18
Preparatoria Ensayo Nombre: Ruben Orlando Rodriguez Bañuelos Matrícula: 2683319 Nombre del curso: Recuperación de desastres evaluación del proceso del negocio y administración Nombre del profesor: Ing. Lauro Rubén Rodríguez Bravo Módulo: 1 Actividad: Actividad integradora 1 Fecha: 21/03/2013 Equipo: NA Bibliografía: Actividad integradora 1 Instrucciones: Lee el siguiente caso y da respuesta a las preguntas que se mencionan al final. En esta actividad, pondremos en práctica parte de la realidad vivida en nuestro país recientemente y la empataremos con los conceptos estudiados en los temas de este módulo. Después de las inundaciones provocadas por el huracán Alex, muchas personas, empresas e infraestructura, fueron y siguen estando afectadas. Tomando esto como caso vivencial, un desastre declarado y muy publicado (ya sea porque radiques en Nuevo León o porque lo hayas visto por medio de la televisión) al igual que otros estados, se han llevado a cabo planes de recuperación y contingencia. Lo que nos ocupa el día de hoy es empatarlo con el tema del módulo. De acuerdo a lo leído en el capítulo correspondiente al libro de texto y en los materiales del curso, analiza el impacto que puede traer al negocio de venta de computadoras, impresoras, periféricos y equipos consumibles de sistemas, la pérdida total después del paso del huracán Alex. Se considera que el negocio estaba localizado en la Avenida Constitución (que fue la más afectada) y que por ello ha sufrido pérdidas en todos los sentidos. 1. Realiza un plan de continuidad de negocio. Deberás hacer lo necesario para que pueda realizarse hasta el paso de Diseño y desarrollo del plan del BCP. Un plan de continuidad de negocio (BCP) consta de: o Inicio y administración del proyecto. o BIA, Análisis de impacto al negocio. o Estrategias de recuperación. o Diseño y desarrollo del plan. o Entrenamiento. o Implementación y pruebas. o Monitoreo y mantenimiento. 2. Da un ejemplo para Entrenamiento. 3. ¿Qué harías para Implementación y Pruebas? Envía la actividad a tu tutor, en formato de ensayo.

TArea tecmilenio

Embed Size (px)

DESCRIPTION

g

Citation preview

Page 1: TArea tecmilenio

PreparatoriaEnsayo

Nombre: Ruben Orlando Rodriguez Bañuelos Matrícula: 2683319

Nombre del curso: Recuperación de desastres evaluación del proceso del

negocio y administración

Nombre del profesor:  Ing. Lauro Rubén Rodríguez Bravo

Módulo:

1

Actividad:Actividad integradora 1

Fecha: 21/03/2013 Equipo: NA

Bibliografía:

Actividad integradora 1

Instrucciones:

Lee el siguiente caso y da respuesta a las preguntas que se mencionan al final.

En esta actividad, pondremos en práctica parte de la realidad vivida en nuestro país recientemente y la empataremos con los conceptos estudiados en los temas de este módulo.

Después de las inundaciones provocadas por el huracán Alex, muchas personas, empresas e infraestructura, fueron y siguen estando afectadas. Tomando esto como caso vivencial, un desastre declarado y muy publicado (ya sea porque radiques en Nuevo León o porque lo hayas visto por medio de la televisión) al igual que otros estados, se han llevado a cabo planes de recuperación y contingencia. Lo que nos ocupa el día de hoy es empatarlo con el tema del módulo.

De acuerdo a lo leído en el capítulo correspondiente al libro de texto y en los materiales del curso, analiza el impacto que puede traer al negocio de venta de computadoras, impresoras, periféricos y equipos consumibles de sistemas, la pérdida total después del paso del huracán Alex. Se considera que el negocio estaba localizado en la Avenida Constitución (que fue la más afectada) y que por ello ha sufrido pérdidas en todos los sentidos.

1. Realiza un plan de continuidad de negocio. Deberás hacer lo necesario para que pueda realizarse hasta el paso de Diseño y desarrollo del plan del BCP.Un plan de continuidad de negocio (BCP) consta de:

o Inicio y administración del proyecto.

o BIA, Análisis de impacto al negocio.

o Estrategias de recuperación.

o Diseño y desarrollo del plan.

o Entrenamiento.

o Implementación y pruebas.

o Monitoreo y mantenimiento.2. Da un ejemplo para Entrenamiento.3. ¿Qué harías para Implementación y Pruebas?

Envía la actividad a tu tutor, en formato de ensayo.

1. Realiza un plan de continuidad de negocio. Deberás hacer lo necesario para que pueda realizarse hasta el paso de Diseño y desarrollo del plan del BCP.Un plan de continuidad de negocio (BCP) consta de:

o Inicio y administración del proyecto.

o BIA, Análisis de impacto al negocio.

o Estrategias de recuperación.

o Diseño y desarrollo del plan.

o Entrenamiento.

o Implementación y pruebas.

o Monitoreo y mantenimiento.

http://bbsistema.tecmilenio.edu.mx/webapps/blackboard/execute/courseMain?course_id=_119824_1
http://bbsistema.tecmilenio.edu.mx/webapps/blackboard/execute/courseMain?course_id=_119824_1
Page 2: TArea tecmilenio

PreparatoriaEnsayo

4. Da un ejemplo para Entrenamiento.

5. ¿Qué harías para Implementación y Pruebas?

Título:Actividad integradora 1

Introducción:

Desarrollo:

Conclusión:

Explicación del tema 1

Recuperación de desastres, evaluación del proceso del negocio y administración de riesgosTema 1. Los desastres y sus consecuencias en las operaciones del 

negocio1.1 Desastres y otras interrupciones

¿Qué es un desastre?

