Montoya Fierros Israel Francisco-Ejemplo PDF

INSTITUTO POLITCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERA MECNICA

Y ELCTRICA
UNIDAD PROFESIONAL ADOLFO LPEZ MATEOS
SECCIN DE ESTUDIOS DE POSGRADO E INVESTIGACIN
PROGRAMA DE POSGRADO EN INGENIERA DE SISTEMAS
MAESTRA EN CIENCIAS EN INGENIERA DE SISTEMAS
METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA

CONTINUIDAD Y RECUPERACIN ANTE DESASTRES EN LOS
SISTEMAS DE TECNOLOGAS DE LA INFORMACIN Y
TELECOMUNICACIONES EN LA INDUSTRIA DE LA
MANUFACTURA
E
Q U E
P A R A
O B T E N E R
E L
G R A D O
D E
MAESTRO EN CIENCIAS EN INGENIERA DE SISTEMAS

P
A:
ING. ISRAEL FRANCISCO MONTOYA FIERROS
DIRECTOR DE TESIS:
M. en C. LEOPOLDO ALBERTO GALINDO SORIA
DICIEMBRE 2010
METODOLOGA PARA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN

ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGAS DE LA INFORMACIN Y
TELECOMUNICACIONES EN LA INDUSTRIA DE LA MANUFACTURA.
Agradecimientos
A Dios: Por el apoyo en tiempo y recursos.
A mi Esposa e Hijo: Por el apoyo moral.
A la Empresa: Por el apoyo econmico.
Al M. en C. Leopoldo Galindo: Por el apoyo intelectual.
Ing.IsraelFranciscoMontoyaFierros
Diciembre2010
Resumen
METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y

RECUPERACIN ANTE DESASTRES EN LOS SISTEMAS DE TECNOLOGAS DE LA
INFORMACIN Y TELECOMUNICACIONES EN LA INDUSTRIA DE LA
MANUFACTURA.
RESUMEN
El presente documento resume el trabajo realizado y logros obtenidos en materia de

Continuidad y Recuperacin ante Desastres; esta visin de continuidad operacional se
refleja en el diseo de procesos, la eleccin e implementacin de recursos de
infraestructura, elementos tecnolgicos y de servicios, con nfasis en la redundancia y la
tolerancia a fallas, as como en la seleccin, entrenamiento y evaluacin del personal.
Una amenaza nunca va a desaparecer, siempre estar presente en todos los procesos de
una organizacin. Por lo anterior, buscando un mejoramiento permanente en los
estndares de respuesta y continuidad, se ha esforzado en perfeccionar y formalizar un
mtodo que proporcione una secuencia definida de pasos para elaborar de manera
sistemtica un plan para la continuidad y recuperacin ante desastres en los Sistemas de
Tecnologas de la Informacin y Comunicaciones aplicado a la Industria de la
Manufactura, tomando como base los Marcos de Referencia de las Normas BS 25999,
ISO/IEC 24762 y la metodologa DRII sobre Continuidad del Negocio, logrando la siguiente
metodologa:
Fase 1: Conocer y planificar el medio ambiente organizacional; Fase 2: Analizar, evaluar y
diagnosticar riesgos y su impacto al negocio; Fase 3 Desarrollar el plan de continuidad y
estrategias de recuperacin ante desastres; Fase 4: Capacitar, probar y ejercitar; Fase 5:
Auditora, mantenimiento y actualizacin.
La metodologa objeto de estudio de ste trabajo es el artefacto inicial con el que toda
empresa debera contar sin importar las iniciativas de negocio que tenga previsto lanzar
(arquitecturas empresariales, rediseo de procesos, arquitectura orientada a servicios,
automatizacin y mejora de procesos de negocio), permite que la organizacin est
preparada ante una interrupcin de su negocio, por medio de la definicin y
documentacin de procedimientos y estrategias de recuperacin.
Metodologa para la creacin de un plan para la continuidad y recuperacin

ante desastres en los Sistemas de TICs en la Industria de la Manufactura.
Resumen
METHODOLOGY FOR THE CREATION OF A PLAN FOR THE CONTINUITY AND

RECOVERY BEFORE DISASTERS IN THE TECHNOLOGY SYSTEMS OF THE
INFORMATION AND TELECOMMUNICATIONS IN INDUSTRY OF THE
MANUFACTURE.
ABSTRACT
The present document summarizes the accomplished work and achievements obtained in
Continuity and Recovery matter before Disasters, this operational continuity vision is
reflected in the processes design, the election and implementation of infrastructure
resources, technological elements and of services, with emphasis in the redundancy and
the tolerance to defects, as well as in the selection, training and evaluation of the personal.
A threat never is going to disappear, always will be present in all the processes of an
organization. For the foregoing, seeking a permanent improvement in response and
continuity standards, it has been strengthened in perfecting and formalizing a method that
provide a defined steps sequence to elaborate of systematical way a plan for the continuity
and recovery before disasters in the Technology Systems of the Information and
Communications applied to Industry of the Manufacture, taking as base the Reference
Framework of the norms BS 25999, ISO/IEC 24762 and the methodology DRII on
continuity of the business, achieving the following methodology:
Phase 1: Knowledge of the environment of the organization and Planning of the project;
Phase 2: Analysis and risks evaluation and your impact to the business; Phase 3:
Development of continuity plan and strategies; Phase 4: Training, test and exercise; Phase
5: Audit, maintenance and update.
The methodology object of study of this work is the initial appliance with all the one which
company would have to count without importing the business initiatives that has anticipated
to launch ( entrepreneurial architectures, I redesign of processes, architecture guided to
services, automation and improvement of business processes), permits that the
organization be prepared before an interruption of their business, by means of the
definition and procedures and strategies documentation of recovery.

ndice
NDICE
ndice de Tablas y Figuras
Glosario de Trminos
iv
viii
Introduccin
0.1
0.2
0.3
Presentacin del Proyecto de Tesis.

Marco metodolgico para el desarrollo del Proyecto de Tesis.
Presentacin del Documento del Proyecto de Tesis.
Captulo 1.1.1
1.2
2.1
2.2
2.3
2.4
1
1
2
6
6
6
7
8
9
9
Anlisis, Evaluacin y Diagnstico de la Situacin Actual.
Introduccin.
Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio y
Recuperacin ante Desastres de TI
Justificacin del Proyecto de Tesis.
Definicin de los Objetivos del Proyecto de Tesis.
2.4.1 Objetivo General.
2.4.2 Objetivos Particulares.
Captulo 3.3.1
3.2
Marco Conceptual y Contextual.
Marco Conceptual.
1.1.1 Elaboracin de la Pirmide Conceptual.
1.1.2 Descripcin de los trminos de la Pirmide Conceptual.
Marco Contextual.
1.2.1 Descripcin del Medio Ambiente Temporal.
1.2.1.1
Evolucin de las TIC en la Industria de la Manufactura.
1.2.1.2
Evolucin de los conceptos de Continuidad de Negocio.
1.2.2 Descripcin del Medio Ambiente Fsico.
1.2.2.1
El imperativo: asegurar la continuidad de negocio.
1.2.2.2
Estrategias y planes para la continuidad de negocio.
Captulo 2.-
xii
xiii
xiv
13
14
22
22
22
23
Metodologa Propuesta.
Introduccin.
Metodologa propuesta.
Marco metodolgico integral para el desarrollo de la metodologa propuesta
Fase 1 Conocer y planificar el medio ambiente organizacional.
Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.
Fase 3 Desarrollar el plan de continuidad y estrategias de recuperacin ante
desastres.
Fase 4 Capacitar, probar y ejercitar.
Fase 5 Auditora, mantenimiento y actualizacin.

24
25
28
31
35
42
48
51
ndice
Captulo 4.- Aplicacin de la Metodologa. Caso de Estudio: Empresa de

Manufactura de Empaques de Cartn.
4.1
4.2
Introduccin.
Desarrollo de la metodologa propuesta.
Fase 1 Conocer y planificar el medio ambiente organizacional.
Actividad 1.1
Conocer el medio ambiente general.
Actividad 1.2
Identificar la estructura organizacional de la empresa.
Actividad 1.3
Definir la Arquitectura de Macroprocesos.
Actividad 1.4
Definir equipos de planificacin y sus responsabilidades.
Actividad 1.5
Definicin de objetivos, alcance y escenarios del
problema.
Actividad 1.6
Concientizacin y aprobacin por parte de los directivos.
55
56
56
56
58
60
62
65
Fase 2
67
67
Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.

Actividad 2.1
Identificacin de las funciones, servicios y recursos
crticos del rea.
Actividad 2.2
Anlisis, Evaluacin y Diagnstico de riesgos.
Actividad 2.3
Control de riesgos.
Actividad 2.4
Anlisis de Impacto al Negocio.
Actividad 2.5
Evaluacin y Diagnstico del Anlisis de Impacto del
Negocio.
66
71
74
76
84
Fase 3
Desarrollar el plan de continuidad y estrategias de recuperacin ante 85

desastres.
Actividad 3.1
Disear las estrategias de continuidad de la organizacin. 85
Actividad 3.2
Presentar el anlisis costo/beneficio de las estrategias de 92
continuidad.
Actividad 3.3
Negociacin y firma de contratos con los proveedores de 97
servicios.
Actividad 3.4
Adquisicin de la infraestructura de TICs.
98
Actividad 3.5
Preparacin del sitio alterno.
101
Actividad 3.6
Definir los procedimientos de recuperacin.
104
Fase 4
Capacitar, probar y ejercitar

112
Actividad 4.1
Definir objetivos de entrenamiento.
112
Actividad 4.2
Desarrollar e implementar varios tipos de programas de 113
entrenamiento.
Actividad 4.3
Identificar otras oportunidades de educacin.
114
Actividad 4.4
Descripcin de las pruebas.
115
Actividad 4.5
Planificar los escenarios de prueba y su periodicidad.
116
Actividad 4.6
Ejercitacin de las pruebas.
117

ii
ndice
Fase 5
Auditora, Mantenimiento y Actualizacin.

Actividad 5.1
Auditoria al Plan de Continuidad.
Actividad 5.2
Mantenimiento al Plan de Continuidad.
Actividad 5.3
Mecanismo de almacenamiento del Plan de Continuidad.
Actividad 5.4
Mecanismo de actualizacin del Plan de Continuidad.
Actividad 5.5
Mecanismo de distribucin del Plan de Continuidad.
119
119
131
132
133
134
Captulo 5.- Resultados Obtenidos, Valoracin de Objetivos, Trabajos Futuros y

Conclusiones del Proyecto de Tesis.
5.1
5.2
5.3
5.4
Valoracin de los resultados obtenidos.

Valoracin de Objetivos.
5.1.1 Valoracin del Objetivo General
5.1.2 Valoracin de los Objetivos Particulares
Trabajos Futuros.
Conclusiones del Proyecto de Tesis.
135
136
136
136
138
139
Bibliografa.
142
Referencias a Internet.
144
Anexos.
Anexo A.
A.1
Anexo B.
B.1

iii
ndice
NDICE DE TABLAS Y FIGURAS

Introduccin
Cuadro 0.1
Figura 0.1
Captulo 1.Figura 1.1
Figura 1.2
Cuadro 1.1
Figura 1.3

Figura 2.2
Figura 2.3
Cuadro 2.1
Cuadro 2.2
Figura 2.4

Figura 3.2
Cuadro 3.1
Figura 3.3
Figura 3.4
Figura 3.5
Cuadro 3.2
Cuadro 3.3
Cuadro 3.4
Figura 3.6
Cuadro 3.5
Marco metodolgico integral para el desarrollo del proyecto de tesis.

Estructura del documento del proyecto de tesis.
ix
X
Marco Contextual y Conceptual.

Pirmide Conceptual adaptada de [Galindo, 2005].
Evolucin de los Conceptos de Continuidad.
Criterios de la seguridad de la informacin.
Modelo cclico dinmico de un Plan de Continuidad en un Modelo de
Negocio.
1
8
11
11
Anlisis, Evaluacin y Diagnstico de la Situacin Actual.

Relacin de los procesos de negocio con los Sistemas de Informacin.
Convergencia de estndares y mejores prcticas.
Estndares internacionales, buenas prcticas y metodologas en
general para el desarrollo del documento de lineamientos de
Continuidad del Negocio.
Comparativo de los estndares, buenas prcticas y metodologas del
Gobierno de TI, en relacin con los elementos necesarios para una
infraestructura de TI segura.
Ventajas y Desventajas de los estndares, buenas prcticas y
metodologas para emprender un modelo de gestin para la Planeacin
de la Continuidad del Negocio y Recuperacin ante Desastres del
Gobierno de TI.
Estndares internacionales, buenas prcticas y metodologas
orientadas, para realizar el documento de lineamientos de Continuidad
del Negocio propuesto.
14
15
16
17
19
21
Metodologa Propuesta.
Mapa de ruta de la metodologa propuesta.
Descripcin de la metodologa propuesta.
Marco metodolgico integral para el desarrollo de la metodologa
propuesta.
Diagrama de flujo (relaciones) entre procesos de negocio.
Equipos de trabajo para respuesta a incidentes
Tiempos y puntos objetivos de recuperacin.
Probabilidad de ocurrencia de un riesgo.
Impacto potencial de un riesgo.
Matriz de nivel de riesgo.
Evaluacin y diagnstico del anlisis de impacto al negocio.
Disponibilidad de los servicios.

25
27
28
32
33
35
37
37
37
38
45
iv
ndice
Captulo 4.- Aplicacin de la Metodologa, Caso de Estudio: Empresa de

Manufactura de Empaques de Cartn.
Figura 4.1
Figura 4.2
Figura 4.3
Figura 4.4
Figura 4.5
Figura 4.6
Cuadro 4.1
Cuadro 4.2
Cuadro 4.3
Cuadro 4.4
Cuadro 4.5a
Cuadro 4.5b
Cuadro 4.5c
Cuadro 4.6
Cuadro 4.7a
Cuadro 4.7b
Cuadro 4.8
Cuadro 4.9
Cuadro 4.10
Cuadro 4.11
Cuadro 4.12
Cuadro 4.13
Cuadro 4.14
Cuadro 4.15
Cuadro 4.16
Figura 4.7a
Figura 4.7b
Figura 4.7c
Cuadro 4.17
Diagrama tipo mapa mental de la Organizacin.

