms barato que un centro dedicado.

o Espacios mviles: Se pueden utilizar rpidamente, pero tienen unespacio limitado.

o Mdulos prefabricados: Pueden tardar unos das en estardisponibles para su uso.

Localizaciones diversas: Se traslada la operacin pero no el personal. Centro replicado: Solucin que permite trasladar de forma inmediata la

operacin y continuar la actividad de forma inmediata. Tambin puededenominarse centro espejo. Esta solucin es normalmente la ms cara,pero tambin la mejor solucin en el caso de que se necesite unarecuperacin muy rpida de la operacin.

A continuacin se muestra una tabla que recoge la relacin entre el TiempoObjetivo de recuperacin y la solucin de continuidad ms adecuada a esteObjetivo:

TIEMPO OBJETIVO DE

RECUPERACININTERNAS CONTRATADO

MESES Reconstruccin /

Realojamiento

----

SEMANAS Edificios prefabricados On-Site

Contratacin de unidadesmviles o prefabricados

DIAS Recuperacin in situ

Trabajo en casa

Subcontratacin de procesos enoficinas mviles

HORAS Localizaciones diversas conempleados formados

Re-localizacin de un grupo depersonas

INMEDIATO Localizaciones diversas para

la misma funcin

Cambio de funcionamiento a un

centro de respaldo subcontratadoFigura 8. Tabla de Estrategias de Recuperacin

Fuente: Business Continuity Institute.


30/74



24

De todas las alternativas existentes hay que elegir la ms adecuada en cadacaso. Depender de las necesidades de cada compaa, en cuanto a tiempos de

recuperacin, costes econmicos, recursos, etc.Adems deber considerarse otros factores como:

Ubicacin y superficie requerida

o Espacio suficiente

o Zonas acondicionadas para acoger a personal

Recursos tcnicos necesarios:

o Hardware

o Software

o Comunicaciones

o Datos de respaldo

Recursos humanos requeridos

o Recursos materiales y de infraestructura

o Servicios auxiliares necesarios

o Tiempos de activacin

o Coste

Suele ocurrir que cuanto menor sea el tiempo de recuperacin objetivo, mayorser el coste de la solucin. Por ello es conveniente realizar un anlisis contiempos de recuperacin adecuados y adaptados a la realidad de la compaa.

Una vez tomada la decisin sobre el tipo de estrategia que se utilizar como

respaldo en caso de interrupcin del negocio, pasaremos a desarrollar todos losprocedimientos, funciones y actividades que permitirn restablecer los procesosde negocio en unos plazos razonables.


31/74


Fase III. Desarrollo del Plan de Continuidad

25

8. FASE III. DESARROLLO DEL PLAN DE CONTINUIDAD

Hasta este momento hemos obtenido:

Conocimiento de los procesos de la compaa, valorando cules soncrticos para el funcionamiento del negocio.

Valoracin de los riesgos que pueden afectar al negocio y que puedendisparar el Plan de Continuidad de Negocio.

Estrategia de Continuidad ms adecuada para el negocio.

A partir de aqu desarrollaremos nuestro Plan de Continuidad. Para ello

definiremos:

Los equipos necesarios para el desarrollo del Plan.

Las responsabilidades y funciones de cada uno de los equipos.

Las dependencias orgnicas entre los diferentes equipos.

El desarrollo de los procedimientos dealerta y actuacin ante eventos quepuedan activar el Plan.

Los procedimientos de actuacin ante incidentes.

La estrategia de vuelta a la normalidad.

8.1 ORGANIZACIN DE LOS EQUIPOS

Los equipos de emergencia estn formados por el personal clave necesario en laactivacin y desarrollo del Plan de Continuidad. Cada equipo tiene unas funcionesy procedimientos que tendrn que desarrollar en las distintas fases del Plan.

Aunque la composicin y nmero de equipos puede variar segn el tipo de

estrategia de recuperacin, a continuacin se muestran algunos ejemplos de losequipos que pueden formar parte del Plan:

Comit de Crisis: Encargado de dirigir las acciones durante lacontingencia y recuperacin.

Equipo de Recuperacin: Su funcin es restablecer todos los sistemasnecesarios (voz, datos, comunicaciones, etc.).

Equipo Logstico: Responsable de toda la logstica necesaria en el

esfuerzo de recuperacin.

Equipo de las Unidades de Negocio: Encargados de la realizacin depruebas que verifiquen la recuperacin de los sistemas crticos.