Definiremos un desastre como todo aquel incidente que provoque una interrupción en las operaciones del negocio. Estas interrupciones pueden variar en su duración desde minutos hasta días, y adicionalmente impactarán negativamente las operaciones del negocio.

La magnitud de los desastres no sólo debe medirse en términos financieros. También se deberán considerar en términos de pérdidas de:

La confianza de los consumidores.

Participación de mercados.

Ventas directas.

Vidas humanas.

De productividad.

Entre otras.

Los desastres pueden ser ocasionados por la naturaleza, fallas en servicios y por el hombre.

Page 3: TArea tecmilenio

PreparatoriaEnsayo

Impactos de desastres en la empresa

Los daños ocasionados a la empresa como consecuencia de estos desastres, pueden ser tan devastadores que incluso lleguen a ocasionar el cierre del negocio.

La pérdida de confianza y el daño a la imagen de la empresa deberán ser tratadas por el departamento de Relaciones Públicas de la misma, de tal forma que se minimicen los daños y aseguren que la crisis no sea peor.

Las empresas deberán contar con prácticas enfocadas a minimizar los daños ocasionados por una interrupción ocasionada por algún desastre. Para esto deberán tener establecidas políticas y procedimientos para enfrentarlos. Reaccionar ante estas crisis no es una labor sencilla.

Se deberá nombrar un vocero oficial quién será el único autorizado para emitir declaraciones ante la opinión pública. Su labor será la de informar el estado de avance de las investigaciones y reportar los resultados una vez que se cuente con ellos. Además será quien presente las acciones correctivas pertinentes.

1.2 Planeación de Continuidad de Negocios (BCP Business Continuity Plan)

Se deberá contar con un Plan de Recuperación de Desastres (BCP) para restaurar las operaciones del negocio de una manera eficiente. El plan de continuidad de los sistemas de información es un componente crítico pues la mayoría de los negocios dependen de la disponibilidad de los sistemas.

De acuerdo a Leo Wrobel (1993) un Plan de Recuperación de Desastres es “un concepto que le asegura a la

organización la habilidad de continuar con las operaciones del día a día a pesar de la interrupción ocasionada por un desastre, mediante la implementación inmediata de un procedimiento documentado, pre planeado y bien ensayado por los responsables del sistema.”

Page 4: TArea tecmilenio

PreparatoriaEnsayo

Los principales objetivos de un plan de recuperación de desastres deben contemplar:

Proteger vidas humanas.

Minimizar las pérdidas.

Maximizar la capacidad de recuperación.

Mantener la posición competitiva de la empresa.

Mantener la confianza de los clientes.

El BCP deberá estar diseñado de tal forma que apoye el logro de los objetivos del negocio. Para lograr esto el primer paso será definir la criticidad de los diferentes sistemas de información. Se deberá validar la importancia de cada aplicación en el logro de objetivos para de ahí establecer el plan. En este plan se deberán incluir tanto el hardwarecomo el software necesarios.

El BCP deberá establecer qué es lo que se debe hacer en caso de un desastre contestando a las siguientes preguntas:

¿Cómo se restablecen los sistemas de cómputo?

¿Cuál es el proceso de recuperación de información?

¿Dónde se encuentran los equipos de respaldo y cuáles son sus capacidades?

¿Qué proveedores deberán involucrarse en el proceso?

Los planes de recuperación de desastres son costosos, por tal motivo será de suma importancia establecer cuáles son los procesos críticos, el tiempo requerido de recuperación de los mismos y su costo. Para esto se deberá contar con un análisis costo-beneficio.

Etapas de un Plan de Continuidad de Negocio

1.3 Políticas de Continuidad de Negocios

Las políticas de continuidad del negocio deben ser proactivas e incluir controles preventivos, correctivos y de detección. Dentro de estas políticas, el BCP es el control correctivo de mayor importancia.

Las políticas de continuidad de negocio, deberán estar alineadas con los objetivos de la empresa. Así mismo, estas políticas deberán basarse en lo que se denomina lasmejores prácticas.

Existen diferentes organizaciones internacionales como ISACA, IEEE e ISO que en sus estándares describen cuáles son las mejores

Page 5: TArea tecmilenio

PreparatoriaEnsayo

prácticas. Esto es el resultado de la aplicación de diferentes metodologías de trabajo en diversas empresas en el mundo. A partir de los resultados obtenidos, establecen la mejor forma de trabajo. y esto es lo que se aplica como una política que utiliza las mejores prácticas.

Es importante reconocer que no todas las políticas son aplicables a nuestra empresa. Se deberá realizar un análisis y seleccionar solo aquellas políticas acordes a nuestros objetivos. Esas políticas serán las que guíen las acciones de nuestro BCP.

Debes recordar que, para tener éxito, las políticas de BCP, al igual que cualquier otra política de la empresa, deben ser promulgada, apoyada y difundida por la alta dirección.

Para minimizar los efectos de un desastre, se deberá contar con respaldos de información, personal entrenado en la administración de crisis y un BCP bien diseñado, documentado, probado, financiado y auditado.

Ejemplo

Un buen ejemplo de lo que debe ser un BCP lo puedes encontrar en el Plan de Continuidad del Negocio del MIT (Massachusetts Institute of Technology).ingresa a su página http://web.mit.edu y en buscar escribe “MIT Business Continuity Plan” ,selecciona la liga Massachusetts Institute of Technology Public version Business al archivo en formato pdf.

Explicación del tema 2

Recuperación de desastres, evaluación del proceso del negocio y administración de riesgosTema 2. Análisis de impactos al negocio y estrategias de recuperación

2.1 Administración de Incidentes

Los incidentes y las crisis a las que se enfrenta una empresa son dinámicos. Esto quiere decir que evolucionan a través del tiempo y tienen las características de ser rápidos e imprevisibles. Como lo viste en el tema anterior, debemos ser proactivos para enfrentar los incidentes, y para lograrlo debemos asegurar que nuestra administración de incidentes sea dinámica y bien documentada para ser exitosa.