Organigrama general de la empresa objeto de estudio.
Organigrama del rea funcional de apoyo TI, de la empresa objeto de
estudio.
Macro procesos de la empresa objeto de estudio.
Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la
empresa objeto de estudio.
Equipos de trabajo para respuesta a incidentes.
Funciones de los equipos de respuesta a incidentes.
Definicin de objetivos, alcance y escenarios de los equipos de
respuesta a incidentes.
Tabla de solucin integral para el desarrollo de la metodologa
propuesta.
Identificacin de las funciones, servicios y recursos crticos por rea.
Probabilidad de Ocurrencia de un riesgo.
Impacto potencial de un riesgo.
Matriz de nivel de riesgo.
Anlisis y evaluacin de la probabilidad ocurrencia y el impacto
potencial de un riesgo.
Diagnstico del nivel de riesgo.
Nivel de riesgos.
Estrategias a implementar, para reanudar los procesos en condiciones
mnimas de operacin.
Identificacin del tiempo objetivo de recuperacin y su impacto al
negocio, en las funciones, servicios y recursos crticos por rea.
Anlisis de impacto al negocio.
Cruz de informacin Sistemas vs Funciones.
Cruz de informacin Sistemas vs Sistemas.
Prioridad y nivel de riesgo de los Sistemas de Informacin Basados en
Computadora.
Matriz de prioridad y nivel riesgo para la recuperacin de los Sistemas
de Informacin.
Evaluacin y diagnstico del anlisis de impacto al negocio.
Recursos del Centro de Procesamiento de Datos CPD, actuales de la
empresa en estudio.
Arquitectura del Sistema ERP de la empresa objeto de estudio.
Arquitectura del Centro de Procesamiento de Datos CPD, de la
empresa objeto de estudio.
Arquitectura del Sistema de Telecomunicaciones de la empresa objeto
de estudio.
Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ.

57
58
59
60
61
62
63
65
66
67
71
71
71
72
73
73
74
76
80
81
82
83
83
84
85
87
87
88
89
ndice
Figura 4.8
Cuadro 4.18a
Cuadro 4.18b
Cuadro 4.18c
Cuadro 4.19
Cuadro 4.20
Cuadro 4.21
Cuadro 4.22
Cuadro 4.23a
Cuadro 4.23b
Cuadro 4.24
Cuadro 4.25
Cuadro 4.26
Figura 4.9
Cuadro 4.27
Cuadro 4.28
Cuadro 4.29
Cuadro 4.30
Cuadro 4.31
Cuadro 4.32
Cuadro 4.33
Cuadro 4.34
Cuadro 4.35
Cuadro 4.36
Cuadro 4.37
Cuadro 4.38
Cuadro 4.39
Cuadro 4.40
Cuadro 4.41
Arquitectura del Centro de Procesamiento de Datos CPD, propuesta.

Compra de Hardware requerido para la estrategia de continuidad
propuesta.
Arrendamiento de Hardware requerido para la estrategia de continuidad
propuesta.
Arrendamiento Software requerido para la estrategia de continuidad
propuesta y CPD alterno.
Cursos de capacitacin requeridos para la estrategia de continuidad
propuesta.
Beneficios estimados de la estrategia de continuidad propuesta.
Parmetros para el anlisis de rentabilidad (TMAR), de la estrategia de
continuidad propuesta.
Resumen de resultados del anlisis de sensibilidad, de la estrategia de
continuidad propuesta.
Anlisis de rentabilidad a tasa del 8%, de la estrategia de continuidad
propuesta.
Anlisis de rentabilidad a tasa del 10%, de la estrategia de continuidad
propuesta.
Contrato de prestacin de servicios informticos para el proveedor del
CPD externo.
Parmetros a considerar en la seleccin y adquisicin de hardware y
software del CPD.
Contrato para la adquisicin de la infraestructura de TI.
Diagrama de flujo de respuesta a emergencia y restauracin.
Procedimientos de respuesta a emergencias y restauracin para el
salvamento de los servicios crticos.
Interrupcin importante de la produccin: Desastres Naturales.
Relaciones con empleados: Desastres Humanos.
Avera del Centro de Procesamiento de Datos CPD: Desastres
Tecnolgicos.
Plan de adiestramiento, pruebas y ejercitacin del plan de continuidad.
Identificar oportunidades de educacin.
Descripcin de las pruebas.
Recomendaciones para la planificacin de los escenarios de prueba y
su periodicidad.
Control de pruebas y aprobacin del documento.
Gua para el desarrollo del ejercicio del plan de continuidad.
Metodologa para realizar una auditora de Sistemas de Informacin.
Programa de auditora para realizar la revisin del control interno y
operaciones en el CPD.
ndice de las marcas de Auditora.
Revisin del control utilizado para el ingreso de personal externo al
Centro de Procesamiento de Datos
Revisin de las claves utilizadas para el acceso al centro de
procesamiento de informacin.

90
92
92
93
93
94
95
95
96
96
97
98
100
104
105
106
108
110
113
114
115
116
117
118
119
121
123
123
124
vi
ndice
Cuadro 4.42
Cuadro 4.43
Cuadro 4.44
Cuadro 4.45
Cuadro 4.46
Cuadro 4.47
Cuadro 4.48
Cuadro 4.49
Cuadro 4.50
Cuadro 4.51
Cuadro 4.52
Inventario de Hardware y Software, ubicados en el Centro de

Procesamiento de Datos.
Verificacin del inventario de cintas de respaldo (revisin selectiva).
Revisin de la seguridad fsica de las instalaciones del Centro de
Verificacin de los contratos de mantenimiento del Centro de
Verificacin de los contratos de seguros.
Verificacin del plan de continuidad del negocio.
Verificacin del plan de continuidad del negocio.
Formulario de mantenimiento al Plan de Continuidad
Formulario de almacenamiento del Plan de Continuidad.
Historial de revisiones del Plan de Continuidad.
Mecanismo de Distribucin del Plan de Continuidad.

124
125
125
126
126
127
128
131
132
133
134
vii
ndice
GLOSARIO DE TRMINOS
Trmino
Descripcin
Informacin.
Conjunto de datos que estn organizados y que tienen un significado.
Computacin.
Es una ciencia, en particular una rama de la matemtica, que centra su

inters en el estudio y definicin formal de los cmputos. Se le llama
cmputo a la obtencin de una solucin o resultado, a partir de ciertos
datos o entradas utilizando para ello un proceso o algoritmo.
Ciencias de la
Computacin.
Son aquellas que abarcan el estudio de las bases tericas de la

informacin y la computacin y su aplicacin en sistemas
computacionales.
Sistemas
Computacionales.
Es un conjunto de dispositivos electrnicos (Hardware), capaz de

procesar informacin, de acuerdo con un programa (Software).
Informtica.
Es la ciencia aplicada que abarca el estudio y aplicacin del tratamiento

automtico de la informacin utilizando dispositivos electrnicos y
sistemas computacionales. Conforme a ello, los sistemas informticos
deben realizar las siguientes tres tareas bsicas:
Entrada: Captacin de la informacin digital.

Proceso: Tratamiento de la informacin.
Salida: Transmisin de resultados binarios.
Sistema de Informacin
Informtico.
Es un conjunto de partes interrelacionadas, ordenadas y capaces de

interconectarse: hardware, software y de Recurso Humano
(humanware),
que emplea computadoras como dispositivos
programables para capturar, almacenar y procesar datos.
Programa Informtico.
Los Objetivos, Metas y estrategias, informticas anuales relacionadas

con: los Sistemas de Informacin Informticos y Estructuras de la
Organizacin.
Plan Informtico.
Los Objetivos, Metas y estrategias, informticas de mediano y largo

plazo, relacionadas con: los Sistemas de Informacin Informticos y
Estructuras de la Organizacin.
Estrategia Tecnolgica
Son los lineamientos tcnicos, que la empresa requiere para determinar

los recursos informticos que permitir soportar y operar la Estrategia
Institucional de Sistemas de Informacin Informticos.

viii
ndice
Trmino
Descripcin
Estrategia Institucional
de Sistemas de
Informacin Informticos
Conjunto Integrado de Sistemas de informacin Informticos, que

pretende desarrollar, operar y explotar la empresa, para el corto y
mediano plazo, y mediante los cuales estima satisfacer sus
necesidades globales de informacin para controlar y coordinar las
actividades operativas y administrativas fundamentales de la
Organizacin.
Tecnologas de la
Informacin y
Comunicaciones TICs /
TI
Son aquellas herramientas computacionales, informticas y servicios

de apoyo que procesan, almacenan, sintetizan, recuperan y presentan
informacin representada en diversos mbitos de la administracin, las
finanzas, la produccin y la automatizacin de operaciones en los
diferentes niveles de funcionamiento de una organizacin, a travs de
un conjunto de herramientas, soportes y canales para el tratamiento y
acceso a la informacin.
Gobernabilidad de TI
Consiste en la capacidad para controlar la formulacin y la

implementacin de la estrategia de TICs a fin de alcanzar ventajas
competitivas para la organizacin en su conjunto.
Arquitectura Orienta a
Servicios (por sus siglas
en ingls, SOA)
Permite la creacin de sistemas altamente escalables que reflejan el

negocio de la organizacin, y a su vez brinda una forma bien definida
de exposicin e invocacin de servicios, lo cual facilita la interaccin
entre diferentes Sistemas de Informacin Informticos propios o de
terceros.
Respaldo Interno
Soluciones de respaldo que tienen como objeto resolver contingencias

leves que no precisen el desplazamiento fuera de los locales donde
estn ubicados los elementos informticos afectados.
Respaldo Externo
Tiene como objeto resolver contingencias graves (desaparicin del

edificio, desaparicin del Centro de Procesamiento de Datos, etc), que
precisan el desplazamiento a ubicaciones diferentes a la habitual
(Centro Alternativo de Respaldo).
Recuperacin de los
Servicios del Negocio
Proporciona procedimientos para mantener en funcionamiento en un

sitio alterno las funciones esenciales estratgicas de la organizacin.
Plan de Recuperacin
del Negocio
Proporciona los procedimientos para recobrar la operacin del negocio,

inmediatamente despus de la ocurrencia de un desastre.

ix
ndice
Trmino
Descripcin
Evaluacin del Riesgo
Metodologa orientada a determinar la vulnerabilidad de la

Organizacin. Con base en los diversos riesgos encontrados, se les
asigna un valor especfico, segn la probabilidad de ocurrencia y de la
cobertura del seguro contratado, con el fin de proponer alternativas
para reducir el riesgo.
Anlisis de Impacto al
Negocio (por sus siglas
en ingls, BIA)
A travs de esta metodologa se hace un anlisis de todos los procesos

y aplicaciones dentro de la Empresa a travs de un cuestionario que se
aplica en diversos niveles. Como resultado se llega a determinar el
portafolio de procesos y aplicaciones crticas, as como los
Requerimientos Mnimos y las caractersticas de cada uno de ellos.
Riesgo
El impacto y la probabilidad de que una amenaza pueda afectar

adversamente la capacidad de una organizacin para lograr sus
estrategias y objetivos de negocio.
Contingencia
Cualquier suceso que interrumpa el normal funcionamiento de la

organizacin por un periodo de tiempo lo suficientemente largo como
para que su impacto resulte grave.
Desastre
Cualquier EVENTO MAYOR que afecte el funcionamiento normal de

las operaciones de un negocio. Estos pueden ser Naturales, Humanos
y Tcnico.
Tiempo
Objetivo
de El tiempo entre el punto de interrupcin, y el punto en el cul los
Recuperacin (por sus sistemas sensibles en el tiempo deben estar funcionando nuevamente,
siglas en ingls, RTO)
con los datos actualizados.
Punto
Objetivo
de El punto en el cul fueron interrumpidas las actividades del sistema
Recuperacin (por sus debido a la ocurrencia de un determinado evento.
siglas en ingls, RPO)
Cold Site
Centro de Procesamiento de Datos con Infraestructura bsica, tarda

varios das en operar.
Hot Site
Centro de Procesamiento de Datos Parcialmente configurado, tarda

menos de un da en operar.
Warm Site
Centro de Procesamiento de Datos Listo para operar en pocas horas.
RFP/RFQ
Solicitud de Propuestas/Solicitud de Calificaciones.
QoS
Calidad en el Servicio Quality of Service.

ndice
Trmino
Descripcin
High Availability
Alta Disponibilidad: Implementacin de controles preventivos,

detectivos y correctivos para procurar la disponibilidad contina de los
sistemas crticos de la organizacin.
Fault Tolerance
Tolerancia a fallas: Un sistema fault-tolerant puede continuar brindado

servicios a pesar de fallas de software o hardware.
Load Balancing
Balanceo de cargas: Sistemas que comparten la carga de trabajo para

evitar recursos ociosos y bajo desempeo (performance)
Single Point of Failure
SPFs: Redundancia en los Puntos Probables de Falla.
Downtime
Cada de los Sistemas de TICs

xi
Introduccin y Presentacin al Proyecto de Tesis
INTRODUCCIN
0.1 PRESENTACIN DEL PROYECTO DE TESIS

Las Tecnologas de Informacin y Comunicaciones (TICs) han reemplazado los dos
elementos bsicos que sustentaron la economa durante los ltimos dos siglos: el obrero
y el capital han sido suplantados por la Informacin y el Conocimiento. No cabe duda
que la sociedad post-industrial ha dado paso a la sociedad de la Informacin en la que los
avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red
la Informacin, los procesos y los conocimientos han afectado profundamente las
tradicionales formas de produccin.
Las tecnologas de informacin representan oportunidades y amenazas importantes, por
lo que es recomendable que se tomen en cuenta al formularse las estrategias del
negocio. Los adelantos tecnolgicos afectan en forma drstica los productos, servicios,
mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura,
prcticas de mercadotecnia y la posicin competitiva de las empresas.
Las propuestas para evitar interrupciones y asegurar una reduccin razonable del riesgo
han sido numerosas. Los instrumentos empleados han dejado de lado la fuerte carga
tecnolgica para enfrentarse con las demandas operativas de las Organizaciones, asumen
nuevos principios: se alinean con los objetivos de la organizacin integrndose
directamente en la empresa y conformando procesos en constante evolucin, se ajustan al
dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo.
La Metodologa propuesta hace frente a los objetivos prioritarios para asegurar la
continuidad del negocio como estrategia de la organizacin, desde la perspectiva: para
eliminar las amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo
fsico (appliances, firewalls,), y de entorno (controles de acceso,), minimiza los
efectos implantando sistemas redundantes y transfiere los riesgos residuales a una
compaa de seguros que asume dicho riesgo.