32/74



26

Equipo de Relaciones Pblicas: Encargado de las comunicaciones a losmedios de comunicacin y clientes.

El personal asignado a cada uno de los equipos puede variar dependiendo deltamao de la organizacin y de la estrategia de recuperacin seleccionada. Unapersona puede pertenecer a ms de un equipo, siempre y cuando no existanincompatibilidades en las tareas a realizar.

8.1.1 EQUIPO DIRECTOR O COMIT DE CRISIS

El objetivo de este comit es reducir al mximo el riesgo y la incertidumbre en ladireccin de la situacin. Este Comit debe tomar las decisiones clave durantelos incidentes, adems de hacer de enlace con la direccin de la compaa,mantenindoles informados de la situacin regularmente.

Las principales tareas y responsabilidades de este comit son:

Anlisis de la situacin.

Decisin de activar o no el Plan de Continuidad.

Iniciar el proceso de notificacin a los empleados a travs de los diferentesresponsables.

Seguimiento del proceso de recuperacin, con relacin a los tiemposestimados de recuperacin.

8.1.2 EQUIPO DE RECUPERACIN

El equipo de recuperacin es responsable de establecer la infraestructuranecesaria para la recuperacin. Esto incluye todos los servidores, PCs,comunicaciones de voz y datos y cualquier otro elemento necesario para larestauracin de un servicio.

8.1.3 EQUIPO LOGSTICO

Este equipo es responsable de todo lo relacionado con las necesidades logsticas

en el marco de la recuperacin, tales como:

Transporte de material y personas (si es necesario) al lugar derecuperacin.


33/74



27

Suministros de oficina.

Comida.

Reservas de hotel, si son necesarias.

Contacto con los proveedores.

Este equipo debe trabajar conjuntamente con los dems, para asegurar quetodas las necesidades logsticas sean cubiertas.

8.1.4 EQUIPO DE RELACIONES PBLICAS Y ATENCIN A CLIENTES

Se trata de canalizar la informacin que se realiza al exterior en un solo puntopara que los datos sean referidos desde una sola fuente. Sus funcionesprincipales son:

Elaboracin de comunicados para la prensa.

Comunicacin con los clientes.

Uno de los valores ms importantes de una compaa son sus clientes, por lo quees importante mantener informados a los mismos, estableciendo canales decomunicacin.

8.1.5 EQUIPO DE LAS UNIDADES DE NEGOCIO

Estos equipos estarn formados por las personas que trabajan con lasaplicaciones crticas, y sern los encargados de realizar las pruebas defuncionamiento para verificar la operatividad de los sistemas y comenzar afuncionar.

Cada equipo deber configurar las diferentes pruebas que debern realizar paralos sistemas.


34/74



28

8.2 DESARROLLO DE PROCEDIMIENTOS

Una vez que hemos definido los equipos y se han establecido las funciones quedebe desempear cada equipo, tenemos que desarrollar los procedimientos quevan a seguir, y su actuacin en cada una de las fases de activacin del Plan deContinuidad.

- FASE DE ALERTA

Procedimiento de notificacin del desastre.

Procedimiento de lanzamiento del Plan Procedimiento de notificacin de la puesta en marcha del Plan a los

equipos implicados.

- FASE DE TRANSICIN

Procedimiento de concentracin de equipos.

Procedimiento de traslado y puesta en marcha de la recuperacin.

- FASE DE RECUPERACIN

Procedimientos de restauracin.

Procedimientos de soporte y gestin.

- FASE DE VUELTA A LA NORMALIDAD

Anlisis del impacto.

Procedimientos de vuelta a la normalidad.

En el siguiente esquema podemos ver las fases que componen el Plan deContinuidad de Negocio:


35/74



Figura 9. Fases y Actividades del Plan de Continuidad

8.2.1 FASE DE ALERTA

La Fase de Alerta define los procedimientos de actuacin ante las primerasetapas de un suceso que implique la prdida parcial o total de uno o variosservicios crticos. Dividiremos esta fase en tres partes:

Notificacin: Define cmo y quin debe ser informado en primera instancia delo ocurrido.

Evaluacin: Anlisis de la situacin y valoracin inicial de los daos. Definicinde estrategias.

Ejecucin del Plan: Decisin del equipo director de disparar el Plan debido alalcance de los daos.