Clasificación de Incidentes

Clasificación de Incidentes

Sin importancia Eventos Menores Incidentes Mayores Crisis

No causan daños perceptibles o significativos.

Por ejemplo, caídas breves del Sistema Operativo sin pérdida de información o interrupciones breves en la energía eléctrica con respaldos de UPS.

Poco significativos y no producen un impacto financiero o material relevante.

Por ejemplo, la falla de algunos de los puntos de venta (cajas) de un supermercado.

Causan un impacto material negativo sobre los procesos del negocio e incluso pueden afectar otros sistemas de la empresa y/o de los clientes.

Por ejemplo, la suspensión de actividades bancarias como resultado de una falla en su base de datos.

Pueden causar un impacto material severo que afecte la continuidad del negocio con efectos sobre otros sistemas propios y de clientes. La severidad de estos incidentes es directamente proporcional al tiempo transcurrido desde su inicio hasta su resolución.

Por ejemplo, la falla el servidor Web de una empresa dedicada a la venta de productos solamente vía Internet.

Todos los incidentes sin importar su clasificación deben ser documentados. Esta documentación debe incluir los detalles de cada incidente, su clasificación y su seguimiento. Este es un proceso dinámico que nos permitirá monitorear cada problema desde su generación hasta su resolución. No podemos perder de vista el hecho que incluso algunos incidentes podrán variar de una clasificación a otra durante el tiempo de duración. Adicionalmente, la documentación nos servirá como historial y herramienta de análisis.

http://bbsistema.tecmilenio.edu.mx/bbcswebdav/institution/UTM/tetramestre/profesional/cb/cb09104/anexos/explica1.htm
Page 6: TArea tecmilenio

PreparatoriaEnsayo

El análisis de incidentes se convertirá en una herramienta de planeación. Éste nos permitirá desarrollar planes de contingencia más acertados e incluso prevenir algunos. Por ejemplo, podemos encontrar que la causa real de un incidente radica en el espacio disponible del disco duro. (Recordemos que cuando se ejecutan aplicaciones se generan archivos temporales para su operación y si no hay espacio disponible fallarán). De tal forma que al incrementar nuestra capacidad de almacenamiento podamos evitarlos.

Para lograr una administración eficiente de los incidentes, se deberá nombrar un responsable de seguridad a quién se le deben reportar todo tipo de problema. Él llevará el registro de los incidentes y será quien se encargue de iniciar las acciones correctivas pertinentes. Estas acciones correctivas deberán estar documentadas de tal forma que se siga el protocolo de solución de problemas indicado.

Para clasificar un incidente se deberá tomar en cuenta:

El impacto sobre los datos.

El impacto material.

Impacto sobre otras aplicaciones.

Impacto con los clientes.

Tiempo de improductividad.

Análisis de impacto al negocio

El objetivo de esta etapa es identificar los diversos riesgos que pueden tener un impacto en la empresa ya sea financiero, humano, legal y de reputación, así como en la continuidad de diferentes procesos.

Para realizar un análisis de impactos exitosos, será necesario que el responsable de su elaboración tenga un entendimiento claro de la organización, de los procesos claves del negocio y de las aplicaciones de SI (Sistemas de Información) que los soportan. Además, para poder establecer el grado de criticidad será necesario que la alta dirección de la empresa se involucre en el proceso al igual que los usuarios finales y el departamento de TI. (Tecnología Informática)

Existen diferentes métodos para recopilar información al realizar un análisis de impacto, a continuación se presentan los 3 más comunes.

Métodos para realizar un análisis de impactos

Cuestionario Entrevistas Reuniones

- Es el método más popular.- Se desarrolla un cuestionario y se solicita a los usuarios claves que lo llenen.- La información recopilada se tabula y analiza.

- Se procede a entrevistar a los usuarios claves.- Los resultados de estas entrevistas se tabulan y analizan.

- Se reúne el personal y se busca llegar a un acuerdo en cuanto al impacto al negocio de las diferentes interrupciones.

Independientemente del método a utilizar, se deberá contestar a las siguientes preguntas:

1. ¿Cuáles son los diferentes procesos del negocio?2. ¿Cuáles son los recursos de información crítica relacionados con los procesos críticos negocio de la empresa?3. ¿Cuál es el período crítico de tiempo de recuperación para los recursos de información, antes de que se experimenten

pérdidas significativas?

En cualquier estrategia de recuperación de desastres, se debe tomar en cuenta que existe una relación inversa entre el tiempo y el costo de recuperación. A mayor tiempo tolerable de recuperación, un costo menor y a menor tiempo tolerable de recuperación, un costo mayor.

Page 7: TArea tecmilenio

PreparatoriaEnsayo

Una vez identificada la información anterior podemos proceder a clasificar los sistemas.

Clasificación de los sistemas

Clasificación Descripción Ejemplo

Crítico

Estas funciones sólo pueden ser reemplazadas por capacidades idénticas. No pueden ser reemplazadas por métodos manuales. Tienen una tolerancia a interrupciones muy baja. El costo de interrupción es muy alto.

El sistema de toma de pedidos de una empresa como Amazon.com.

Vital

Son funciones que pueden ser realizadas manualmente pero solamente durante un período corto de tiempo. Mayor tolerancia a interrupciones que en los sistemas críticos. Los costos de interrupción son más bajos siempre y cuando se restablezcan las operaciones en un período no mayor a 5 días.

El sistema contable de una empresa manufacturera.

Sensitivo

Las funciones de estos sistemas pueden ser realizadas manualmente a un costo razonable y durante un período prolongado de tiempo. Sin embargo, se requiere de personal adicional para poder llevarlos a cabo.