xii
0.2 MARCO METODOLGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS

El siguiente cuadro muestra el marco metodolgico (Basado en [Galindo, 2008]), el cual
describe una serie de actividades a emplear, sus correspondientes tcnicas, herramientas
y productos a obtener para el desarrollo del proyecto de tesis:
Cuadro 0.1 Marco metodolgico integral para el desarrollo del proyecto de tesis (Elaboracin propia, basado en
[Galindo, 2008]).
MARCO METODOLGICO
ACTIVIDADES
(Qu hacer?)
1.
Definir el tema.
2.
Recopilar informacin del

tema.
3.
Desarrollar el marco
metodolgico.
4.
Definir el marco
conceptual.
5.
Identificar y analizar la
situacin actual.
Definir la justificacin.
Definir Objetivo general y
especficos.
6.
Desarrollar la
metodologa.
7.
Construccin de un
modelo.
8.
Implementar en forma
real el modelo.
9.
Redactar el documento
de tesis.
10. Presentar el examen de

grado.
TCNICAS
(Cmo hacerlo?)
HERRAMIENTAS
(Con qu hacerlo?)
METAS
(Qu obtener en particular?)
-Observacin
-Investigacin
-Mtodo cientfico
Especificar la oportunidad
problemtica que se puede considerar
como tema de estudio.
-Libros
-Revistas
-Peridicos
-Internet.
Identificar y aislar la problemtica

oportunidad para obtener una visin
sistmica del tema de estudio.
-Definicin del marco

metodolgico.
-Procesador de
palabras.
Definir las actividades que se tienen

que hacer para realizar el proyecto de
tesis.
-Observacin
-Investigacin.
-Recopilacin bibliogrfica.
-Definicin del marco
Conceptual
-Libros del tema

-Diccionarios
-Enciclopedias
-Pirmide Conceptual.
-Procesador de
palabras.
Delimitar los conceptos y describir los

trminos generales empleados en el
proyecto de tesis.
-Definir una visin global del

tema en cuestin a tratar.
-Conocer conceptos bsicos
para la definicin de Objetivos.
- Elaborar tabla de ventajas y
desventajas.
-Libros,
-Revistas
-Internet.
-Procesador de
palabras.
Obtener un anlisis de las ventajas y

desventajas de la metodologa
propuesta y modelos existentes en el
mercado.
A partir del anlisis, hacer una
justificacin lgica que defienda el
estudio del proyecto en cuestin.
Definir los alcances o resultados a
obtener.
-Investigacin.
-Analizar, Identificar y definir la
metodologa de desarrollo.
-Libros
-revistas
-Internet
-peridicos
Obtener un conjunto de actividades

que conformen la metodologa a
desarrollar.
-Investigacin.
-Recopilacin bibliogrfica.
-Definir las partes que

conformaran el modelo a
seguir.
-Aplicar modelo en una
empresa.
-Conocer la metodologa para
el desarrollo y redaccin de un
proyecto de tesis de maestra
-Investigar los lineamientos
institucionales de SEPI-ESIME
para presentar el examen de
grado.
-Procesador de
palabras.
-Hoja de clculo
Concebir un modelo a seguir con el

conjunto de actividades definidas
anteriormente.
Adquirir una aplicacin en el mundo
real, del uso del modelo.
-Procesador de textos
-Editor de imgenes
-Hoja de clculo
Obtener un documento escrito del

proyecto de tesis.
-Internet
-Entrevista
Conseguir el grado de Maestro en

ciencias en ingeniera de sistemas.

xiii
0.3 PRESENTACIN DEL DOCUMENTO DEL PROYECTO DE TESIS.

A continuacin, se presenta el modelo: antes, cambio, despus [Basado en Galindo,
2008]; en l, se plantea el medio ambiente general de la Organizacin para proponer una
mejora con apoyo del rea de Tecnologas de la Informacin y Comunicaciones (TICs)
con nfasis en la Continuidad del Negocio, de una empresa de Manufactura de Empaques
de Cartn y Papel:
Figura 0.1 Estructura del documento del proyecto de tesis.

xiv
Aunque nuestro pas todava se encuentra en una etapa incipiente; pero sin duda de
crecimiento, en lo que respecta a la adopcin de Planes para la continuidad y
recuperacin ante desastres por parte de las PyME; el Captulo 1, puede ayudar a
entender por qu las empresas necesitan ineludiblemente contar con un Plan de
Continuidad y Recuperacin ante Desastres.
Considerando que una interrupcin prolongada, en las operaciones de los Sistemas de
Tecnologas de la Informacin y Comunicaciones, puede suspender la continuidad de las
operaciones de una empresa y, eventualmente, llevarla incluso a la quiebra, es importante
considerar el Gobierno de TI y las mejores prcticas para asegurar la continuidad del
negocio. Para ello se tienen varios conjuntos de recomendaciones que destacan
internacionalmente, como se estudiar en el Captulo 2.
En el captulo 3, se propone una metodologa para la continuidad y recuperacin ante
desastres de TICs en la industria de la manufactura, por lo que una aproximacin
acertada es conocer con detalle la organizacin que se quiere proteger. No slo se deben
identificar los riesgos, tambin evaluarlos para posteriormente decidir sobre las medidas
que puedan mitigarlos. Para ello, se deber identificar los activos de la empresa, as como
las debilidades que puedan padecer, estimando probabilidades de ocurrencia y
asignndoles una importancia para la misin de la empresa.
En el captulo 4, se aplicar la metodologa propuesta, se estudiar la criticidad de las
TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la
importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que
obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin
perjudique o degrade los objetivos y la calidad de la actividad en concreto.
En un Plan de continuidad se invierte, no se gasta, adoptar el Plan impacta en la
organizacin, en las funciones y en las responsabilidades, ste debe ser un elemento vivo,
que se mantenga, pruebe y actualice peridicamente. Aumentar las medidas para
garantizar la disponibilidad de los servicios informticos genera confianza y acerca a los
usuarios a la informtica, como se ver en el Captulo 5.
Por ltimo, se mostrar las Referencias Bibliogrficas y a Internet, as como, los Anexos
correspondientes.

xv
Captulo 1
Marco Conceptual y Contextual
Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en
los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la
Manufactura.
Captulo 1
Marco Terico Conceptual y Contextual
CAPTULO 1.-
MARCO CONCEPTUAL Y CONTEXTUAL.

Uno de los primeros pasos para la elaboracin de un Proyecto de Tesis consiste en la
Descripcin, Fundamentacin y eleccin del tema, seguido de la estructuracin y
sustentacin conceptual de la hiptesis, cuya finalidad es la de delimitar el problema y
generar explicaciones tentativas del fenmeno en estudio.
1.1 Marco Conceptual.
La elaboracin del marco Conceptual ayuda, a la definicin de los elementos involucrados,
esto es, definir especficamente que conceptos se emplearn en el Proyecto de Tesis.
1.1.1 Elaboracin de la Pirmide Conceptual.
Para iniciar, es necesario identificar los elementos conceptuales involucrados en ste
proyecto. Para ello, se crea una pirmide conceptual [Galindo 2005]. La base de la
pirmide contiene el concepto ms general y de ah hacia arriba, se va particularizando:
Instituto Internacional de
Recuperacin ante Desastres
(DRII)
Instituto de Continuidad del
Negocio (BCI)
Asociacin de Auditora y Control
de Sistemas de Informacin
(ISACA, CobIT)
Consorcio internacional de
Certificacin de Seguridad de
Sistemas de Informacin (ISC)
Organizacin Internacional para
la Estandarizacin (ISO)
Instituto Britnico de Normas
(BSI)
Administracin
de la
Continuidad del
Negocio (BCM)
Plan de
Continuidad
de Negocio
(BCP)
Plan de
Recuperacin
de Desastres
(DRP)
Arquitectura
deProceso
Arquitecturade
Informacin
ArquitecturadeDatos
ArquitecturadeSistemas
ArquitecturaTecnolgica
Figura 1.1 Pirmide Conceptual adaptada de [Galindo, 2005]

Pgina 1
Captulo 1
1.1.2 Descripcin de los trminos de la Pirmide Conceptual.

Arquitectura Tecnolgica.
Establecer el diseo bsico general de los sistemas de informacin asegurando que no
sufran anquilosamiento ni obsolescencia, ste diseo busca establecer un marco
conceptual que oriente los proyectos de transformacin y evolucin de los sistemas, de
forma que se mantengan integrados de un modo coherente. [Akella, Buckow, y Rey, 2009]
Arquitectura de Sistemas.
Es la organizacin fundamental de un sistema, que incluye sus componentes, las
relaciones entre s y el ambiente, y los principios que gobiernan su diseo y evolucin.
[ANSI/IEEE 1471-2000, 2001]
Arquitectura de Datos.
Provee a cualquier mbito de negocio una herramienta de trabajo, a partir de la cual es
factible la gestin organizada de los datos que representan los distintos conceptos de
negocio involucrados en un proceso, permite la clasificacin y organizacin de los
elementos de dato para una fcil localizacin y consulta de los mismos, en cada una de
las capas y subdivisiones; facilitando as la reutilizacin y no la creacin de nuevos
elementos de dato. [GEL-XML, 2009]
Arquitectura de Informacin.
La Arquitectura de Informacin es una disciplina que organiza conjuntos de informacin,
permitiendo que cualquier persona los entienda y los integre a su propio conocimiento, de
manera simple. [Mabilon, 2009]
Arquitectura de Procesos.
Representa el conjunto de procesos esenciales de la empresa, mostrando sus relaciones
entre s y sus interacciones con clientes y proveedores [sterle, 1995]. Los procesos
esenciales son los encargados de crear y comercializar los productos y servicios de la
empresa y constituyen la base para su ventaja competitiva [Hammer, Champy, 1993].

Pgina 2
Captulo 1
Plan de Recuperacin de Desastres (Disaster Recovery Planning, o DRP).

Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin
oportuna y ordenada de los servicios informticos crticos en caso de contingencia. [BCI
Internacional, 2009]
Plan de Continuidad del Negocio (Business Continuity Planning, o BCP).
Es el conjunto de procedimientos y estrategias definidos para asegurar la reanudacin
oportuna y ordenada de los procesos del negocio generando un impacto mnimo o nulo
ante una contingencia. [BCI Internacional, 2009]
Administracin de la Continuidad del Negocio (Business Continuity Management, o
BCM).
Proceso administrativo completo que identifica impactos potenciales que pueden afectar la
organizacin y provee la estructura para dar flexibilidad y Respuestas efectivas para
salvaguardar los intereses de los accionistas, la reputacin, la marca y actividades de
valor agregado. [DRII Internacional, 2008]
Instituto Britnico de Normas (British Standards International, o BSI)
Organismo nacional de normas del Reino Unido, independiente con integridad e
innovacin en la creacin de normas que fomentan las mejores prcticas reconocidas
alrededor del mundo. Desarrolla y comercializa normas y soluciones de estandarizacin
que satisfacen las necesidades de las empresas y la sociedad.
Norma BS 25999 Continuidad del Negocio:
Ayuda a establecer las bases de un sistema BCM\BCP y se ha concebido para mantener
en marcha las actividades durante una interrupcin, ya sea debido a un siniestro o
catstrofe importante o bien debido a un incidente menor. Proporciona una base para
comprender, desarrollar e implantar la continuidad de la actividad comercial en una
organizacin y otorga confianza en los negocios de empresa a empresa y de empresa a
cliente. As mismo, contiene un conjunto exhaustivo de controles basados en las mejores
prcticas de BCM\BCP y abarca todo el ciclo de vida de la gestin de continuidad de la
actividad comercial. [BCI Mxico, 2007].

Pgina 3
Captulo 1
Organizacin Internacional para la Estandarizacin (International Organization for

Standardization, o ISO)
Es el organismo encargado de promover el desarrollo de normas internacionales de
fabricacin, comercio y comunicacin para todas las ramas de la industria. Su funcin
principal es la de buscar la estandarizacin de normas de productos y seguridad para las
empresas u organizaciones a nivel internacional.
Norma ISO/IEC 27001 Seguridad de la informacin:
Es un estndar publicado por la Organizacin Internacional para la Estandarizacin (ISO)
y la Comisin Electrotcnica Internacional (IEC), es la nica norma internacional auditable
que define los requisitos para un sistema de gestin de la seguridad de la informacin
(SGSI), se ha concebido para garantizar la seleccin de controles de seguridad adecuados
y proporcionales, adopta un enfoque por procesos para establecer, implementar, operar,
supervisar, revisar, mantener y mejorar un SGSI. [Direccin General de Normas, Mxico,
2007].
Instituto Internacional de Recuperacin ante Desastres (Disarter Recovery Institute
International, o DRII)
Fundado en 1988, por un grupo de profesionales de la industria para desarrollar y
estandarizar la profesin del planificador de continuidad del negocio, es lder mundial en el
establecimiento de estndares, cursos y certificaciones reconocidos internacionalmente
para la administracin de continuidad de negocio [DRII Internacional, 2010].
Instituto de Continuidad del Negocio (Business Continuity Institute, o BCI)
Apoya y orienta a sus socios, promocionando las normas ms elevadas en materia de
competencias profesionales y tica de las prestaciones y del mantenimiento de servicios y
planificacin de la continuidad de negocio.
A travs de su plan de certificacin, proporciona a sus miembros un estatus
internacionalmente reconocido, puesto que la afiliacin profesional del BCI demuestra la
capacidad de sus miembros de llevar a cabo una gestin de continuidad del negocio a un
nivel muy elevado. [BCI Mxico, 2009]

Pgina 4
Captulo 1
Asociacin de Auditora y Control de Sistemas de Informacin (Information Systems

and Audit Control Association, o ISACA)
Organizacin global que establece pautas para los profesionales de gobernabilidad,
control, seguridad y auditora de informacin. Juntos, ISACA y su Instituto de
Gobernabilidad de TI asociado (ITGI) lideran la comunidad de control de Tecnologas de la
Informacin.
Objetivos de Control para la Informacin y la Tecnologa Relacionada (Control Objetives
for Information and Related Technology, o COBIT):
Es el marco de referencia aceptado internacionalmente de las mejores prcticas para el
control de la informacin, infraestructura de TI y los riesgos que conllevan. Inicialmente,
COBIT se utiliz para la realizacin de auditoras a las reas de Tecnologas de la
Informacin. Sin embargo, en los ltimos aos COBIT a evolucionado para convertirse en
el modelo a seguir para la implementacin de Gobernabilidad en Tecnologas de
Informacin (IT Governance), contiene objetivos de control, directivas de aseguramiento,
medidas de desempeo y resultados, factores crticos de xito y modelos de madurez.
[ISACA Mxico, 2010]
Consorcio internacional de Certificacin de Seguridad de Sistemas de Informacin
(International Information Systems Security Certification Consortium, o ISC).
Organizacin internacional, dedicada a mantener una base de conocimiento para los
profesionales dedicados a la seguridad de los Sistemas de Informacin, certifica
profesionales sobre una consensuada base de conocimientos profesionales y administra
los exmenes de la certificacin asegurando el mantenimiento de las credenciales, por
medio de la educacin continua.
Certificacin Profesional en Seguridad de Sistemas de Informacin (Certified Information
Systems Security Professional, o CISSP):
Certificacin creada a partir de la base de conocimiento en seguridad de los sistemas de
informacin mantenida por la ISC. No asociada a ninguna tecnologa o proveedor, la ms
antigua certificacin profesional enfocada exclusivamente a la seguridad informtica [ISC
Internacional, 2010].