Notificacin

Dado que no es posible confeccionar un Plan de Alerta que d cabida a todos loscasos que resultan de suponer que cualquier persona pueda dar aviso de unincidente, vamos a suponer que la persona que descubre la contingencia ser unempleado o cualquier otra persona prxima al lugar donde ocurre el incidente.

Como parte del Plan de Continuidad se debe establecer un programa deconcienciacin, en el que se informe debidamente al personal de cmo actuarante estos casos y a quin comunicar lo ocurrido.

29


36/74



30

EVENTO ACCIN

1 Situacin de contingencia/incidentedetectado por algn empleado de lacompaa. (Fuego, inundacin, virus, etc.).

Aviso inmediato con el mximo detalleposible al Responsable de Personal de turnoo a Seguridad.

2

El responsable de turno o de seguridadconoce que ha sucedido una contingencia.

Aviso a la persona de contacto del Comit deCrisis.

Aviso a los equipos de emergencia (siprocede).

Figura 10. Cuadro Fase de Notificacin

Evaluacin

Una vez que un miembro del Comit de Crisis es contactado e informado delincidente, proceder a evaluar la situacin con la recopilacin de la mayorinformacin posible. El Comit informar a los responsables de los distintosequipos de lo ocurrido y de la situacin en ese momento para que permanezcanen situacin de espera, hasta que se tome la decisin de disparar el Plan o iniciarotro tipo de estrategia.

EVENTO ACCIN

3 Conocimiento por algn miembro delComit de incidente ocurrido.

El equipo del Comit se reunir en un lugaracordado previamente y evaluar lasituacin. Este Comit deber tomar ladecisin de activar o no el Plan deContinuidad.

Ser necesario informar de la situacin a lossiguientes responsables:

Responsable de Seguridad.

Comit de Direccin de la Empresa.

Relaciones Pblicas.

Equipo de Recuperacin.

Responsable de los Equipos.

Figura 11. Cuadro Fase de Evaluacin

Ejecucin del Plan

Una vez que el Comit de Crisis ha decidido poner en marcha el Plan deRecuperacin, debe de iniciarse el rbol de llamadas (En el Anexo IV se incluyeun ejemplo de un rbol de llamadas) para comunicar a los Responsables y


37/74



31

componentes de cada equipo la situacin de inicio de las actividades del Planpara comenzar los procedimientos de actuacin de cada uno de ellos. Deber

informarse tambin al Comit de Direccin.

EVENTO ACCIN

4 Consideracin por parte del Comit deCrisis y ejecucin del Plan.

Iniciar el rbol de llamadas.

Informar al Comit de Direccin.

5 Paso a la Fase de Transicin.

Figura 10. Cuadro Fase de Lanzamiento del Plan

8.2.2 FASE DE TRANSICIN

La Fase de Transicin es la fase previa a la de recuperacin de los sistemas. Esimportante que en esta fase exista una coordinacin entre los diferentes equiposy equipos de logstica, ya que son stos los encargados de que todo estdisponible para comenzar la recuperacin en el menor tiempo posible.

Podemos dividir la fase de transicin en dos partes principalmente:

Procedimientos de concentracin y traslado de personas y equipos. Procedimientos de puesta en marcha del centro de recuperacin.

Ambos procedimientos son la base del proceso de recuperacin de los sistemas.Si esta parte falla, no ser posible comenzar la recuperacin, y por tanto el Plande Continuidad fallar.

A continuacin pasamos a describir de manera detallada cada uno de losprocedimientos y equipos que deben interactuar en esta fase de transicin.

Procedimientos de concentracin y traslado de material y personas

Dependiendo de la solucin final que se decida como estrategia de respaldo, esteprocedimiento puede variar. Realizaremos una descripcin general de losprocedimientos, que podr completarse una vez que se tome una solucindefinitiva.

Una vez avisados los equipos y puesto en marcha el Plan, debern acudir alcentro de reunin. En el caso de que la emergencia se declare en horas detrabajo, se tomar como punto de encuentro los lugares designados en el Plan de

Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar dereunin ser el designado como centro de respaldo, o cualquier otro designadopor el Comit de Direccin de Crisis.


38/74



32

Adems del traslado de personas al centro de recuperacin (si es necesario) hayque realizar una importante labor de coordinacin para el traslado de todo el

material necesario para poner en marcha el centro de recuperacin (cintas debackup, material de oficina, documentacin, ...)