El sistema de nómina de una empresa pequeña.

 No sensitivo

Sistemas con funciones que pueden ser interrumpidas por un período largo de tiempo y a un costo insignificante para la empresa. Además requieren de poco esfuerzo para recuperar la información cuando el servicio se restablezca.

El sistema de registro de visitantes de una empresa.

2.2 Estrategias de recuperación

Una vez realizados los análisis de impactos sobre el negocio y el análisis de criticidad, se podrá proceder a definir las estrategias de recuperación. Sin embargo, para poder establecerlas antes, será necesario definir el Objetivo de Punto de Recuperación (RPO, Recovery Point Objetive) y el Objetivo de Tiempo de Recuperación (RTO, Recovery Time Objetive).

Imagen obtenida de: http://www.ccisa.com.mx. Sólo para fines educativos.

El RPO determina la cantidad permitida de pérdida de información en caso de una interrupción, básicamente, para establecer cada cuanto tiempo se deben realizar los respaldos de información. Por su parte, el RTO establece la cantidad de tiempo improductivo aceptable, con la finalidad de conocer cuánto tiempo tengo para reanudar el servicio. A menor RTO y RPO, más costo.

Una estrategia de recuperación de desastres debe combinar medidas preventivas, de detección y corrección buscando cuando sea posible eliminar las amenazas completamente y minimizar la probabilidad de que ocurran y sus efectos.

Se deberán desarrollar diferentes estrategias y presentarlas a la alta dirección para seleccionar las más indicadas. La selección de la

Page 8: TArea tecmilenio

PreparatoriaEnsayo

estrategia dependerá de:

La criticidad del proceso.

El costo de recuperación.

El RPO y RTO.

Nivel de seguridad.

2.3 Alternativas de recuperación

Para aquellos eventos en los que las instalaciones físicas se ven afectadas y en cuyo caso el recuperar las operaciones del negocio serían prolongadas, se requieren alternativas de solución distintas a la ubicación primaria. Para estos casos existen soluciones alternativas como las que se muestran a continuación:

Hot site: Es una instalación que cuenta con hardware, software y equipos de comunicación compatibles con los originales. Se configura y está listo para operar en un plazo de varias horas. Su costo es elevado pero no tanto como el de instalaciones duplicadas.

Warm site: Es una instalación parcialmente configurada. Cuenta con conexiones y equipos de red, unidades de disco, unidades de cinta y controladores. No cuenta con la computadora principal, razón por la cual su costo es inferior al del hot site. El sitio estará listo para reanudar operaciones en unas horas, sin embargo el tiempo total de recuperación dependerá principalmente de la adquisición de la computadora principal lo cual puede llevar varios días o semanas.

Cold site: Este site solo se encuentra listo para recibir equipos. Cuenta con instalaciones eléctricas, cableado, aire acondicionado, pisos y suelo falso. La activación de este puede llevar varias semanas. El tiempo que se requiera para conseguir e instalar los equipos. Por lo anterior es más económico que un warm site.

Instalaciones duplicadas: Son también llamadas instalaciones redundantes pues son una réplica de nuestro sitio primario. Cuentan con hardware, software, equipos de comunicaciones e infraestructura igual al sitio que están respaldando. Están configuradas y cuentan con la información lista para reanudar las operaciones en cuestión de minutos. Por lo anterior representa la alternativa más cara de las mencionadas.

Sitio móviles: Consiste básicamente de un remolque con servidores, computadoras de escritorio, equipos de comunicación, incluso equipos de microondas y satélite. Son utilizados en situaciones de desastres expandidos.

Acuerdos con otras empresas: Es un método utilizado con poca frecuencia y consiste básicamente en un acuerdo entre empresas con equipos similares en donde se comprometen mutuamente a brindar tiempo de computadora a su contraparte en caso de emergencia. En muchas ocasiones estos acuerdos son organizados por los proveedores de equipo cuando las computadoras utilizadas son escasas o muy costosas.

Explicación del tema 3

Recuperación de desastres, evaluación del proceso del negocio y administración de riesgosTema 3. Diseño de planes de continuidad del negocio y recuperación de desastres

3.1 Recursos requeridos

Los recursos requeridos en la elaboración de un plan de continuidad de negocio incluyen el equipo computacional (el cual ya tratamos en el tema anterior), el recurso humano y los datos.

En este punto trataremos la parte del recurso humano, y definiremos el personal que deberá estar involucrado y sus responsabilidades.

Al final de este módulo, trataremos la parte de datos. Básicamente, hablaremos de los diferentes métodos de respaldo de información.

Asignación de responsabilidades y formación de equipos

Antes de plantear y describir las funciones de los equipos involucrados en el proceso de recuperación de desastres, veamos la siguiente tabla en donde se muestran las

Page 9: TArea tecmilenio

PreparatoriaEnsayo

responsabilidades de departamentos y personas en un Plan de Continuidad de Negocio.

Departamento Responsabilidad

Alta administración

Iniciar el proyecto.

Responsables finales.

Aprobación y apoyo del proyecto.

Administración Media Identificación y jerarquización de procesos críticos.

Comité BCP

Planeación de BCP.

Administración operaciones del plan.

Implementación y pruebas al BCP.

Unidades funcionales del negocio

Implementación y pruebas BCP.

Comunicación del plan.

Departamento de Auditoria de IT

Revisión de BCP.

Evaluación de pruebas del plan.

Revisión de:

o Instalaciones externas.

o Contratos de procesamiento externo.

o Coberturas de seguros.

Equipos de Recuperación de desastres

Los siguientes representan los equipos de recuperación de desastres que se pueden formar:

Equipo de respuesta a incidentes: Es el equipo responsable de recibir todos los reportes de incidentes para decidir cuál es la acción correspondiente.