Pgina 5
Captulo 1
1.2 Marco Contextual.

Para el desarrollo del proyecto de Tesis, es necesario conocer previamente en trminos
generales, la naturaleza del problema en cuestin, por tal motivo es necesario investigar
los antecedentes de la situacin a tratar, lo cual nos permitir identificar el medio ambiente
y las reas en donde se desenvuelve el problema, as como los elementos y relaciones
fundamentales que sern objeto de estudio [Galindo 2005].
1.2.1 Descripcin del Medio Ambiente Temporal.
Las tecnologas de informacin representan oportunidades y amenazas importantes, por
lo que es recomendable que se tomen en cuenta al formularse las estrategias del
negocio. Los adelantos tecnolgicos afectan en forma drstica los productos, servicios,
mercados, proveedores, distribuidores, competidores, clientes, procesos de manufactura,
prcticas de mercadotecnia y la posicin competitiva de las empresas. (Dubelaar, Sohal,
Savi, 2005).
1.2.1.1 Evolucin de las TICs en la industria de la manufactura.
La dcada de los 80, fue testigo de una revolucin en las filosofas de direccin y de
tecnologas aplicadas a la produccin. Chase y Aquilano [Chase, 2000], refieren a la
produccin Justo a Tiempo (JIT) como el mayor adelanto en la filosofa de fabricacin,
comparable en su impacto con la cadena de montaje de Henry Ford a inicios del pasado
siglo. Al JIT se uni el Control de Calidad Total (TQC) y juntos, forman la "piedra angular"
de las prcticas industriales de empresas de excelencia.
Por el mismo tiempo, la tecnologa acudi al rescate de la manufactura, incorporndose
nuevas tecnologas en el accionar de las fbricas, trminos como fabricacin integrada por
computadora (CIM), diseo asistido por computadora (CAD), fabricacin asistida por
computadora (CAM), sistemas flexibles de fabricacin (FMS), planificacin de necesidades
de materiales (MRP), planificacin de los recursos de manufactura (MRPII), entre otros, se
han hecho muy conocidos y convertido en conceptos cotidianos para los fabricantes
actuales.
Los primeros sistemas creados para integrar los datos y organizar los diferentes procesos
productivos tuvieron su inicio con las aplicaciones MRP, mismas que evolucionaron a lo
que hoy conocemos como sistemas ERP (planeacin de los recursos empresariales).

Pgina 6
Captulo 1
Estos sistemas son bsicos para comprender cmo la Tecnologa de Informacin ha

aportado ventajas competitivas al sector industrial.
Es importante considerar la contribucin significativa que el Internet, e-commerce, y ebusiness, ha brindado a las industrias de la manufactura, como una oportunidad de
desarrollo, expansin y diversificacin como respuesta al mercado en constante cambio.
1.2.1.2 Evolucin de los Conceptos de Continuidad del Negocio.
Hacia principios de los aos setenta del pasado siglo, Normal L. Harris, Edward S. Devlin y
Judith Robey [Barnes, 2001], tratando de encontrar un mtodo de planificacin y gestin
que evitara la continua atencin de problemas de forma aleatoria, es decir apagar
fuegos, dieron lugar al nacimiento de una actividad que en principio se llam Planeacin
de Contingencias (CP). Posteriormente, esa misma actividad se denomin Planeacin de
la Recuperacin ante Desastres (DRP), segn el diccionario de la RAE en su segunda
acepcin, contingencia es Algo que puede suceder o no suceder, y en su tercera
acepcin, Riesgo. De esta forma, no limitamos las causas a Desastres, lo que parece
indicar que otros incidentes menos espectaculares no son tenidos en cuenta.
Hasta ese momento, las actividades de planificacin y prevencin estaban dirigidas hacia
las operaciones informticas que en la mayor parte de los casos se encontraban
centralizadas en el departamento de Informtica e, incluso, en un lugar fsico concreto.
Con el paso del tiempo y la aparicin de la Informtica distribuida, al extenderse por toda
la organizacin las funciones soportadas en medios Informticos y Telemticos, esa
actividad vario su alcance y vino a llamarse Planeacin de la Continuidad del Negocio
(BCP). La palabra negocio, tiene claros matices mercantiles, y dado que hoy todas las
organizaciones, sean mercantiles, empresas o entidades pblicas, dependen del correcto
funcionamiento de las Tecnologas de la Informacin y de las Comunicaciones, hablar de
continuidad del Negocio sera limitar el alcance, por lo que sera ms correcto hablar de
continuidad del Servicio. Sin embargo, dentro del mbito de los profesionales de las
Tecnologas de la Informacin, Continuidad del Negocio ha venido a transformarse en un
trmino comnmente aceptado, tanto para organizaciones mercantiles como para
organismos pblicos.
Hoy da, el concepto de Planeacin de la Continuidad del Negocio, est siendo sustituido
por el de Administracin de la Continuidad del Negocio; es decir, no se limita a la
planificacin de la continuidad, sino a la gestin integral de la misma.

Pgina 7
Captulo 1
La figura 1.2, muestra la evolucin de los conceptos de continuidad:
Figura 1.2 Evolucin de los Conceptos de Continuidad [fuente Insys, 2009].
La Administracin de la Continuidad del Negocio es reconocida como una buena prctica

profesional y es parte integral del buen gobierno de las organizaciones; de esta forma,
toma una dimensin estratgica y no es considerado como una mera herramienta
operativa, sino un enfoque global de la actividad que integra un amplio espectro de
actividades de gestin encaminadas al objetivo final de la organizacin. En particular, crea
el marco estratgico y operativo para revisar, y modificar cuando sea necesaria la forma
en que la organizacin proporciona sus productos y servicios, al mismo tiempo que
aumenta su resistencia frente a interrupciones o prdida.
1.2.2 Descripcin del Medio Ambiente Fsico.
Las Tecnologas de Informacin y Comunicaciones (TICs), han reemplazado los dos
elementos bsicos que sustentaron la economa durante los ltimos dos siglos: el obrero
y el capital han sido suplantados por la Informacin y el Conocimiento. No cabe duda
que la sociedad post-industrial ha dado paso a la sociedad de la Informacin en la que los
avances para comunicar, compartir, distribuir, intercambiar, formalizar, usar y poner en red
la Informacin, los procesos y los conocimientos han afectado profundamente las
tradicionales formas de produccin. Ser la historia la que en el futuro evale los
resultados de este cambio de era, dimensionando las transformaciones que estn
afectando a las empresas en estos momentos.

Pgina 8
Captulo 1
La era de la sociedad de la Informacin nos ha sumergido en un mundo confuso,

dominado por un orden mundial interconectado y por tanto ms abierto, complejo, diverso
y a la vez, ms peligroso. Frente a esta realidad, la operatividad de la organizacin de los
sistemas de informacin ocupa un lugar preponderante, ligado a la condicin
imprescindible de su disponibilidad absoluta.
1.2.2.1 El imperativo: asegurar la continuidad de negocio.
Las propuestas para evitar estas interrupciones y asegurar una reduccin razonable del
riesgo han sido numerosas. Los Planes de Recuperacin ante Desastres (DRP) fueron los
primeros instrumentos desarrollados en este sentido hace ms de 20 aos, superados una
dcada despus por los Planes de Continuidad del Negocio (BCP).
En la actualidad, los instrumentos empleados han dejado de lado la fuerte carga
tecnolgica que caracterizaba a los planes anteriores para enfrentarse con las demandas
operativas de las Organizaciones. Para lograr este fin, los planes asumen nuevos
principios: se alinean con los objetivos de la organizacin integrndose directamente en la
empresa y conformando procesos en constante evolucin. Este espritu alienta a los
planes para la Administracin de la Continuidad del Negocio (BCM), que se ajustan al
dinamismo de la empresa para adecuarse a las mutaciones del mapa de riesgo, afectado
por cambios que deben ser analizados y tratados consecuentemente (implantacin de
nuevos controles, cambios de responsables, imprevistos, etc.).
1.2.2.2 Estrategias y planes para la continuidad de negocio.
La probabilidad de que una amenaza pueda afectar adversamente la capacidad de la
Organizacin para lograr sus estrategias y objetivos de negocio, se le denomina Riesgo.
Las estrategias de las organizaciones para asegurar la continuidad del negocio combinan
diferentes medidas para prevenir, detectar y corregir las situaciones de riesgo, centrando
sus esfuerzos en cuatro objetivos prioritarios: eliminar las amenazas, minimizar la
probabilidad de ocurrencia, minimizar los efectos y transferir los riesgos.
Una alteracin de esta continuidad que impacte en forma relevante el normal desarrollo de
un servicio considerado crtico, teniendo su origen en la falla de un componente o la
interrupcin de una tarea, constituye una Contingencia; sin estar necesariamente
prevista, el Desastre, a su vez, ocurre cuando este suceso interrumpe el normal

Pgina 9
Captulo 1
funcionamiento de la organizacin por un periodo de tiempo lo suficientemente largo como

para que su impacto resulte grave.
Las causas que originan los desastres, en cuanto a su naturaleza, se tipifican en:
Naturales:
Incendios.
Terremotos.
Inundaciones.
Tornados.
Huracanes.
Hundimientos.
Exhalaciones volcnicas.
Humanos:
Amenazas de Bomba.
Huelgas.
Plantones.
Empleados Inconformes.
Empleados Mal Capacitados.
Disturbios Sociales.
Tcnicos:
Fallas en el Equipo de Cmputo o algn Perifrico
Fallas en el Equipo de Soporte del Centro de Cmputo
Fallas en Equipo de Telecomunicaciones o algn componente de la red
Fallas en el Enlace
Infeccin de Virus
Falla de aplicaciones.
Entonces, los Procedimientos de Contingencia, los podemos focalizar en los criterios de
seguridad, ver cuadro 1.1, como: a) confidencialidad, b) integridad y c) disponibilidad. Por
ello, se separan las polticas y diseos operacionales de continuidad de negocio ms
transparentes como (tener discos tolerantes a fallas o servidores espejados, as como
contratos concurrentes con ms de un proveedor de comunicaciones), de los planes de
contingencia y procedimientos de recuperacin:

Pgina 10
Captulo 1
Cuadro 1.1 Criterios de la Seguridad de la Informacin [Fuente KPMG, 2010].
Entonces, para concluir, un Plan de Continuidad en un Modelo de Negocio es: una

secuencia definida de pasos para elaborar de manera sistemtica un mtodo que
proporciona una combinacin de diferentes medidas para prevenir, detectar y corregir las
situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios: eliminar las
amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y transferir los
riesgos, estos elementos se muestran en la figura 1.3:
Establecer
Requisitos y
Expectativas
Mejora
continua
Plan
Plande
Continuida
ddel
Negocio
Ventaja
competitiva
Mantenery
Mejorar
Capacidad
clave
Gestinde
Gestinde
riesgos
riesgos
Manejode
incidentes
Manejode
Manejode
incidentes
crisis
Implementar
yOperar
Recuperacin
delNegocio
Do
Act
Impulsores
decreacin
devalor
Plande
Recuperacin
ante
Desastres
Incidente
Check
Monitorear y
Revisar
Resultados
esperados
Figura 1.3 Modelo Cclico Dinmico de un Plan de Continuidad en un Modelo de Negocio [Elaboracin
propia].

Pgina 11
Captulo 1
De donde el objetivo de la tesis ser en principio, analizar los procesos, mtodos o

metodologas que puedan crear un Plan de Continuidad en un Modelo de Negocio, para
as poder efectuar una evaluacin seguida de un diagnstico, y determinar su viabilidad,
para en su caso proponer una metodologa que pueda cumplir con las necesidades para la
creacin de un Plan para la Continuidad y Recuperacin ante Desastres en los Sistemas
de TICs en la Industria de la Manufactura.
En Resumen, en el presente captulo se ha presentado, como la manufactura ha recibido
recientemente cierto empuje de las tecnologas de la informacin, permitiendo el diseo y
desarrollo simultneo de productos, procesos y actividades de apoyo, aportando una base
confiable y flexible para el desarrollo de plataformas de ingeniera concurrente. Frente a
esta realidad, la operatividad de los sistemas de informacin ocupa un lugar
preponderante, ligado a la condicin imprescindible de su disponibilidad absoluta.
Ahora, en el siguiente captulo, se presenta como los planes de continuidad y recuperacin
ante desastres hacen frente a los objetivos prioritarios para asegurar la continuidad del
negocio como estrategia de la organizacin, teniendo en cuenta las implicaciones
relacionadas con el cumplimiento de las normativas para garantizar el xito en la gestin
de la Informacin, tomando en cuenta los referentes que brindan los estndares para su
seguridad.

Pgina 12
Captulo 2
Anlisis, Evaluacin
Situacin Actual.
Diagnstico
de
la

Manufactura.
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
CAPTULO 2.-
ANALISIS, EVALUACIN Y DIAGNSTICO DE LA SITUACIN ACTUAL

En el captulo anterior, se estudi la seguridad de la informacin y la continuidad del
negocio como dos componentes crticos de la estrategia futura de muchas organizaciones
a nivel nacional e internacional. Los Planes de Recuperacin ante Desastres (DRP) fueron
los primeros instrumentos desarrollados en este sentido hace ms de 20 aos, superados
una dcada despus por los Planes de Continuidad del Negocio (BCP).
A continuacin, se estudiar el desarrollo del documento de lineamientos que permite a la
organizacin definir polticas, normas, procedimientos y estndares, de acuerdo a los
requerimientos de su misin, basados en recomendaciones y mejores prcticas
(frameworks) desarrollados con cooperacin internacional; se busca, identificar
herramientas o productos tecnolgicos que apoyen los controles y que permitan mitigar el
riesgo y mejorar de esta manera la seguridad de la informacin y la continuidad de las
operaciones.
2.1 Introduccin.
En un mundo globalizado, dinmico e incierto como el de hoy, las Tecnologas de
Informacin y Comunicaciones, juegan un papel preponderante y fundamental para el
desarrollo de las Organizaciones desde diferentes mbitos como el tecnolgico,
econmico, financiero, de servicios y de produccin entre otros, es fundamental una
adecuada preparacin y formacin desde una ptica corporativa, hasta un enfoque de lo
que llamamos hoy Gobierno de Tecnologas de la Informacin (Gobierno de TI) con el fin
de dar respuesta a los innumerables requerimientos de stas, porque ms all de los
elementos puramente tcnicos y tecnolgicos, es primordial reconocer la organizacin
como un todo, integral, holstica y con una sinergia propia que procura el cumplimiento de
sus objetivos enmarcados en aumentar la rentabilidad y las ganancias al mximo.
Dicho cambio hace necesaria una adecuada gestin de la informacin y el conocimiento;
la figura 2.1, muestra la relacin de los procesos de negocio con los Sistemas de
Informacin, con el propsito de facilitar los procesos asociados con la innovacin, el
desarrollo de productos o servicios, la eficiencia en el uso de los recursos, la calidad y la
toma de decisiones acertadas.