Procedimientos de puesta en marcha del centro de recuperacin

Una vez concentrados los distintos equipos que van a intervenir en larecuperacin, y con todos los elementos necesarios disponibles para comenzar larecuperacin, hay que poner en marcha este centro, estableciendo lainfraestructura necesaria, tanto de software como de comunicaciones, etc.

8.2.3 FASE DE RECUPERACIN

Una vez que hemos establecido las bases para comenzar la recuperacin, seproceder a la carga de datos y a la restauracin de los servicios crticos. Esteproceso y el anterior suele precisar los mayores esfuerzos e intervenciones paracumplir con los plazos fijados.

Podemos dividir esta fase en dos:

Procedimientos de Restauracin Procedimientos de Gestin y Soporte

Procedimientos de Restauracin

Estos procedimientos se refieren a las acciones que se llevan a cabo pararestaurar los sistemas crticos.

Procedimientos de soporte y gestin

Una vez restaurados los sistemas hay que comprobar su funcionamiento, realizarun mantenimiento sobre los mismos y protegerlos, de manera que se reanude elnegocio con las mximas garantas de xito. Los integrantes del equipo deunidades de negocio sern los encargados de comprobar y verificar el correctofuncionamiento de los procesos.


39/74



33

8.2.4 FASE DE VUELTA A LA NORMALIDAD / FIN DE LA EMERGENCIA

Una vez con los procesos crticos en marcha y solventada la contingencia,debemos plantearnos las diferentes estrategias y acciones para recuperar lanormalidad total de funcionamiento. Para ello vamos a dividir esta fase endiferentes procedimientos:

Anlisis del impacto.

Procedimientos de vuelta a la normalidad

Anlisis del impacto

El anlisis de impacto pretende realizar una valoracin detallada de los equipos einstalaciones daadas para definir la estrategia de vuelta a la normalidad.

Procedimientos de vuelta a la normalidad

Una vez determinado el impacto deben establecerse los mecanismos que en lamedida de lo posible lleven a recuperar la normalidad total de funcionamiento.Estas acciones incluyen las necesidades de compra de nuevos equipos,

mobiliario, material, etc.

8.2.5 GENERACIN DE INFORMES Y EVALUACIN

Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberrealizar un informe de las acciones llevadas a cabo y sobre el cumplimiento delos objetivos del Plan de Continuidad, los tiempos empleados, dificultades con lasque se encontraron, etc.

Toda esta informacin servir para valorar si el Plan ha funcionado segn loplaneado, as como conocer los posibles fallos, y en su caso, tenerlos en cuentapara la adecuacin del mismo.


40/74


Fase IV. Pruebas y Mantenimiento

34

9. FASE IV. PRUEBAS Y MANTENIMIENTO

9.1 PRUEBAS

9.1.1. OBJETIVOS DEL PLAN DE PRUEBAS

El Plan de Continuidad no se considerar vlido hasta que no se haya superadosatisfactoriamente el Plan de Pruebas que asegure la viabilidad de las solucionesadoptadas.

El Plan de Pruebas diseado tiene como objetivos:

Evaluar la capacidad de respuesta ante una situacin de desastre que afecte alos recursos de la compaa.

Probar la efectividad y los tiempos de respuesta del Plan para comprobar queestn alineados con la definicin realizada en el diseo.

Identificar las reas de mejora en el diseo y ejecucin del Plan.

Comprobar si los procedimientos desarrollados son adecuados para soportarla recuperacin de las operaciones de negocio.

Evaluar si los participantes del ejercicio estn suficientemente familiarizadoscon la operativa en situacin de contingencia.

Concienciacin y formacin para los empleados a travs de la realizacin depruebas.

9.2 TIPOS DE PRUEBAS

Las pruebas de un Plan de Continuidad deben tener dos caractersticasprincipales:

Realismo: La utilidad de las pruebas se reduce con la seleccin de escenariosirreales. Por ello es importante reproducir escenarios que proporcionen un nivelde entrenamiento adecuado a las situaciones de riesgo.

Exposicin Mnima: Las pruebas deben disearse de forma que impacten lomenos posible en el negocio, es decir, que si se programa una prueba que


41/74



35

suponga una parada de los sistemas de informacin, debe realizarse una ventanade tiempo que impacte lo menos posible para el negocio.

En algunos casos puede resultar complicado realizar una prueba completa delPlan de Continuidad de Negocio. Por ello, es necesario desarrollar un programade pruebas planificado para garantizar que todos los aspectos de los planes ypersonal se han ensayado durante un perodo de tiempo.