Equipo de acción de emergencias: Representa el primer equipo de respuesta ante un desastre. Su función principal es la de evacuar las instalaciones y tomar las acciones necesarias para salvaguardar la vida del personal.

Equipo de evaluación de daños: Sus funciones principales son las de evaluar los daños, sus causas y estimar el tiempo en que se pueden recuperar las operaciones del negocio.

Equipo de administración de emergencias: Este equipo está formado por ejecutivos y administradores. Serán los responsables de expresar comentarios ante la prensa y el manejo de las relaciones públicas. Es además el equipo responsable de coordinar a todos los demás equipos y responsable de la toma de decisiones claves. Es también el responsable de manejar las finanzas.

Equipo de salvamento: Responsables de la reconstrucción de las instalaciones dañadas. Entre sus actividades se incluyen limpiar las instalaciones, analizar activos destruidos y recuperarlos, llenar las formas de seguros y realizar los trámites legales correspondientes y restaurar los documentos digitales y en papel.

Equipo de comunicaciones: Su responsabilidad principal es la de instalar equipos de comunicaciones (radios, teléfonos, fax, etcétera) en las instalaciones de recuperación alternas.

Equipo de seguridad: Responsables de la administración de seguridad durante la crisis. Deberán coadyuvar a mantener el orden.

Equipo de operaciones de emergencias: Formado por operadores y supervisores familiarizados con las operaciones del negocio. Se ubican en el sitio alterno y operan los sistemas.

Equipo de transporte: Responsables de proporcionar el transporte del personal a las instalaciones de recuperación.

Equipo de coordinación: En caso de existir varias localidades alternas, serán quienes administren el funcionamiento y comunicaciones entre ellas.

Equipo de soporte administrativo: Realizarán las operaciones de soporte necesarias para la administración del negocio como por ejemplo el pago de nóminas y registros contables.

Equipo de abastecimientos: Responsable de las compras de insumos necesarios.

Page 10: TArea tecmilenio

PreparatoriaEnsayo

Equipo de relocalización: Serán los responsables al término de la crisis de coordinar el regreso a las instalaciones.

Equipo de Pruebas de recuperación: Responsables de probar el BCP/DRP y determinar su efectividad.

3.2 Componentes del Plan

Dependiendo del tamaño y los requerimientos de la organización, se podrán desarrollar diferentes planes que formen parte del BCP. Entre ellos están:

Plan de continuidad de operaciones.

Plan de recuperación de desastres.

Plan de reanudación del negocio.

Plan de soporte de continuidad.

Plan de comunicaciones de crisis.

Plan de respuesta a incidentes.

Plan de transporte.

Plan de emergencia de ocupantes.

Estos planes también deben estar protegidos. Se recomienda que se tengan copias de los planes almacenadas en los sitios alternos y en las casas de los responsables de los diferentes equipos de recuperación.

Otro componente consiste en la elaboración de una lista de los involucrados en los planes de recuperación de desastres con la información de dónde se pueden localizar, e incluir un directorio telefónico. Este directorio se distribuirá entre los miembros de los equipos de recuperación para su fácil localización.

El plan de recuperación de desastres, adicionalmente a los procesos de recuperación de hardware y software computacional, debe considerar los equipos de telecomunicaciones. En las empresas actuales los equipos de comunicaciones tienen tanta importancia como los equipos de cómputo. La responsabilidad de las comunicaciones recae en las empresas y no en los proveedores de servicios de telecomunicaciones. Por lo tanto, la empresa deberá crear su propio plan para recuperar las comunicaciones en caso de fallas.

Algunos métodos para protección de las redes son:

Redundancia. Utilizando capacidad extra. Mediante cableado adicional y equipo duplicado de ruteadores y switches adicionales que serían utilizados en caso de falla.

Direccionamiento alternativo. Contar con medios de comunicación alternativos en casos de fallas. Por ejemplo, si la información se transmite vía inalámbrica, es importante contar con un cableado a utilizar en caso de fallas.

Direccionamiento diverso. Instalación duplicada de cables para mantener una vía de comunicación. Por ejemplo, la instalación duplicada de cables. Puede ser por el mismo conducto.

Diversidad de red de largo alcance. Esta facilidad la proveen las compañías de comunicación de larga distancia. Consiste en un acuerdo entre los diversos proveedores del servicio para que,  en caso de fallas, la señal se pueda conmutar entre los diferentes medios de los proveedores.

Protección de circuito de “última milla”. Consiste en una combinación de líneas T1, microondas y cableado redundante

Page 11: TArea tecmilenio

PreparatoriaEnsayo

entre proveedores de servicios locales de comunicación. Similar al de red de largo alcance pero con proveedores locales.

Recuperación de voz. Cableado redundante para los servicios de comunicaciones de voz. Puede incluirse el uso de VoIP (Voice over IP) para comunicación de voz por Internet.

Tolerancia de fallas: Este componente se enfoca a la parte de hardware. Existen dos orientaciones básicas en este aspecto. Una de ellas a nivel servidor y la otra a nivel discos. A nivel servidor se utilizan clústeres de computadoras para en caso de que una falle no se pierda la capacidad total de computo. A nivel discos, la tolerancia a fallas se refuerza mediante lo que se llama “Arreglo Redundante de Discos Independientes” (RAID por sus siglas en inglés).

Existen muchos niveles de RAID sin embargo los más usados se presentan en el diagrama siguiente:

Imagen obtenida de: :http://www.vicosoft.org/blog/raid/Sólo para fines educativos.

Otro componente del BCP son los seguros. El contar con seguros para los equipos de cómputo debe establecerse desde las políticas de la empresa. Las coberturas de los mismos pueden ser muy variables dependiendo del análisis de riesgo y criticidad.