Pgina 13
Captulo 2
Figura 2.1 Relacin de los procesos de negocio con los Sistemas de Informacin [Elaboracin propia].
Sin embargo, en el afn de ingresar en el nuevo entorno, las empresas se ven enfrentadas
a mayores riesgos que son cada vez ms difciles de controlar. Por tanto, se han iniciado
planes que garantizan una adecuada gestin de la Informacin, por considerarse que sta
forma parte de los activos fundamentales de las Organizaciones, y se toma como base
para disear la estrategia comercial y de competitividad en esta sociedad globalizada.
Para garantizar el xito en la gestin de la Informacin, se toman en cuenta los referentes
que brindan los estndares para su seguridad. Con esto, se espera que la Informacin se
proteja celosamente y se garantice la implantacin de las estrategias que propician la
integridad, la confidencialidad y la disponibilidad de sta hacia los clientes.
2.2 Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio
y Recuperacin ante Desastres de TICs.
Actualmente, los servicios TICs, trascienden las fronteras de la organizacin
convirtindose en productos de la compaa, situando a la gestin de los servicios TI como
uno de los elementos clave que se debe tener en cuenta en la estrategia de negocio, tanto
en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia

Pgina 14
Captulo 2
de la compaa ante situaciones crticas. Esto es, particularmente importante para las
compaas del sector industrial, en este caso ya no basta con tener excelentes servicios
de TICs, sino que es necesario demostrar a sus accionistas y clientes que disponen de
una infraestructura tecnolgica y de servicios fiables y bien gestionados. Adicionalmente
las empresas deben tener en cuenta las implicaciones relacionadas con el cumplimiento
de las normativas y leyes locales y globales, cuyo cumplimiento es preciso demostrar.
En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y
materias relacionadas, se incluye en la figura 2.2, una seleccin de los estndares,
mtodos de referencia y regulaciones ms conocidas y relevantes:
ITIL
DefinicindeProcesos[BSI,2009].
DRII
CapacitacinyCertificacinenPlanesdeContingencia[DRII,2004].
ISO9001
Motivadores, Gobierno
Corporativo, Gobierno de
TI, Estndares y Mejores
Prcticas, Procesos y
Procedimientos, para la
Convergencia de TICs
SistemadeGestindelaCalidad[ISO,2009].
ISO20000
SistemadeGestindeServiciosdeTI[ISO,2009].
ISO27001
SistemadeGestindeSeguridaddelaInformacin[ISO,2009].
BS25999
CMMI/SSE CMM
COBIT/ISO38500
SistemadeGestindeContinuidaddelNegocio[BCI,2007].
MetodologasdeDesarrollodeSoftware[Sotelo,2008].
GobiernodeTI[ISO,2009].
COSO
SistemadeGestindelRiesgoEmpresarial[BSI,2009].
ValIT
GobiernodelasInversionesenTI[Sotelo,2008].
BSC
SistemadeGestindeEstrategiadeNegocio[SDG Consulting,2010].
PMBOK/PRINCE2
SistemadeGestindeProyectos[Sotelo,2008].
SOX,BASILEAII,PCI
ReguladoresdeNegocio[Sotelo,2008].
Figura 2.2 Convergencia de estndares y mejores prcticas [Elaboracin propia].

Pgina 15
Captulo 2
Adems, de los aqu resumidos, existen muchos otros estndares, guas, metodologas y
buenas prcticas dedicados a distintos aspectos de la seguridad de la informacin,
publicados por prestigiosas instituciones en todo el mundo.
En el contexto de gestin de servicios de TICs para la Continuidad del Negocio, algunos
estndares y buenas prcticas internacionales a considerar para realizar el documento de
lineamientos, se muestran en la figura 2.3:
Figura 2.3 Estndares internacionales, buenas prcticas y metodologas en general para el desarrollo del
documento de lineamientos de Continuidad del Negocio [Elaboracin propia].

Pgina 16
Captulo 2
Los lineamientos para los servicios de TICs, cubren aspectos como: disponibilidad,
desempeo, confidencialidad, integridad y controles de acceso fsico, administrativos y
lgicos, obteniendo un enfoque integral de acercamiento a la gestin del riesgo y al
gobierno de TI, conformando una estrategia integrada para la seguridad de la informacin
y la continuidad del negocio, basada en una estrategia efectiva de gestin de riesgos.
El cuadro 2.1, muestra los elementos constitutivos necesarios para construir una
infraestructura de TICs segura y una cultura de seguridad, comparando los estndares,
buenas prcticas y metodologas comnmente usados para la Planeacin de la
Continuidad del Negocio y Recuperacin ante Desastres de TICs, debiendo cumplir con
los
objetivos
de
negocio
y
con
los
requerimientos
legales
para
Gente/Procesos/Tecnologa:
Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con
los elementos necesarios para una infraestructura de TICs segura (Inicio) [Elaboracin propia].
Elementos
Estndares, BuenasPrcticasyMundologas.
ISO
27001
ISO
17799/27002
ISO
24762
ISO
20000
ISO
27005
BS
25999
BS
25777
COBIT
ITIL
COSO
M_o_R
Administracin
del riesgo
Continuidad
del negocio
Control de acceso
Arquitectura
segura
de red y aplicacin
Administracin de:
Configuraciones,
Actualizaciones y
Cambios
Monitoreo de la
Seguridad y
manejo
de incidentes
Auditora, rastreo
y monitoreo de
cumplimiento
Documentacin y
evidencia de
procesos
y operaciones
Entrenamiento en
seguridad
y sensibilizacin

Pgina 17
Captulo 2
Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con
los elementos necesarios para una infraestructura de TICs segura (Final) [Elaboracin propia].
Elementos
Estndares, BuenasPrcticasyMundologas.
MOF
AU NZ/4360
NFPA 75
NFPA 1600
NIST SP 800-34
NIST
DRII
BCI
ISACA
ISC
Administracin
del riesgo
Continuidad
del negocio
Control de acceso
Arquitectura
segura
de red y aplicacin
Administracin de:
Configuraciones,
Actualizaciones y
Cambios
Monitoreo de la
Seguridad y
manejo
de incidentes
Auditora, rastreo
y monitoreo de
cumplimiento
Documentacin y
evidencia de
procesos
y operaciones
Entrenamiento en
seguridad
y sensibilizacin
Estos lineamientos se enfocan en ofrecer las directrices para una gestin integral de la
seguridad de la informacin, la prestacin de servicios con calidad y la continuidad de las
operaciones. El Cuadro 2.2, muestra las ventajas y desventajas de cada uno de estos
estndares, buenas prcticas y metodologas en busca de una manera de generar un
camino claro y expedito para luego poder emprender el desarrollo de un modelo de
gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres
de TICs:

Pgina 18
Captulo 2
Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un
modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del
Gobierno de TI (Inicio) [Elaboracin propia].
Estndares,BuenasPrcticasy
Metodologas
Estndares
BuenasPrcticas
Ventajas
Desventajas
ISO 27001
Orientada a la Gestin de la Seguridad de la

Informacin.
ContemplaparcialmenteeltemadeContinuidad
delNegocioyRecuperacinanteDesastresdeTI.
ISO 24762
Guaparalaprovisindeserviciosderecuperacin
de desastres como parte de la gestin de la
continuidaddelnegocio.
ActualmenteenDesarrollo.
ISO 20000
OrientadaalaGestindeServiciosdeTI.
No contempla el tema de Recuperacin ante

desastresdeTIenlaContinuidaddelNegocio.
BS 25999
Orientada a la Gestin de la Continuidad del

Negocio.
Contempla parcialmente el tema

RecuperacinantedesastresdeTI.
de
NFPA 75
Orientada a la Proteccin contra Incendios y la

ContinuidaddelNegocio.

de
NIST SP 800-34
Gua para la planeacin de Contingencias en los

SistemasdeTI.
delNegocio.
ISO 17799/27002
Guadebuenaspracticasquedescribelosobjetivos
de control y controles en la Administracin de la
SeguridaddelaInformacin.
Contempla parcialmente el tema de

Recuperacin ante desastres de TI en la
ISO 27005
Establece las directrices para la gestin del riesgo

enlaSeguridaddelaInformacin.

BS 25777
Gua de buenas prcticas que establece un marco

para crear y mejorar un sistema de gestin de
continuidaddeserviciosenlosSistemasdeTI.
del Negocio,seusael estndar BS 25999 como
complemento.
COBIT
Brinda un marco de trabajo para la medicin y

monitoreo del desempeo de las Tecnologas de
Informacin,definiendolasactividadesdeTI.
Contempla la mayora de los procesos

relacionados con la continuidad del servicio, no
tieneunenfoqueintegradodetodoelproceso.
ITIL
Gua de buenas prcticas destinadas a facilitar la

entregadeserviciosdeTIdealtacalidadabarcando
lainfraestructura,desarrolloyoperacionesdeTI.

relacionados con la continuidad del servicio, no
COSO
Identifica los factores que causan informes

financieros fraudulentos y hace recomendaciones
parareducirsuincidencia.
No contempla el tema de Recuperacin ante

desastresdeTIenlaContinuidaddelNegocio.
de
Los principales beneficios que se obtienen al usar estos estndares, buenas prcticas y
metodologas son: (1) Identificar de forma proactiva los impactos de un trastorno
operacional. (2) Proporcionar una respuesta efectiva que minimiza el impacto en la
organizacin. (3) Mantiener la capacidad para gestionar los riesgos no asegurables. (4)
Fomentar el trabajo entre equipos. (5) Mejorar la reputacin y ventajas competitivas de la
Organizacion en su capacidad para mantener, entregar y recuperarse de un desastre.

Pgina 19
Captulo 2
Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un
modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del
Gobierno de TI (Final) [Elaboracin propia].
Estndares,BuenasPrcticasy
Metodologas
BuenasPrcticas
Metodologas
Ventajas
Desventajas
M_o_R
Proporciona un conjunto de principios yprocesos

genricos para identificar, analizar y gestionar los
riesgos que pueden ocurrir en un contexto de
negocios.

relacionados con lacontinuidad del servicio, no
MOF
Detallalosprocesosdegestinquedebenutilizarse
para administrar de manera eficaz los
departamentosinformticos
Declinacin de ITIL preconizada por Microsoft

para administrar entornos basados en las
tecnologasMicrosoftWindows.
AU NZ/4360
Gua genrica para el establecimiento e

implementacin del proceso deadministracin de
riesgos.
Aplicado a todas las etapas de la vida de una

actividad,funcin,proyecto,productooactivo.
NFPA 1600
ManejodeDesastres/EmergenciasyProgramasde
Dirigido a Tcnicos y profesionales encargados

delcontrolyseguridadcontraincendios.
NIST
Agencia de la Administracin de Tecnologa de los

Estados Unidos. Su misin es promover la
innovacin y la competencia industrial mediante
biotecnologa, nanotecnologa, tecnologas de la
informacinyfabricacinavanzada.

relacionados con lacontinuidad del servicio, no
DRII
Desarrolla una base de conocimientos en la

planificacin de contingencias y el manejo de
riesgos. Administra los principales programas de
certificacindelaindustria
Contempla parcialmente el tema de

Recuperacin ante desastres de TI en la
BCI
Promociona normas en materia de competencias

profesionales y tica de las prestaciones y del
mantenimiento de servicios y planificacin de la
continuidaddenegocios.

ISACA
Dedicadaalaprcticayalestudiodelaauditora,el
control, la gobernabilidad de las TI, el anlisis de
riesgosylaseguridadinformtica.
ISC
Instituto Internacional de Capacitacin

CertificacinenSistemasdeInformacin.
de
En el diseo o posterior certificacin de estos entornos de Continuidad del Negocio y

Recuperacin ante Desastres de TICs, an no existe un estndar que sea claramente
seguido por el mercado. Sin duda, ITIL tiene varios apartados donde se contemplan la
mayora de los procesos relacionados con la garanta de la continuidad del servicio, pero
no tiene un enfoque integrado de todo el proceso.
Las sociedades ISO/IEC han adoptado y desarrollado varios estndares que contemplan
parcialmente este tema, como es la ISO 27001, actualmente est en desarrollo la norma
ISO/IEC 24762 que es una gua para la provisin de servicios de recuperacin de
desastres como parte de la gestin de la continuidad del negocio tanto para servicios
propios como para servicios externalizados.

Pgina 20
Captulo 2
La norma BS 25777, contiene una gua de buenas prcticas que establece cmo abordar
la gestin de la continuidad de servicios de TICs en una organizacin, siguiendo el marco
de referencia de la norma BS 25999, sistema de gestin de continuidad del negocio.
El anlisis y evaluacin, anteriormente, expresado ha llevado
el siguiente diagnstico de lineamientos que consideran la
Recuperacin ante Desastres de TICs, ver figura 2.4, con
estratgica que le ofrezca a las Organizaciones la capacidad
ante un entorno cambiante y de alto riesgo:
a proponer al que suscribe,

Continuidad del Negocio y
el fin de plantear una ruta
para estar mejor preparada
Figura 2.4 Estndares internacionales, buenas prcticas y metodologas orientadas, para realizar el documento
de lineamientos de Continuidad del Negocio propuesto [Elaboracin propia].