9.2.1 EJERCICIOS TCNICOS

Este tipo de ejercicio requerir la ejecucin de procedimientos de notificacin yoperativos, el uso de equipos de hardware, software y posibles centros ymtodos alternativos para asegurar un rendimiento adecuado. Ejemplos deelementos verificados durante un ejercicio de simulacin son:

- Procedimientos de emergencia.- Mtodos alternativos.- Lneas de telecomunicaciones de backup.- Procedimientos de notificacin Vendedores / Clientes.

- Capacidad y rendimiento del hardware.- Portabilidad del software.- Accesibilidad al centro de respaldo.- Movilizacin de los equipos de trabajo.- Recuperacin de ficheros y documentacin almacenados en lugar externo.- Recuperacin de datos.

9.2.2 TEST COMPLETO

Los ejercicios de test son ejercicios planificados que implican la restauracin realde la capacidad de proceso en un centro alternativo. Generalmente, los procesosen produccin no son interrumpidos, pero puede planificarse su restauracin yvalidacin en el centro alternativo. Normalmente, este tipo de prueba requiere laparticipacin de toda la organizacin de continuidad del negocio, incluyendousuarios, personal tcnico y de operaciones.


42/74



36

9.3 MANTENIMIENTO DEL PLAN DE CONTINUIDAD

Por la propia dinmica de negocio, se van incorporando nuevas soluciones a losSistemas de Informacin y los activos informticos van evolucionando para darrespuesta a las necesidades planteadas.

La correcta planificacin del mantenimiento del Plan de Continuidad evitar quequede en poco tiempo obsoleto y que en caso de contingencia no pueda darrespuesta a las necesidades.


43/74


ANEXOS

37

ANEXOS


44/74


Anexo I Cuadros de Recogida de Datos Anl is is de Impacto

38

ANEXO I CUADROS DE RECOGIDA DE DATOS ANLISIS DE IMPACTO

o CUADRO DE PROCESOS

En este cuadro se recogen los procesos y subprocesos que componen laorganizacin donde se va a desarrollar el Plan de Continuidad.

Proceso SubprocesoBreve

descripcin

Frecuencia

(Diario/Semanal

Mensual)

Personaresponsable

o SISTEMAS QUE SOPORTAN EL PROCESO

En este cuadro se recogen los sistemas que soportan el proceso analizado.

Nombredel

SistemaDescripcin Criticidad

Tipo deSistema

(PC/Servidor/

Mainframe)

N deEquiposcon la

aplicacin

ResponsableContactoTcnicos

Rangos de Criticidad: 1 La organizacin/departamento no puede funcionar sin el sistema

2 La organizacin/departamento no puede funcionar parcialmente sin el sistema

3 - La organizacin/departamento puede funcionar sin el sistema


45/74



39

o RECURSOS HARDWARE DEL PROCESO

En este apartado se recogen los componentes hardware que soportan losprocesos.

Tipo de hardwareDetalles del

Modelo/ConfiguracinDistribu idor Criticidad Localizacin

Rangos de Criticidad: 1 La organizacin/departamento no puede funcionar sin el hardware

2 La organizacin/departamento no puede funcionar parcialmente sin el hardware

3 - La organizacin/departamento puede funcionar sin el hardware

o OTROS ACTIVOS

En este apartado se recogen todos aquellos activos (comunicaciones, datos,infraestructura, etc.), que forman parte del proceso y que son necesarios paradar continuidad al mismo en caso de interrupcin.

Descripcin Tipo Criticidad Localizacin

Rangos de Criticidad: 1 La organizacin/departamento no puede funcionar sin el activo

2 La organizacin/departamento no puede funcionar parcialmente sin el activo

3 - La organizacin/departamento puede funcionar sin el activo


46/74



40

o TIEMPO MXIMO DE INTERRUPCIN

Para cada uno de los procesos, se determinar el tiempo mximo deinterrupcin, especificando cuntos das puede permanecer el proceso sin incurriren prdidas econmicas graves.

Proceso Necesidades de Recuperacin Criticidad

Necesidad de Recuperacin: Da 0 : Recuperacin inmediata

Da 1-7: El proceso debe ser recuperado entre el primer y el quinto da despus de un incidente.

Da 730: El proceso debe ser recuperado despus de la primera semana y antes de un mes.