3.3 Pruebas del plan de continuidad y recuperación

Page 12: TArea tecmilenio

PreparatoriaEnsayo

La única forma de saber si el plan funciona es llevarlo a cabo. No podemos asegurar el buen funcionamiento de un plan hasta que lo hemos probado. Lo más seguro es que durante las pruebas nos demos cuenta que existen ajustes que debemos realizar. Esta es la forma en que mejoraremos el buen funcionamiento de nuestro plan.

Los métodos de pruebas son muy variados y van desde muy simples hasta extremadamente complejos. Sin importar el método que se use, el objetivo es aprender de la práctica y mejorar el proceso en cada ocasión que se encuentre un problema.

Pruebas de papel: Es el equivalente a una prueba de escritorio. Esto significa que se reúnen los responsables de ejecutar el plan y lo revisan para detectar áreas de oportunidad y analizar que pasaría en caso de un incidente verdadero.

Prueba de preparación: Se realiza un simulacro de una suspensión de algunos de los procesos y sistemas del negocio para evaluar el plan. Es una prueba en etapas.

Prueba operativa total: Se realiza una suspensión total del servicio de sistemas para ejecutar el plan completo de continuidad de negocio.

Mantenimiento del Plan

Lo único constante es el cambio, y por esa razón los BCP deben ser dinámicos. Los planes deben ser actualizados para ajustarse a los cambios en la organización. El mejor plan de BCP puede desactualizarse en 6 meses o menos. Se deberán asignar responsables para llevar a cabo la actualización de los planes de acuerdo a los cambios en el entorno. Una herramienta de software para administrar planes de continuidad puede ser muy útil para dar seguimiento a las tareas de mantenimiento.

Finalmente se deberán establecer controles que garanticen el correcto funcionamiento del plan.

3.4 Respaldos y recuperación de información

Los respaldos de información consisten en guardar una copia de la información en dispositivos secundarios de almacenamiento como cintas o discos duros removibles. Se deberán respaldar datos y programas. Se recomienda que estos respaldos se almacenen en una instalación remota pues en caso de un desastre, por ejemplo, un incendio corremos el riesgo que los respaldos sean dañados. Esta instalación remota debe ser tan segura como la instalación principal.

Se deberán realizar respaldos periódicos de la información. La periodicidad de los mismos varía de acuerdo a la aplicación. Por ejemplo, en un sistema de contabilidad en donde los archivos se actualizan mensualmente se deberá realizar un respaldo al terminar de procesarlos. Por el contrario, en un sistema en línea en donde se registran un gran volumen de información se deberá respaldar al menos cada

noche.

Existen varios métodos de rotación de respaldos, el más común es el denominado Abuelo-Padre-Hijo en donde se realizan las copias de respaldo (hijos) diariamente durante una semana. La copia al final de la semana se convierte en el padre. Los medios utilizados durante la semana se reutilizan para almacenar la información en la siguiente semana. Al final del mes, la copia final de la semana es almacenada y se le denomina abuelo.

Existen 3 métodos básicos para respaldar información. Entre ellos se podrán realizar diferentes combinaciones. Estos 3 métodos son:

Page 13: TArea tecmilenio

PreparatoriaEnsayo

Copia completa: Como su nombre lo indica se realiza una copia de todos los archivos y programas.

Copia diferencial: Sólo se respaldan los archivos que han sido modificados o creados desde la última copia completa. 

Copia incremental: Sólo respalda los datos creados o modificados desde la última copia o respaldo ya sea completo o incremental.

Explicación del tema 4

Recuperación de desastres, evaluación del proceso del negocio y administración de riesgosTema 4. Auditoría al plan de continuidad del negocio

4.1 Revisión del plan de continuidad

La revisión del plan de continuidad es una tarea que debe realizarse de manera continua. El plazo estimado para esta revisión varía de entre 6 a 12 meses. Una de las herramientas utilizada para revisar el plan de continuidad es mediante una auditoría.

Las tareas de auditor de un plan de continuidad de negocio incluyen:

Entender y evaluar el BCP y su relación con los objetivos del negocio.

Evaluar el BCP para determinar si es adecuado y está actualizado.

Comparar el BCP con estándares y regulaciones gubernamentales.

Verificar la efectividad del BCP analizando las pruebas realizadas y revisando los resultados reportados.

Revisar las condiciones del sitio alterno: instalaciones, contenido, seguridad y condiciones ambientales.

Evaluar la capacidad del personal para responder a situaciones de emergencia.

Revisar los procedimientos de emergencia y la capacitación de los empleados.

Asegurar que exista y se realice un plan de mantenimiento al BCP.

Revisar los contratos y acuerdos que se incluyan en el BCP.

Revisar las pólizas de seguro.

Evaluar manuales y procedimientos de BCP.

A continuación se presenta una serie de preguntas que servirán como guía al auditor y lo guiarán en el desarrollo de la auditoría.

¿Quién es el responsable de coordinar y administrar el BCP?

¿Quién es el responsable de mantener el BCP actualizado?

¿Existen los equipos responsables de la implementación del plan?

¿Dónde están almacenadas las copias de los BCP?

¿Qué sistemas críticos cubre el BCP?

¿Qué equipos y aplicaciones no están cubiertas en el BCP? Y, ¿por qué?

¿Existen supuestos especiales para el plan? ¿Cuáles?

¿El BCP especifica puntos de reunión?

¿Los procedimientos documentados son adecuados?

¿Existe una clasificación de desastres? Y, ¿cómo actuar ante cada una?

¿Incluye planes de recuperación para telecomunicaciones?

¿Dónde se encuentra ubicado el sitio alterno?

¿En caso de no poder regresar al sitio original existe uno alterno?

¿Existen respaldos adecuados de información?

¿Qué método y frecuencia de respaldos tienen?

¿Qué medios se utilizan para respaldar información?