Pgina 21
Captulo 2
2.3 Justificacin del Proyecto de Tesis

En base al anlisis, evaluacin y diagnstico anterior, se concluye que: no existe para la
industria de la manufactura, una metodologa con un enfoque integrado de todo el
proceso para la creacin de Planes de Continuidad del Negocio y Recuperacin ante
Desastres de TICs, por lo tanto se justifica proponer una metodologa para:
El cumplimiento regulatorio: Existe un creciente nmero de reglamentos y
estndares a cumplir, normalmente el sector est basado en COBIT, ITIL, COSO,
ISO 27001, ISO 17799/27002, ISO 27005, ISO 20000, ISO 24762, BS 25999, BS
25777:2008 (gestin de continuidad de TICs, es ms concreto que el BS-25999
bajando a detalles como por ejemplo hablar de centros alternativos y de
procedimientos especficos de TICs), DRII, BCI, ISACA.
La necesidad de los negocios: Para minimizar las prdidas, Segn Jim Hoffer de
Health Management Technology (2009) slo el 6% de las organizaciones que
sufren una prdida de datos catastrfica logra sobrevivir, mientras el 43% nunca
vuelve a reabrir y el 51% cierra en el plazo de dos aos.
La proteccin de personas y activos.
Crecimiento de vulnerabilidades de materializacin de amenazas.
Necesidad del servicio continuo de TICs.
Entonces, para conseguir lo anteriormente expresado, se deben establecer los objetivos

generales y particulares, que son fundamentales para la elaboracin del presente proyecto
de tesis.
2.4 Definicin de Objetivos del Proyecto de Tesis
2.4.1 Objetivo General
Disear, proponer, aplicar y evaluar una metodologa para establecer las estrategias y
procedimientos a ser implementados por un equipo de individuos que permita garantizar la
continuidad de las operaciones del negocio.

Pgina 22
Captulo 2
2.4.2 Objetivos Particulares

Identificar y conocer el medio ambiente de las empresas de manufactura para
efectuar un anlisis y evaluacin de las amenazas a la seguridad de la informacin
y sus operaciones.
Identificar y conocer el medio ambiente de los estndares, mejores prcticas y
metodologas en Recuperacin ante Desastres como parte de la gestin de la
Continuidad del Negocio en los Sistemas de TICs para efectuar un anlisis y
evaluacin de su desempeo.
Disear y proponer una metodologa para la creacin de un plan para la
Continuidad y Recuperacin ante Desastres en los Sistemas de Tecnologas de
Informacin y Comunicaciones.
Aplicar la metodologa propuesta en una empresa de manufactura, para garantizar
la reanudacin de los procesos crticos dentro de los mrgenes de tiempo
tolerables, asegurando la continuidad de las operaciones, minimizando la
posibilidad de prdida de informacin crtica para el negocio.
Tomando en cuenta lo anterior, en el presente captulo se mostr como el gobierno de TI

puede verse mejorado con la aplicacin de estndares y buenas prcticas en TICs; sin
embargo, su adopcin en el pas es an incipiente, una explicacin sera que los
estndares enfocan la gestin de TICs por procesos, mientras que en la mayora de
entidades, la gestin organizacional y la de TICs contina siendo funcional, basada en
procedimientos, existiendo una escasa cultura de procesos a todo nivel (estratgico,
tctico y operativo).
Ahora, en el siguiente captulo, se estudiar cmo se debe superar esta brecha, por medio
de un mtodo basado en procesos, que proporcione una secuencia definida de pasos para
elaborar de manera sistemtica un plan para la continuidad y recuperacin ante desastres,
a travs de la seleccin de un conjunto de estndares, estableciendo las estrategias de
adopcin, a travs de un buen candidato para marco de gobierno de TI con un buen nivel
de madurez y que cubra la diversidad de actividades, complementado, en temas
especficos con otros estndares, buenas prcticas y metodologas (manteniendo la
concordancia).

Pgina 23
Captulo 3
Metodologa Propuesta
Manufactura.
Captulo 3
CAPTULO 3. -
METODOLOGA PROPUESTA
En el captulo anterior, se estudi como en los entornos de Continuidad del Negocio y
Recuperacin ante Desastres de TICs; an no existe, un estndar que sea claramente
seguido por el mercado de la industria de la manufactura.
A continuacin, se estudiar como se debe superar esta brecha, a travs de un mtodo,
que proporcione una secuencia definida de pasos para elaborar de manera sistemtica a
travs de una metodologa propuesta, un plan para la continuidad y recuperacin ante
desastres, a travs de la seleccin de un conjunto de estndares, estableciendo la
estrategia de adopcin, por medio de un buen candidato para marco de gobierno de TI.
3.1 Introduccin.
Se puede comentar que, la mayora de los productos y servicios que son solicitados por la
sociedad son proporcionados por empresas, para ellas, es muy importante garantizar a
sus clientes un adecuado nivel de seguridad, disponibilidad y confiabilidad de los procesos
que son esenciales para su funcionamiento, asegurando la continuidad del negocio. Esta
disponibilidad se puede ver afectada por factores accidentales, incidentales y humanos.
Una de las recomendaciones para mitigar los riesgos es la necesidad de recuperar los
recursos, ya sean humanos, de infraestructura, datos vitales y de tecnologas de la
informacin requeridos, que permitan continuar con el funcionamiento normal de la
organizacin, a travs de:
Prevencin/Reduccin/Mitigacin
o Identificar y mitigar el riesgo
Respuesta y Manejo
o Reaccin planificada y manejo de un evento adverso
Recuperacin
o Recuperacin y reanudacin planificada de los servicios y operaciones
despus de una interrupcin
Restauracin
o Reparacin o reemplazo del sitio primario de operaciones normales de la
organizacin.

Pgina 24
Captulo 3
Entonces, ahora se presenta la metodologa propuesta para la creacin de un Plan para la

Continuidad y Recuperacin ante Desastres en los Sistemas de TICs en la Industria de la
manufactura, tomando como marcos de referencia el estndar BS25999 (ver anexo A) y la
metodologa DRII (ver anexo B), de Continuidad del Negocio:
3.2 Metodologa propuesta.
La Metodologa propuesta hace frente a los objetivos prioritarios para asegurar la
continuidad del negocio como estrategia de la organizacin, a travs de la identificacin de
las reas de riesgo a que la empresa est expuesta, y sobre estas priorizar las medidas a
adoptar para procurar una continuidad operacional, desde la perspectiva: para eliminar las
amenazas y minimizar la probabilidad de ocurrencia implanta controles de tipo fsico
(appliances, firewalls,), y de entorno (controles de acceso,), minimiza los efectos
implantando sistemas redundantes y transfiere los riesgos residuales a una compaa de
seguros que asuma dicho riesgo.
La misma, se presenta a continuacin de manera general y posteriormente se estudiar
con mayor detalle:
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
Figura 3.1 Mapa de ruta de la metodologa propuesta [Elaboracin propia].

Pgina 25
Captulo 3
Objetivo General de la Metodologa propuesta.

Establecer las estrategias y procedimientos a ser implementados por un equipo de
individuos que provee direccionamiento, soporte, equipamiento, metodologas y
estndares para garantizar la continuidad de las operaciones del negocio.
A continuacin, se describe de forma general la metodologa propuesta:
Fase I.- Conocer y Planificar el Medio Ambiente Organizacional.
En esta fase, se establece la necesidad de desarrollar el Plan de Continuidad en la
organizacin, de tal manera que se comunique la importancia de realizar este plan,
involucrando a los directivos y el personal de la empresa. Para ello, es importante: conocer
previamente en trminos generales, la naturaleza de la situacin, en cuestin. Por tal
motivo, es necesario investigar los antecedentes de la problemtica a tratar; lo cual,
permitir identificar el medio ambiente y las reas donde se desenvuelve el problema.
Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.
En esta fase, se identifican las amenazas internas y externas, incluyendo concentraciones
de riesgo, permitiendo su gestin de priorizacin y control para formar una base en la que
se establezca un programa de control y un plan de accin de gestin de riesgo,
identificando las actividades de misin crtica de la organizacin, sus dependencias y sus
puntos de fallas as como el anlisis de impacto y el efecto que se generara en caso de la
prdida, o interrupcin de las actividades de misin crtica.
Fase III.- Desarrollar el plan de continuidad y estrategias de recuperacin ante
desastres.
En esta fase, se determinan los recursos mnimos para trabajar en el centro alterno, se
describen las estrategias y se formalizan los procedimientos de reanudacin y
recuperacin. As mismo, se definen los procedimientos de notificacin y escalamiento de
emergencias y los criterios y procedimientos de activacin de los planes de contingencia.
Fase IV.- Capacitar, probar y ejercitar.
En esta fase, se determina la eficacia con la que puede continuar el negocio ante la
presencia de una posible interrupcin, evaluando el equipo y personal a cargo de cada

Pgina 26
Captulo 3
actividad crtica, realizando una prueba al sistema demostrando competencia y capacidad

de continuidad del negocio, a travs de la revisin de los estndares y mejores prcticas,
identificando defectos y dificultades, proporcionando recomendaciones.
Fase V.- Auditora, Mantenimiento y Actualizacin.
En esta fase, se revisan los estndares de Continuidad del Negocio y Recuperacin ante
Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando
recomendaciones de acuerdo a los estndares predefinidos, desarrollando una lista de
medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados,
resoluciones y reuniones, entre otros.
La figura 3.2, describe de forma ms general la metodologa propuesta:
FaseII.
FaseI.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
FaseIV.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
Capacitar,probary
ejercitar.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditoradel
PlandeContinuidad.
A5.2.Mantenimiento
delPlande
Continuidad.
A5.3.Mecanismode
almacenamiento.Del
PlandeContinuidad.
A5.4.Mecanismode
actualizacindelPlan
deContinuidad.
A5.5.Mecanismode
distribucindelPlande
Continuidad.
Figura 3.2 Descripcin de la metodologa propuesta [Elaboracin propia].

Pgina 27
Captulo 3
Marco metodolgico integral para el desarrollo de la metodologa propuesta.

El siguiente cuadro muestra el marco metodolgico [Basado en Galindo, 2008], el cual
describe una serie de actividades a emplear, sus correspondientes tcnicas, herramientas
y productos a obtener para el desarrollo de la metodologa propuesta:
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Inicio).
Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de
TICs en la Industria de la Manufactura.
METODOLOGA
(Qu hacer
general?)
ACTIVIDADES
(Qu hacer particular?)
Fase I.Conocer y
Planificar el
Medio Ambiente
Organizacional.
Actividad 1.1 Conocer el

Medio Ambiente General.
Actividad 1.2 Identificar la
Estructura Organizacional de
la Empresa.
Actividad 1.3 Definir la
Arquitectura
de
Macroprocesos.
Actividad 1.4 Definir equipos
de
planificacin
y
sus
responsabilidades.
Actividad 1.5 Definicin de
objetivos,
alcance
y
escenarios del problema.
Actividad
1.6
Concientizacin y aprobacin
por parte de los directivos.
Fase II.Analizar, evaluar

y diagnosticar
riesgos y su
impacto al
negocio.
Actividad 2.1 Identificacin

de las funciones, servicios y
recursos crticos del rea.
Actividad
2.2
Anlisis,
Evaluacin y Diagnstico de
riesgos.
Actividad 2.3 Control de
riesgos.
Actividad 2.4 Anlisis de
Impacto al Negocio.
Actividad 2.5 Evaluacin y
Diagnstico del Anlisis de
Impacto del Negocio.
TCNICAS
(Cmo
hacerlo?)
-Observacin
-Investigacin
-Recopilacin
-Definir una visin
global del tema en
cuestin a tratar.
-Conocer
conceptos bsicos
para la definicin
de Objetivos.
-Definicin del
marco Conceptual.
- Evaluar los
efectos de las
interrupciones,
daos e impactos
al negocio
- Establecer la
metodologa BIA
(cuestionarios,
talleres,
entrevistas, ...)
- Definir y
categorizar las
funciones y
registros crticos
- Determinar las
franjas de tiempo
de recuperacin y
requerimientos de
recursos mnimos
- Identificar y
categorizar los
procesos del
negocio

HERRAMIENTAS
(Con qu
hacerlo?)
METAS
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
- Establecer la necesidad de la
continuidad del negocio.
- Comunicar la necesidad de un Plan
para la Continuidad del Negocio.
- Comprometer la Alta Gerencia en los
procesos de Continuidad del Negocio.
- Establecer el Comit de Proyecto.
-Identificar
y
ejecutar
los
requerimientos presupuestales.
-Identificar los equipos de planificacin
y sus responsabilidades.
- Dar respuesta a los requerimientos
de la Gerencia y de documentacin de
los procesos de Continuidad del
Negocio.
- Reportar y obtener la aprobacin del
avance del proyecto.
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Hoja de clculo
- La probabilidad de ocurrencia, en la
organizacin, a un tipo especfico de
amenaza.
- Una evaluacin y anlisis de riesgos.
- Una estrategia de gestin de control
de riesgo y plan de accin.
- Inventario de los procesos crticos del
negocio.
- Secuencia de recuperacin de
procesos y sistemas crticos
- Estimacin del impacto operacional y
financiero de una interrupcin en los
procesos crticos del negocio.
- Identificacin de los tiempos de
recuperacin para cada proceso crtico
del negocio.
- Identificacin de los requerimientos
mnimos
de
los
procesos
o
aplicaciones crticas del negocio
durante
las
operaciones
de
recuperacin.
Pgina 28
Captulo 3
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Continuacin).
METODOLOGA
(Qu hacer
general?)
Fase III.Desarrollar el
plan de
continuidad y
estrategias de
recuperacin
ante desastres.
Fase IV.Capacitar,
probar y
ejercitar.
ACTIVIDADES
Actividad 3.1 Disear las

estrategias de continuidad de
la organizacin.
Actividad 3.2 Presentar el
anlisis costo/beneficio de las
estrategias de continuidad.
Actividad 3.3 Negociacin y
firma de contratos con los
proveedores de servicios.
Actividad 3.4 Adquisicin de
la infraestructura de TICs.
Actividad 3.5 Preparacin del
sitio alterno.
Actividad 3.6 Definir los
procedimientos
de
recuperacin.
Actividad 4.1 Definir

objetivos de entrenamiento.
Actividad 4.2 Desarrollar e
implementar varios tipos de
programas de entrenamiento.
Actividad 4.3 Identificar otras
oportunidades de educacin.
Actividad 4.4 Descripcin de
las pruebas.
Actividad 4.5 Planificar los
escenarios de prueba y su
periodicidad.
Actividad 4.6 Ejercitacin de
las pruebas
TCNICAS
(Cmo
hacerlo?)
- Desarrollar
alternativas de
estrategias para:
Refinar los
requerimientos
mnimos para la
recuperacin.
- Identificar las
alternativas
viables para la
recuperacin.
- Seleccionar una
estrategia de
recuperacin
eficiente.
- RFP/RFQ.
- Respuesta a
Emergencias.
- Respuesta a
emergencia y
recuperacin.
-Establecer un
programa de
ejercicios.
-Definir escenarios
de desastre
-Crear un
cronograma de
ejercicios.
-Crear un plan de
control y reporte
de los ejercicios
Retroalimentar y
monitorear los
resultados de los
ejercicios
-Definir un
cronograma de
mantenimiento de
los planes
-Formular los
procedimientos de
control de cambios