Ms 30 das: El proceso pude esperar ms de 30 das a ser recuperado.


47/74


ANEXO II - Lis tado de Amenazas

41

ANEXO II - LISTADO DE AMENAZAS

AMENAZASDESASTRES NATURALES

Huracanes

Inundaciones

Incendios

DAOS ACCIDENTALES

Fuego fortuito

Inundaciones

Fallo del aire acondicionadoExceso de humedad

Humo, gases txicos

Subida de tensin

Fallo de suministro elctrico

Fallo de la UPS

Accidentes del personal

Capacidad inadecuada de las comunicaciones

Fallo/degradacin del hardware

Fallo/degradacin de las comunicaciones

Errores de operacin

Fallos en las copias de seguridad

Fallos de los sistemas de autenticacin/autorizacin

Prdida de confidencialidad

Incumplimientos legales

ATAQUES INTENCIONADOS

Explosivos

Fuego intencionadoAccesos no autorizados al edificio

Actos de vandalismo

Radiaciones electromagnticas

Robos intencionados

Manipulacin de datos/software

Manipulacin de hardware

Uso de software por personal no autorizado

Acceso no autorizados a datos de la compaa

Software malicioso

Robo de equipos

Robo de documentos


48/74


ANEXO II - Lis tado de Amenazas

42

Robo de software

Descarga de software no controlada

Interceptacin de las lneas de comunicacin

Manipulacin de las lneas de comunicacin

Abuso de privilegios de acceso

Introduccin de virus en los sistemas

Troyanos

Ataques por ingeniera social

Bombas lgicas

Ataques de denegacin de servicio

Errores intencionadosCopias incontroladas de documentos/software/datos

Errores en el mantenimiento

Corrupcin de datos

Incumplimientos legales intencionados


49/74


ANEXO III Ejemplos de Vulnerabi lidades

43

ANEXO III EJ EMPLOS DE VULNERABILIDADES

VULNERABILIDADES

Existencia de materiales inflamables como papel o cajas

Cableado inapropiado

Ancho de banda inapropiado

Suministro elctrico inapropiado

Mantenimiento inapropiado del servicio tcnico

Ausencia de mantenimiento

Educacin inadecuada del personal en virus y malware

Polticas de firewall inadecuadas

Poltica de seguridad de la informacin inadecuada

Ausencia de poltica de seguridad

Derechos de acceso incorrectos

Ausencia de un sistema de extincin automtica de fuegos/humos

Ausencia de backup

Ausencia de control de cambios de configuracin eficiente y efectiva

Ausencia de mecanismos de identificacin y autenticacin

Ausencia de poltica de restriccin de personal para uso licencias de softwareUbicacin fsica en un rea susceptible de desastres naturales

Carencia de software antivirus

Descarga incontrolada y uso de software de Internet

Ausencia de mecanismos de cifrado de datos para la transmisin de datosconfidenciales

Proteccin fsica de equipos inadecuada

Personal sin formacin adecuada

Incumplimientos legales (LOPD, Ley Sarbanes Oxley, etc.)

Definicin de privilegios de acceso inadecuadaAusencia de un Plan de recuperacin de incidentes