¿Dónde se almacenan los respaldos?

¿Cuáles son los procesos para restaurar los respaldos?

¿Están documentados los procesos de respaldo y de restauración de datos?

¿Qué entrenamiento se ha dado a los usuarios y al personal responsable del BCP?

¿Existe una lista de prioridades de los usuarios para su reequipamiento?

¿Existe un cronograma de pruebas?

Page 14: TArea tecmilenio

PreparatoriaEnsayo

La lista anterior no es exhaustiva y cada auditor podrá formularse las preguntas que considere necesarias para su auditoría en particular.

A continuación abordaremos algunos de los temas más relevantes en el proceso de auditoría.

Evaluación de resultados de pruebas anteriores

Los resultados de las pruebas anteriores deben ser resguardados por el coordinador del BCP.

El auditor revisará estos resultados y las acciones que se hayan llevado a cabo para corregir las áreas de oportunidad detectadas.

4.2 Evaluación del sitio alterno

El sitio alterno debe ser evaluado para asegurar la presencia, sincronización y vigencia de los datos y la documentación necesarios.

Page 15: TArea tecmilenio

PreparatoriaEnsayo

El auditor deberá revisar el estado y la existencia de:

Archivos de datos.

Software de aplicación

Documentación de aplicaciones.

Software del sistema y su documentación.

Documentación de operaciones.

Suministros necesarios.

Formularios.

Una copia del BCP.

El auditor realizará un inventario de los puntos mencionados anteriormente. Y revisará que se encuentren debidamente identificados.

Entrevistar al personal clave

El auditor deberá entrevistar a todo el personal involucrado en el plan de continuidad y recuperación de desastres. En sus entrevistas deberá encontrar:

Si el personal entiende y comprende su labora durante una crisis.

Si cuentan con copias del plan.

Si tienen documentación detallada de sus actividades.

Evaluación de la seguridad del sitio alterno

Los puntos a revisar en cuanto a seguridad en el sitio alterno incluyen:

Controles de acceso físico adecuados.

Pisos falsos.

Controles de humedad.

Controles de temperatura.

Circuitos eléctricos adecuados.

Suministros ininterrumpidos de energía.

Dispositivos de detección de agua.

Detectores de humo.

Sistemas de extinción de incendios.

Revisión del contrato de sitio alterno

El auditor deberá revisar el contrato con el proveedor del sitio alterno considerando lo siguiente:

Que el contrato esté redactado de forma clara y entendible.

En caso de ser un sitio compartido revisar las reglas de uso.

Que los costos del site estén cubiertos por el seguro.

Asegurar que se permita la realización de pruebas a intervalos regulares.

Evaluar los requerimientos de comunicaciones.

Asegurar que el contrato haya sido revisado por un abogado.

Revisar las cláusulas de incumplimiento del servicio.

Revisión del seguro contra desastres

El auditor deberá revisar las cláusulas del seguro buscando entre otras cosas:

Que la cobertura del seguro cubra el costo real de recuperación.

Revisar las primas y costos del seguro.

Revisar la cobertura del seguro (hardware de proceso y comunicaciones).

Cobertura de reemplazos de equipos.

Page 16: TArea tecmilenio

PreparatoriaEnsayo

Cobertura de costo de interrupciones.


Introducción a la mercadotecnia Tecmilenio

Introducción a la mercadotecnia Tecmilenio

Documents
UNIVERSIDAD TECMILENIO DEL SISTEMA TECNOLÓGICO DE MONTERREY

UNIVERSIDAD TECMILENIO DEL SISTEMA TECNOLÓGICO DE MONTERREY

Documents
reglamento_academico Tecmilenio

reglamento_academico Tecmilenio

Documents
FACULTAD DE MEDICINA - cpp.uas.edu.mxcpp.uas.edu.mx/archivos/1378946440.pdf · our Company Name TecMilenio Fundamentos Administración 1 FACULTAD DE MEDICINA

FACULTAD DE MEDICINA - cpp.uas.edu.mxcpp.uas.edu.mx/archivos/1378946440.pdf · our Company Name TecMilenio Fundamentos Administración 1 FACULTAD DE MEDICINA

Documents
RESEARCH, INNOVATION AND DATA … · Twitter/NationalInstituteofPsychiatry/CentroGeo/INFOTEC/TecMilenio/ Upenn/INEGI

RESEARCH, INNOVATION AND DATA … · Twitter/NationalInstituteofPsychiatry/CentroGeo/INFOTEC/TecMilenio/ Upenn/INEGI

Documents
TAREAS DEL 25 AL 29 DE MAYO€¦ · Tarea 3 INGLÉS Tarea 4 3 ª LENGUA Tarea 1 LENGUA Tarea 3 FRANCÉS tarea 2 SOCIALES Tarea 3 LENGUA Tarea 5 4ª LENGUA Tarea 2 INGLÉS Tarea 2

TAREAS DEL 25 AL 29 DE MAYO€¦ · Tarea 3 INGLÉS Tarea 4 3 ª LENGUA Tarea 1 LENGUA Tarea 3 FRANCÉS tarea 2 SOCIALES Tarea 3 LENGUA Tarea 5 4ª LENGUA Tarea 2 INGLÉS Tarea 2

Documents
Lean Management y Gestión de los Riesgos Psicosociales · 2019-11-12 · Tarea 1 Tarea 2 Tarea 3 Tarea 4 Tarea 1 Tarea 2 Tarea 3 Tarea 1 Tarea 1 Tarea 2 Tarea 3 Tarea 4 Tarea 2 Tarea

Lean Management y Gestión de los Riesgos Psicosociales · 2019-11-12 · Tarea 1 Tarea 2 Tarea 3 Tarea 4 Tarea 1 Tarea 2 Tarea 3 Tarea 1 Tarea 1 Tarea 2 Tarea 3 Tarea 4 Tarea 2 Tarea