HERRAMIENTAS
(Con qu
hacerlo?)
METAS
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Sistemas de
informacin
basados en
computadoras,
especializados en
seguimiento,
control y planes
de proyectos
- Identificar requerimientos para el

desarrollo de los planes.
- Definir requerimientos de control y
administracin de la continuidad.
- Identificar y definir un formato y la
estructura
principal
de
los
componentes de los planes.
- Definir el sistema de gestin de crisis
y continuidad del negocio.
- Definir el sistema de evaluacin de
daos y reanudacin.
- Desarrollar el sistema de control de
documentos de los equipos de
operacin del negocio.
- Desarrollar la documentacin de los
equipos de recuperacin de tecnologa
de informacin.
Desarrollar
el
sistema
de
telecomunicaciones.
- Implementar los planes.
- Establecer los procedimientos de
control y distribucin de los planes.
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Hoja de clculo
- Verificacin y validacin que los

miembros y personal se familiarizan
con el entendimiento de roles,
responsabilidades y autoridades en la
operacin de la continuidad del
negocio y proceso de administracin
de crisis.
- La formacin de conciencia
involucrando individuos usando la
continuidad del negocio y los planes
de gestin de crisis.
Probar
la
organizacin
e
infraestructura de la gestin de
continuidad del negocio que incluye
centros de comando, reas de trabajo,
recursos
de
recuperacin
de
tecnologa y telecomunicaciones.
- Verificacin y validacin que el plan
de continuidad de negocio refleja las
actuales prioridades del negocio.
- La oportunidad de identificar defectos
y mejoras de la organizacin del Plan,
administracin de crisis y planes de
continuidad de negocio.
- Documentacin y evaluacin del
ejercicio.
Pgina 29
Captulo 3
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Final).
METODOLOGA
(Qu hacer
general?)
Fase V.Auditora,
Mantenimiento y
Actualizacin.
ACTIVIDADES
TCNICAS
(Cmo
hacerlo?)
Actividad 5.1 Auditoria al

Plan de Continuidad.
Actividad 5.2 Mantenimiento
al Plan de Continuidad.
Actividad 5.3 Mecanismo de
almacenamiento del Plan de
Continuidad.
actualizacin del Plan de
Continuidad.
distribucin del Plan de
Continuidad.
- Definicin y
documentacin
del programa de
auditoria.
- Auditar el plan
de auditoria.
- Buscar expertos
internos y
externos.
- Aplicar los
estndares de
auditoria.
- Actualizar
estrategias del
Plan, normas de
requerimientos,
legislacin,
directrices de
buenas prcticas,
estndares.
- Actualizar
anlisis de
impacto,
estrategias y
planes a ser
auditados.
HERRAMIENTAS
(Con qu
hacerlo?)
METAS
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Hoja de clculo
- Pruebas definidas y documentadas

para la gestin y gobierno pro activo
del programa de mantenimiento y
monitoreo del Plan respecto a
actividades de misin crtica y sus
dependencias.
- Detalles de todos los cambios de
estrategias del Plan documentados
con toda la historia de estrategias y
detalles de control de versiones.
- Identificacin e inclusin de cambios
en los sistemas y procesos de la
organizacin.
- Verificacin y validacin de anlisis
de impacto y de riesgos basados en
las estrategias y planes de
continuidad.
- Verificacin y validacin que las
estrategias y planes son actualizados,
precisos y completos.
- Verificacin y validacin que los
planes continuidad de negocio siguen
una secuencia lgica, formato,
estructura conforme a las directrices y
estndares de buenas prcticas.
- Verificacin y validacin que el
personal tiene entendido los roles de
responsabilidad y le es claro el plan.
A continuacin, se presenta la metodologa propuesta a nivel de detalle:

Pgina 30
Captulo 3
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Fase I.- Conocer y Planificar el Medio Ambiente Organizacional.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
El objetivo de esta primera fase, es establecer la necesidad de desarrollar el Plan de

Continuidad en la organizacin, de tal manera que se comunique la importancia de realizar
este plan, involucrando a los directivos y el personal de la empresa. Para esto, es
importante: conocer previamente en trminos generales, la naturaleza de la situacin, en
cuestin. Por tal motivo, es necesario investigar los antecedentes de la problemtica a
tratar; lo cual, permitir identificar el medio ambiente y las reas donde se desenvuelve el
problema, as como los elementos y relaciones fundamentales que sern objeto de estudio
[Galindo, 2005].
Actividad 1.1 Conocer el Medio Ambiente General.
Conocer el supra o macro sistema: Empresa. Es necesario conocer: su visin, misin,
polticas, sus planes y estrategias correspondientes, los objetivos a cumplir para esos
fines, las funciones que definen lo que se hace y sus correspondientes actividades y/o
procesos que permiten hacerlo. Una vez conocido el medio ambiente general, se procede
a identificar la estructura organizacional.
Actividad 1.2 Identificar la Estructura Organizacional de la Empresa.
Un aspecto fundamental en el conocimiento del medio ambiente es: identificar la
estructura organizacional de la empresa o institucin, y de las reas particulares. Esto
ayudar a ubicar las reas que apoyar el sistema; as como, a quien se deber
entrevistar y pedir informacin para la construccin del mismo. Como una siguiente
actividad, se procede a definir la Arquitectura de Macroprocesos de la Organizacin.
Actividad 1.3 Definir la Arquitectura de Macroprocesos.
Una vez ubicada el rea reas principales se debe, identificar una coleccin de procesos
interrelacionados que generan un resultado bien definido dentro del funcionamiento de la
empresa (macroproceso). Ahora bien, la estructura interna de cada macroproceso es
similar en el sentido que contiene, a lo menos, una instancia de cada uno de los siguientes
tipos de procesos:
Ejecucin: conjunto de subprocesos y actividades que transforma ciertos insumos y
recursos en un producto que tiene valor para la empresa; Gestin: conjunto de

Pgina 31
Captulo 3
subprocesos y actividades que, a partir de requerimientos de clientes, dirigen la Ejecucin;

Mantencin estado: conjunto de subprocesos y actividades que se alimenta de flujos de
informacin que informan la situacin de la Ejecucin y Gestin y retroalimenta
informacin actualizada de estado a stos. La figura 3.3, modela las relaciones definidas
en base a flujos fsicos e informacin, siguiendo la notacin IDEF0 (mtodo de
diagramacin de procesos que tiene contenido, en el sentido de establecer con precisin
los diferentes elementos del modelo y darle sentido en el contexto de lo que pretende el
proceso):
Informacin Output (Relacin con cliente)

Informacin Input
(Requerimientos de clientes)
Gestin
Control
(Instrucciones
de ejecucin)
Flujo fsico output ("Producto" al cliente externo o interno

Informacin Input
Ejecucin
Informacin
Cambio estado
(Transacciones)
Mantencin
estado
Informacin
estado
Recurso
Figura 3.3 Diagrama de flujo (relaciones) entre procesos de negocio [Arquitectura y diseo de procesos de
negocio, Chile 2008].
Una vez conocido el medio ambiente organizacional, se procede a la definicin de los

equipos de planificacin:
Actividad 1.4 Definir equipos de planificacin y sus responsabilidades.
Para comenzar a construir el plan de continuidad de cada rea, se conformar un equipo
interdisciplinario apoyado por la direccin general de la entidad y coordinado por la
direccin del rea funcional, identificando al personal clave de TI y usuarios para la toma

Pgina 32
Captulo 3
de decisiones, detallando los roles e integrantes de cada equipo y asignando las

responsabilidades en caso de desastre.
La figura 3.4, muestra la participacin de los equipos de trabajo, dependiendo de la
interrupcin y del tipo de activos afectados:
Figura 3.4 Equipos de trabajo para respuesta a incidentes [Elaboracin propia]
Establecidos los equipos de trabajo, se procede a la definicin de objetivos, alcance y

escenarios del problema de continuidad.
Actividad 1.5 Definicin de objetivos, alcance y escenarios del problema.
Los equipos definirn los objetivos, el alcance y los escenarios que se abarcarn con el
plan que se est construyendo. Un aspecto importante, sobre el cual radica la continuidad
del proyecto, es la concientizacin de los directivos.
Actividad 1.6 Concientizacin y aprobacin por parte de los directivos.
Una vez terminadas estas tareas, el grupo debe presentar un informe a los directivos,
quienes despus de revisarlo deciden si dan su aprobacin para que el proyecto siga
adelante o, en caso contrario, solicitan revisin de alguno de los puntos expuestos.

Pgina 33
Captulo 3
Las responsabilidades del coordinador de esta etapa son:

Dirigir la definicin de objetivos, polticas y actividades crticas.
Coordinar y organizar directores por cada fase del proyecto.
Controlar el proceso del Plan a travs de mtodos de control efectivo y gestin de
cambio.
Presentar el proceso a Directivos y personal.
Desarrollar el Plan y presupuesto para iniciar el proceso.
Definir y recomendar procesos de estructura y gestin.
Dirigir el proyecto a desarrollar e implementar el proceso del Plan.
Para ello, se proponen las siguientes acciones:
Establecer la necesidad de la continuidad del negocio

Comunicar la necesidad de un Plan para la Continuidad del Negocio
Comprometer la Alta Gerencia en los procesos de Continuidad del Negocio
Establecer el Comit de Proyecto
Identificar y ejecutar los requerimientos presupuestales
Identificar los equipos de planificacin y sus responsabilidades
Desarrollar y coordinar las actividades de implementacin del Plan
Dar respuesta a los requerimientos de la Gerencia y de documentacin de los
procesos de Continuidad del Negocio.
Reportar y obtener la aprobacin del avance del proyecto.
Una vez conocido y planificado el medio ambiente organizacional, en la Fase I, se procede

realizar la Fase II, para lo cual se requiere:

Pgina 34
Captulo 3
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al

negocio.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que

puedan causar la interrupcin o prdida de las actividades crticas de la organizacin,
permitiendo su gestin de priorizacin y control para formar una base en la que se
establezca un programa de control y un plan de accin de gestin de riesgo, identificando
las actividades de misin crtica de la organizacin, sus dependencias y sus puntos de
fallas as como analizar el impacto y el efecto que se generara en caso de la prdida, o
interrupcin de las actividades de misin crtica.
El anlisis de impacto al negocio (BIA, por sus siglas en ingls) tiene en cuenta el Tiempo
Objetivo de Recuperacin (RTO) y el Punto Objetivo de Recuperacin (RPO), como se
muestra en la figura 3.5:
RTO: El tiempo entre el punto de interrupcin, y el punto en el cul los sistemas
sensibles en el tiempo deben estar funcionando nuevamente, con los datos
actualizados.
RPO: El punto en el cul fueron interrumpidas las actividades del sistema debido a
la ocurrencia de un determinado evento.
Figura 3.5 Tiempos y puntos objetivos de recuperacin [Fuente, Norma BS 25999, 2009].

Pgina 35
DRP
Captulo 3
El anlisis de Impacto al Negocio, tiene por objetivo, la identificacin de los procesos de

gestin y supervisin de la Organizacin, para definir el compromiso compartido de todos
los involucrados y plantear constancia de los riesgos.
A continuacin, se presenta la informacin bsica a tener en cuenta para disear el
cuestionario para el desarrollo del Anlisis de Impacto al Negocio:
Datos bsicos del proceso y de su dueo

Frecuencia del proceso
Perodos de tiempo crticos
Tiempo mximo de interrupcin
Volumen de trabajo del proceso
Indicadores y medidas de desempeo existentes
Impactos: Financiero, cliente interno, cliente externo, eficiencia operativa, aspectos
legales, imagen - reputacin y en general para la organizacin como negocio.
Dependencias internas y externas
Aplicaciones informticas que lo soportan
Procedimientos alternos existentes o sugeridos
Efectividad de los procedimientos alternos
Registros vitales de cada proceso
Complejidad de recuperacin de las dependencias evaluadas
Recursos mnimos para la recuperacin de cada dependencia.
Actividad 2.1 Identificacin de las funciones, servicios y recursos crticos del rea.
En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el
rea y se priorizan de acuerdo con la razn de ser de la misma dentro de la organizacin,
determinando, a su vez, en qu recursos (computacionales o logsticos) se apoya, y de
esta manera establecer la criticidad de los recursos. Para cada prioridad se sealar el
tiempo mximo de espera para que se reanuden los servicios, as como la identificacin
de los registros de datos e informacin vital para la operacin de dichas funciones y
servicios.
Con la informacin anterior, se est en condicin para la identificacin de los riesgos por
prioridad y de esta manera iniciar el Anlisis, Evaluacin y Diagnstico de riesgos.

Pgina 36
Captulo 3
Actividad 2.2 Anlisis, Evaluacin y Diagnstico de riesgos.

Determinar la probabilidad anual de ocurrencia de un riesgo, el impacto potencial de un
riesgo y la matriz de nivel de riesgo; para de sta manera, obtener las vulnerabilidades
frente a las prdidas y valoracin del riesgo por recurso en cada actividad que interviene;
lo anterior, es presentado en los siguientes cuadros:
Cuadro 3.2 Probabilidad de Ocurrencia de un riesgo [Elaboracin propia].
Calificacin
1
2
3
4
5
Tabla de probabilidad de ocurrencia

Cualidad
Descripcin
Raro
Improbable
Posible
Probable
Casi certeza
Puede ocurrir slo en circunstancias excepcionales

Puede ocurrir en algn momento
Podra ocurrir en algn momento
Probablemente ocurra en la mayora de circunstancias
Se espera que ocurra en la mayora de circunstancias
Cuadro 3.3 Impacto potencial de un riesgo [Elaboracin propia].
Calificacin
Descriptor
1
2
Insignificante
Menor
Moderado
Mayor
Catastrfico
Tabla de impacto potencial

Detalle
Sin perjuicios, baja perdida financiera
Tratamiento de primeros auxilios, liberado localmente, se contuvo
inmediatamente,perdida financiera media
Requiere tratamiento mdico, liberado localmente, contenido con
asistencia externa, perdida financiera alta
Perjuicios extensivos, prdida de capacidad de produccin, liberacin
externa, sin efectos nocivos, perdida financiera mayor
Muerte, liberacin txica externa con efectos nocivos, enorme prdida
financiera
Cuadro 3.4 Matriz de nivel de riesgo [Elaboracin propia].

Matriz de nivel de riesgo
Probabilidad
Impacto potencial
de ocurrencia
B = Bajo, M = Medio, A = Alto, C = Catastrfico.

Pgina 37
Captulo 3
Actividad 2.3 Control de riesgos.