50/74


Anexo IV Ejemplo rbol de L lamadas

ANEXO IV EJ EMPLO RBOL DE LLAMADAS

Comit de Crisis

Equipo deRecuperacin

Equipo deCoordinacin

Lo stica

Equipo deSeguridad

Equipo deRelacionesPblicas

Equipo de UnidadesdeNegocio

Comit deDireccin

44


51/74


Anexo V Sit ios de Inters

45

ANEXO V SITIOS DE INTERS

http://www.contingencyplanning.com/ - Revista de Continuidad de Negocio

http://www.globalcontinuity.com/ - Portal de Business Continuity Plan

http://www.thebci.org/pas56.htm - Business Continuity Institute

http://www.disaster-recovery-guide.com/ - Informacin y guas sobre

Continuidad

http://www.nist.org/ - Mejores prcticas en Seguridad Informtica

http://www.iss.net/ - Base de datos de vulnerabilidades X-Force

http://nvd.nist.gov/ - Base de datos de vulnerabilidades del NIST

http://www.securityfocus.com/ - Base de datos de vulnerabilidades

http://www-5.ibm.com/services/es/portfolios/recuperacion.html - Proveedor de

Servicios de Continuidad de Negocio

http://h20219.www2.hp.com/services/cache/9270-0-0-197-470.html -

Proveedor de Servicios de Continuidad de Negocio
http://www.contingencyplanning.com/http://www.globalcontinuity.com/http://www.thebci.org/pas56.htmhttp://www.disaster-recovery-guide.com/http://www.nist.org/http://www.iss.net/http://nvd.nist.gov/http://www.securityfocus.com/http://www-5.ibm.com/services/es/portfolios/recuperacion.htmlhttp://h20219.www2.hp.com/services/cache/9270-0-0-197-470.htmlhttp://h20219.www2.hp.com/services/cache/9270-0-0-197-470.htmlhttp://www-5.ibm.com/services/es/portfolios/recuperacion.htmlhttp://www.securityfocus.com/http://nvd.nist.gov/http://www.iss.net/http://www.nist.org/http://www.disaster-recovery-guide.com/http://www.thebci.org/pas56.htmhttp://www.globalcontinuity.com/http://www.contingencyplanning.com/


52/74


46

CASO DE ESTUDIO


53/74


Caso de Estud io

47

CASO DE ESTUDIO

ANTECEDENTES

Zapasol S.A. es una compaa que fabrica zapatos con materiales reciclados.Zapasol S.A. cuenta actualmente con 80 empleados, repartidos en dos plantas defabricacin, una en Valencia y otra en Albacete distante 200 kilmetros. El xitode venta de este tipo de zapatos les ha llevado a mercados internacionales,importando a ms de 20 pases.

Dentro de la propia fbrica cuentan con un pequeo departamento de informticaformado por 4 empleados que se encargan de la gestin de todo lo relacionado

con comunicaciones, software, hardware, bases de datos. Este departamento ysu centro de proceso de datos se encuentran en Valencia.

El rpido desarrollo y expansin de esta compaa ha resultado en uncrecimiento tecnolgico importante en los procesos de soporte, tales comofacturacin, nminas, atencin al cliente, etc. Sin embargo, las medidas deseguridad no han acompaado de igual forma a este crecimiento. A continuacinse describe brevemente cul es la situacin actual en cuanto a seguridad de lacompaa:

No existe una poltica de seguridad en la compaa. Slo hay antivirus en algunos equipos, en otro no se ha instalado. No se realizan copias de seguridad de la informacin. Existe control de acceso a los equipos, pero los usuarios comparten

contraseas. Los servidores se encuentran en una sala sin ninguna medida de

proteccin fsica.

.

Como parte de los proyectos a acometer durante el ao 2007, el Director deInformtica de Zapasol S.A. ha propuesto la realizacin de un Plan deContinuidad de Negocio, para configurar una estrategia de recuperacin antecualquier evento grave que haga peligrar el negocio de la empresa.


54/74


Caso de Estud io

48

ANLISIS DE IMPACTO

Para desarrollar este Plan, el director de informtica ha encargado a Luis (otro delos empleados del departamento de informtica) que realice un inventario de losprocesos crticos de la compaa, estableciendo los tiempos de recuperacin delos mismos, antes de incurrir en prdidas graves. Para ello, Luis se haentrevistado con los responsables de los procesos obteniendo la siguienteinformacin:

Proceso Subproceso Breve descripc in

Frecuencia

(Diario/Semanal

Mensual)

Responsable

Pedidos -- Se encarga de recibir todoslos pedidos de los distintosclientes y de gestionar suenvo en los plazos ycondiciones establecidas

DiarioIns Burgos

Atencin alCliente

--- Recogida y Gestin deincidentes

Diario ngela Cano

RecursosHumanos

-- Seleccin y formacin delpersonal de la compaa

Segnnecesidad

Marta lvarez

Nminas -- Generacin y Pago de lasNminas de los empleados

Mensual Laura Cuesta

Stock --- Control y Gestin del stock dezapatos en los almacenes

Diario AntonioRomero

Nota: Para el ejemplo s lo se toman dos procesos de muestra (Pedidos y Nminas)

COMPONENTES DE LOS PROCESOS

A continuacin se describen cada uno de los componentes Hardware, Software,Comunicaciones, etc., que conforman los procesos definidos en Zapasol S.A.