Documents
ANEXO A Adjunto 1 - Argentina.gob.armepriv.mecon.gov.ar/Normas2/25-11-anexo1.pdf · Tarea Progreso de tarea Tarea crítica Progreso de tarea crítica Hito Resumen Tarea resumida Tarea

ANEXO A Adjunto 1 - Argentina.gob.armepriv.mecon.gov.ar/Normas2/25-11-anexo1.pdf · Tarea Progreso de tarea Tarea crítica Progreso de tarea crítica Hito Resumen Tarea resumida Tarea

Documents
Convenio de colaboración Nombre de la empresa Universidad TecMilenio

Convenio de colaboración Nombre de la empresa Universidad TecMilenio

Documents
Economia TecMilenio

Economia TecMilenio

Documents
Curso "Mayor Felicidad" - Harvard + Tecmilenio

Curso "Mayor Felicidad" - Harvard + Tecmilenio

Health & Medicine
Presentacion APA - Maestria - Tecmilenio

Presentacion APA - Maestria - Tecmilenio

Documents
Tarea 1 y tarea 2

Tarea 1 y tarea 2

Documents
BENEFICIOS DE LA CREDENCIAL - Tecgda.itesm.mx/exatec/cont/Folleto_interactivo.pdf · TECMILENIO Estudia un posgrado o continua preparándote en TecMilenio. Identifícate con tu Credencial

BENEFICIOS DE LA CREDENCIAL - Tecgda.itesm.mx/exatec/cont/Folleto_interactivo.pdf · TECMILENIO Estudia un posgrado o continua preparándote en TecMilenio. Identifícate con tu Credencial

Documents
Convenio de colaboración Nombre de la empresa - Universidad TecMilenio Colocar el logotipo de la empresa

Convenio de colaboración Nombre de la empresa - Universidad TecMilenio Colocar el logotipo de la empresa

Documents
PERFIL GENERAL INGRESO TECMILENIO · 2019-02-16 · Tecmilenio. nos ayuda a definir de manera adecuada las políticas sociales y educativas que se requieren para que esta acción

PERFIL GENERAL INGRESO TECMILENIO · 2019-02-16 · Tecmilenio. nos ayuda a definir de manera adecuada las políticas sociales y educativas que se requieren para que esta acción

Documents
Revista People TECMilenio Magazine

Revista People TECMilenio Magazine

Documents
Portal de Padres Autorización Alumno - Universidad Tecmileniokardex.tecmilenio.mx/Content/docs/AutorizacionAlumno.pdf · 2017-04-21 · https tecmilenio.mx; UNIVERSIDAD TECMILENIO

Portal de Padres Autorización Alumno - Universidad Tecmileniokardex.tecmilenio.mx/Content/docs/AutorizacionAlumno.pdf · 2017-04-21 · https tecmilenio.mx; UNIVERSIDAD TECMILENIO

Documents
Actividad 5 TecMilenio

Actividad 5 TecMilenio

Documents
Proyecto mkt. aqua nova tecmilenio

Proyecto mkt. aqua nova tecmilenio

Technology
FORMATO TECMILENIO

FORMATO TECMILENIO

Documents
Oferta de Experiencias ... - sitios.tecmilenio.mxsitios.tecmilenio.mx/PI/documentos/Universidades/Oferta_Profesion… · o Facilitada por la Universidad Tecmilenio. Algunas ventajas

Oferta de Experiencias ... - sitios.tecmilenio.mxsitios.tecmilenio.mx/PI/documentos/Universidades/Oferta_Profesion… · o Facilitada por la Universidad Tecmilenio. Algunas ventajas

Documents
1er Foro Internacional de Negocios TecMilenio Campus Culiacan

1er Foro Internacional de Negocios TecMilenio Campus Culiacan

Documents
Contabilidad y Administración Financiera. Apuntes de la materia. TecMilenio

Contabilidad y Administración Financiera. Apuntes de la materia. TecMilenio

Documents
Convenio de colaboración Nombre de la empresa Universidad TecMilenio Colocar el logotipo de la empresa

Convenio de colaboración Nombre de la empresa Universidad TecMilenio Colocar el logotipo de la empresa

Documents
Seminario Transformación digital en Ecuador · 2020. 8. 12. · Tarea 1 Tarea 2 Tarea 3 Tarea 4 Tarea 5 Tarea 6 Tarea 7 Tarea 8 Tarea 9 Tarea 10 Tarea 11 Tarea 12 Tarea 13 Tarea

Seminario Transformación digital en Ecuador · 2020. 8. 12. · Tarea 1 Tarea 2 Tarea 3 Tarea 4 Tarea 5 Tarea 6 Tarea 7 Tarea 8 Tarea 9 Tarea 10 Tarea 11 Tarea 12 Tarea 13 Tarea

Documents
Nueva dirección en campus Morelia - Tecnológico de Monterrey · y Productividad por parte de la ... Norte de Universidad TecMilenio. Fue Director General del Campus ... tarea enorme

Nueva dirección en campus Morelia - Tecnológico de Monterrey · y Productividad por parte de la ... Norte de Universidad TecMilenio. Fue Director General del Campus ... tarea enorme

Documents
Universidad TecMilenio

Universidad TecMilenio

Documents
Taller de diseño instruccional para Certificados Tecmilenio · Tecmilenio, comparte tres recomendaciones clave que le darías a un experto en contenidos para desarrollar la sección

Taller de diseño instruccional para Certificados Tecmilenio · Tecmilenio, comparte tres recomendaciones clave que le darías a un experto en contenidos para desarrollar la sección

Documents
Curso Primer Semestre TECMILENIO

Curso Primer Semestre TECMILENIO

Documents