PROCESO PEDIDOS

Sistemas del proceso de Pedidos:


55/74


Caso de Estud io

49

Nombre

delSistema

Descripcin Criticidad

Tipo de

Sistema(PC/Servidor/Mainframe)

N de

Equiposcon la

aplicacin

Responsable ContactoTcnicos

CorreoElectrnico

2 Servidor deCorreo

4--- ----

GestinPedidos

Aplicacinpara laGestin depedidos

1 4 ----

Hardware del proceso de Pedidos:

Tipo deHardware

Detalles delModelo/Configuracin

Distribuidor Criticidad Localizacin

Servidor deCorreo

PowerEdgeTM 1900Servidor en torre dencleo cudruple con 2

sockets

Dell 3 Centro procesodatos Valencia

PCs ProcesadorIntel CoreTM 2 DuoE6000

Chipset Q965 ICH8DOcompatible con ActiveManagement Technology(iAMT 2.1) de Intel

Solucin LAN GigabitEthernet de Intel

Dell 2 Centros deValencia yAlbacete

Servidor deAplicaciones

PowerEdgeTM 2900Servidor en torre dencleo cudruple con 2sockets

Dell 1 Centro procesodatos Valencia

Otros Activos del proceso:


Lnea RDSI decomunicaciones

Comunicaciones 1 Centros de trabajo


56/74


Caso de Estud io

50

Impresoras Hardware 2 Centros de trabajo

Centralita deComunicaciones

Comunicaciones 3 Centros de trabajo

PROCESO DE NMINAS

Sistemas del proceso de Nminas:

Nombredel

SistemaDescripcin Criticidad

Tipo deSistema(PC/Servidor/Mainframe)

N deEquiposcon la

aplicacin

Responsa-ble

ContactoTcnicos

AplicacinNminas

Programaque seencarga derealizar elclculo de lasnminas

3Servidor /PCs

3LauraCuesta

-----

Windows Sistema

Operativo

2PCs 20

Angel Perez Soporte

Windows

Hardware del proceso de Nminas:

Tipo deHardware

Detalles delModelo/Configuracin

Distribuidor Criticidad Localizacin

Servidor de

aplicaciones

PowerEdgeTM 1900

Servidor en torre dencleo cudruple con 2sockets

Dell 2 Centro proceso

datos Valencia

PCs ProcesadorIntel CoreTM 2 DuoE6000

Chipset Q965 ICH8DOcompatible con ActiveManagement Technology(iAMT 2.1) de Intel

Solucin LAN GigabitEthernet de Intel

Dell 2 Centros deValencia yAlbacete


57/74


Caso de Estud io

51

Otros Activos del proceso


Impresoras Hardware 2 Centros de trabajo


58/74


Caso de Estud io

52

TIEMPO MXIMO DE RECUPERACIN DE LOS PROCESOS

ProcesoNecesidades deRecuperacin

Criticidad

PEDIDOS En 2-3 das 1

El proceso de Pedidos es clave para la organizacin, ya que si no se puedengestionar los pedidos de los clientes la empresa no puede dar servicio y por lotanto incurrir rpidamente en prdidas. Por ello es importante que este procesose recupere lo antes posible.

ProcesoNecesidades deRecuperacin

Criticidad

NOMINAS En 15-30 das 3

Aunque el proceso de Nminas es importante, la compaa puede esperarsemanas a que se restablezca y crear procedimientos alternativos como porejemplo, repetir el ltimo pago de nmina a los trabajadores y realizar lascompensaciones correspondientes, cuando estn disponibles de nuevo lossistemas.


59/74


Caso de Estud io

53

ANLISIS DE RIESGOS

Una parte importante dentro del desarrollo del Plan de Continuidad es el Anlisis

de Riesgos. Este anlisis permitir a la compaa conocer sus riesgos ygestionarlos de forma adecuada.

Existen diferentes metodologas de riesgo (NIST, MAGERIT, OCTAVE, etc.) quepueden aplicarse para realizar el Anlisis de Riesgos. Para el ejemplorealizaremos un anlisis con un enfoque general, sin entrar en metodologasconcretas ni valoraciones de los activos.

Tomando como ejemplo el inventario de los procesos descritos y las premisasdescritas en la presentacin de la compaa, elaboraremos el Anlisis de Riesgos.

INVENTARIO DE ACTIVOS

Acti vo/Descripc in Tipo Propietaro Local izacin Valor

SERVIDOR DEAPLICACIOMES

Hardware ---- Centro deProceso dedatos

MEDIO

APLICACIN DEPEDIDOS

Aplicacin ---- Serv

guia desarrollo plan continuidad negocio

Documents