Una vez que se determina el Anlisis/Evaluacin/Diagnstico de riesgos de la actividad
anterior, se procede a determinar un conjunto de estrategias a implementar para que cada
proceso tenga condiciones mnimas para poder reanudarse y de sta manera iniciar con el
Anlisis de Impacto al Negocio.
Actividad 2.4 Anlisis de Impacto al Negocio.
Una vez realizado el Control de Riesgos, se procede a la identificacin de actividades de
misin crtica, sus dependencias y puntos de falla, para determinar impactos y efectos
(consecuencias) financieros y no financieros como resultado de una interrupcin o prdida
de una o ms actividades de misin crtica durante varios periodos de tiempo. Una vez
efectuada la actividad presente, se est en condiciones de realizar la Evaluacin y
Diagnstico del Anlisis de Impacto al Negocio.
Actividad 2.5 Evaluacin y Diagnstico del Anlisis de Impacto del Negocio.
Identificar y categorizar los procesos del negocio, determinando los tiempos de reemplazo,
para determinar las franjas de tiempo de recuperacin y requerimientos de recursos
mnimos, como se muestra en la figura 3.6:
Describirlosefectos
quederivandelas
causas
Describirlascausas
defallaquepuede
generarelescenario
Describirel
escenarioaanalizar
Escenario defallaoperdida
Causas
Efectos
I P
Accin
ControldeRiesgos
Calificarelimpacto,
probabilidadyriesgo
segnelanlisisde
riesgos.
Describirlaaccina
realizar,unavezquese
presenteelevento
Describirlostiposde
controlesconsiderados
paramitigarelriesgo
Figura 3.6 Evaluacin y Diagnstico del anlisis de impacto al negocio [Elaboracin propia].

Pgina 38
Captulo 3
Despus de realizar la evaluacin y el control de riesgos, los resultados obtenidos incluyen

la identificacin y documentacin de:
La probabilidad de ocurrencia, en la organizacin, a un tipo especfico de amenaza.
Concentracin de riesgos donde el nmero de Actividades de Misin Crtica es
localizado dentro del mismo edificio o en el mismo lugar.
Una evaluacin y anlisis de riesgos (combinado con un Anlisis de Impacto del
Negocio).
Una estrategia de gestin de control de riesgo y plan de accin.
El enfoque de priorizacin del Plan de Continuidad y control de riesgos.
Entender las prdidas potenciales
Identificar la exposicin de la organizacin a prdidas potenciales
Identificar controles y medidas para prevenir o mitigar el efecto de las prdidas
potenciales
o Proteccin fsica
o Proteccin lgica
o Localizacin de activos
Evaluar, seleccionar y utilizar apropiadas metodologas y herramientas de anlisis
de riesgos
Identificar e implementar las actividades de recoleccin de informacin
Evaluar la efectividad de los controles y medidas
Evaluacin de riesgos y controles
o Escenarios de riesgo
Administracin de registros vitales
Despus de realizado el Anlisis de Impacto al Negocio, se obtendrn como resultados, la

identificacin y documentacin de:
Objetivos y salidas (servicios y productos).
Actividades de Misin Crtica, sus dependencias y puntos de falla.
Impactos y efectos (consecuencias) financieros y no financieros como resultado de
una interrupcin o prdida de una o ms actividades de misin crtica durante varios
periodos de tiempo.
Los objetivos del Plan para cada actividad de misin crtica y sus dependencias.

Pgina 39
Captulo 3
Una priorizacin mnima y aceptable de la recuperacin de los recursos.

Registros/datos vitales
Usuarios y Clientes Claves
Proveedores (tanto dentro como fuera de la organizacin)
Evaluar los efectos de las interrupciones, daos e impactos al negocio
Establecer la metodologa de Anlisis de Impacto al Negocio (por sus siglas en
ingles, BIA) (cuestionarios, talleres, entrevistas, ...)
Definir y categorizar las funciones y registros crticos
Determinar las franjas de tiempo de recuperacin y requerimientos de recursos
mnimos
Identificar y categorizar los procesos del negocio
Determinar tiempos de reemplazo
Por lo que es necesario realizar una evaluacin de los procesos y sistemas del negocio,
con el objetivo de identificar:
reas, funciones y/o procesos sensibles a interrupciones

Interdependencia entre procesos internos y externos
Impactos financieros de las interrupciones
Impactos Operacionales de las interrupciones
Sistemas de informacin crticos para la operacin
Tiempos objetivo de recuperacin (por siglas en ingls, RTO)
Puntos Objetivo de recuperacin (por sus siglas en ingls, RPO)
Clientes y proveedores crticos de la organizacin
Recursos necesarios para la recuperacin de operaciones
pocas crticas para la operacin del negocio
Obteniendo las siguientes actividades:

Inventario de los procesos crticos del negocio.
Secuencia de recuperacin de procesos y sistemas crticos
Estimacin del impacto financiero de una interrupcin en los procesos crticos del
negocio.

Pgina 40
Captulo 3
Estimacin del impacto operacional de una interrupcin en los procesos crticos del
negocio.
Identificacin de los tiempos de recuperacin para cada proceso crtico del negocio.
Identificacin de los requerimientos mnimos de los procesos o aplicaciones crticas
del negocio durante las operaciones de recuperacin.
Una vez desarrollado el anlisis de riegos, su evaluacin en el Impacto al Negocio y

conocido su correspondiente diagnstico, en la Fase II, se procede a efectuar la Fase III,
para lo cual se requiere:

Pgina 41
Captulo 3
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Fase III.- Desarrollar el plan de continuidad y estrategias de

recuperacin ante desastres.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
En esta etapa se identifican las alternativas de recuperacin de las operaciones en los

marcos de tiempo definidos por los RTOs identificados, se determinan los recursos
mnimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los
procedimientos de reanudacin y recuperacin. As mismo, se definen los procedimientos
de notificacin y escalamiento de emergencias, los criterios y procedimientos de activacin
de los planes de contingencia, al igual que los equipos de reanudacin y recuperacin,
encargados de coordinar las actividades de recuperacin en el evento de activacin del
plan.
Actividad 3.1 Disear las estrategias de continuidad de la organizacin.
Una vez identificados los requerimientos de continuidad de la organizacin en la Fase II,
se identificarn los recursos necesarios y la forma de consecucin de los mismos para
cada uno de los controles propuestos (desarrollo, compra de recursos, contrataciones,
convenios, etc.).
Actividad 3.2 Presentar el anlisis costo/beneficio de las estrategias de continuidad.
Determinada la estrategia de continuidad, se analizar el impacto de esta sobre la
operacin del rea funcional, tomando los costos tanto de nivel cualitativo como
cuantitativo e incluyendo un anlisis costo/beneficio de la implantacin de un control.
Actividad 3.3 Negociacin y firma de contratos con los proveedores de servicios.
Una vez definida la estrategia de continuidad y el costo/beneficio de la misma, se procede
a la negociacin y firma de los contratos con los proveedores de servicios de: Cold Site
(Infraestructura bsica, varios das en operar), Hot Site (Parcialmente configurado,
menos de un da en operar) y Warm Site (Listo para operar en pocas horas), este
contrato debe incluir, los siguientes trminos, inscritos en la Solicitud de
Propuestas/Solicitud de Calificaciones RFP/RFQ, enviado a los proveedores de
servicios:
Configuraciones de los Sistemas de Informacin hospedados.
Plan de Recuperacin ante Desastres del sitio alterno.
Velocidad de disponibilidad de los Sistemas de Informacin hospedados.

Pgina 42
Captulo 3
Abonados por sitio.

Abonados por rea.
Preferencia en la disponibilidad de servicios.
Pliza de seguros.
Perodo de uso del sitio alterno.
Comunicaciones del sitio alterno.
Garantas por prdida parcial o total de informacin y/o equipos.
Auditora de los servicios ofrecidos.
Pruebas de seguridad y disponibilidad.
Confiabilidad de servicios.
Actividad 3.4 Adquisicin de la infraestructura de TICs.

Concluida la negociacin y firma de los contratos con los proveedores de servicios, se est
en condicin de: adquirir y dar mantenimiento a la infraestructura tecnolgica que satisface
el requisito del negocio, para adquirir y dar mantenimiento a una infraestructura integrada
y estndar de TI enfocndose en proporcionar plataformas adecuadas para las
aplicaciones del negocio, de acuerdo con la arquitectura definida de TICs y estndares de
tecnologa en continuidad del negocio.
Actividad 3.5 Preparacin del sitio alterno.
Una vez adquirida la infraestructura de TICs necesaria, se consolida la informacin del
centro alterno, su ubicacin, el mapa de los elementos que estn en el sitio, la
funcionalidad de cada puesto de trabajo y el responsable de los elementos que all se
encuentran, as como, el procedimiento para ingresar, teniendo en cuenta consideraciones
de horario (hbil o no hbil).
Actividad 3.6 Definir los procedimientos de recuperacin.
Finalmente, se procede al diseo de la respuesta inicial, procedimientos de emergencia,
activacin de los equipos de recuperacin de desastres y continuidad del negocio,
activacin del sitio de recuperacin (recuperacin en el sitio alterno, recuperacin de
actividades en paralelo o recuperacin en el sitio original) y notificaciones, requerimientos
de los usuarios finales, as como, monitoreo de la recuperacin, progreso de la
reanudacin y revisiones para conducir a la post-reanudacin.

Pgina 43
Captulo 3
Despus de realizado el desarrollo de la estrategia de continuidad, se obtendrn como

resultado, la identificacin y documentacin de:
Categoras de Estrategias:
Centro de procesamiento de datos:
o Hardware requerido en el centro de procesamiento de datos.
o Software requerido en el centro de procesamiento de datos.
o Redes requeridas en el centro de procesamiento de datos.
o Backup y recuperacin de la informacin
Telecomunicaciones (voz y datos)
reas de trabajo
o Espacio
o Muebles
o Equipos
Personal
Seguros
Recuperacin del Centro de Procesamiento de Datos:
Alternativas de recuperacin:
o Contratacin de sitios de recuperacin externos (Infraestructura bsica:
varios das en operar Cold Sites; Parcialmente configurado: menos de
un da en operar Hot Sites, Listo para operar en pocas horas Warm
Sites, Instalaciones duplicadas)
o Recuperacin interna
o Acuerdos recprocos
o Procedimientos manuales
o Reduccin de servicios
o Suspensin de servicios
o Combinacin de estrategias.
Calidad en el Servicio Quality of Service (QoS):
Alta Disponibilidad o High Availability
o Implementacin de controles preventivos, detectivos y correctivos para
procurar la disponibilidad contina de los sistemas crticos de la
organizacin.
Tolerancia a Fallas Fault Tolerance
o Un sistema fault-tolerant puede continuar brindado servicios a pesar de
fallas de software o hardware.
Balanceo de Cargas Load Balancing

Pgina 44
Captulo 3
o Sistemas que comparten la carga de trabajo para evitar recursos ociosos

y bajo desempeo (performance).
Alta Disponibilidad:
Redundancia en los Puntos Probables de Falla: SPFs (Single Point of
Failure)
Cunto tiempo de Cada de los Sistemas downtime estamos dispuestos a
aceptar?
Cuadro 3.5 Disponibilidad de los Servicios [Fuente DRII, 2010].
QoS
Clase 1
Clase 2
Clase 3
Clase 4
Clase 5
Porcentaje de disponibilidad
90 %
99 %
99.9 %
99.99 %
99.999 %
Tiempo de Downtime
52.560 minutos/ao = 36,5 das/ao
5.256 minutos/ao = 3,65 das/ao
525,6 minutos/ao = 8,76 das/ao
52,56 minutos/ao
5,26 minutos/ao

Desarrollar alternativas de estrategias para:
Refinar los requerimientos mnimos para la recuperacin.
Incluyendo consideraciones para:
o RTOs
o Capacidad del Sitio de Recuperacin
o Requerimientos de comunicaciones (voz y datos)
o Viabilidad de recuperacin de acuerdo al planteo del peor escenario
o Requerimientos de reas de trabajo (espacio, equipos, insumos, archivos
vitales, etc.)
o Requerimientos de recursos humanos
o Situacin geogrfica y de transporte.
Identificar las alternativas viables para la recuperacin:
Contratacin de sitios de recuperacin externos (Infraestructura bsica:
varios das en operar Cold Sites; Parcialmente configurado: menos de un
da en operar Hot Sites, Listo para operar en pocas horas Warm Sites,
Instalaciones duplicadas)
Recuperacin interna (Dentro de las instalaciones de la organizacin)
Acuerdos recprocos (Sitios alternos y recuperacin interna)

Pgina 45
Captulo 3
Procedimientos manuales de recuperacin.

Respuesta de reduccin de servicios de TICs
Suspensin de servicios de TICs
Combinacin de estrategias.
Seleccionar una estrategia de recuperacin eficiente.
Seleccin del Proveedor:
Hacer un anlisis inicial de los proveedores existentes.
Preseleccionar los ms viables para el proyecto de acuerdo a:
o Importancia
o Experiencia
o Clientes actuales
o Referencias
o Respaldo financiero.
Confeccionar una Solicitud de Propuestas/Solicitud de Calificaciones (Por
sus siglas en ingls RFP/RFQ) para enviar a los proveedores
preseleccionados.
Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ:
Lineamientos bsicos de la propuesta
o Consideraciones Generales
o Consideraciones de Seguridad Informtica
Alternativas a Cotizar por ejemplo:
o Alternativa 1: Cold Site (Infraestructura bsica, varios das en operar)
o Alternativa 2: Hot Site (Parcialmente configurado, menos de un da en
operar)
o Alternativa 3: Warm Site (Listo para operar en pocas horas)
Detalle de equipos y dispositivos a cotizar
Respuesta a Emergencias:
Identificar componentes de los procedimientos de respuesta a emergencia
Especificar los procedimientos de respuesta a emergencia
Identificar requerimientos de control y autoridad
Elaborar procedimientos de control y autoridad
Respuesta a emergencia y recuperacin
Salvamento y restauracin
Respuesta a emergencia y recuperacin:
Dividir la respuesta ante una emergencia en 5 fases:
o Fase de Prevencin: Prevencin de los activos corporativos, manejo de
riesgos.

Pgina 46
Captulo 3
o Fase de Respuesta: Manejo de crisis, contener el dao, activar

organizacin de recuperacin.
o Fase de Reanudacin: Reanudar las operaciones sensibles al tiempo, en
la localidad alterna.
o Fase de Recuperacin: Recuperar todas las dems operaciones.
o Fase de Restauracin: Reparar/restaurar facilidades y contenidos
Regreso a Casa.
Despus de realizado el desarrollo del Plan de Continuidad, se obtendrn como

resultados, la identificacin y documentacin de:
Identificar requerimientos para el desarrollo de los planes.
Definir requerimientos de control y administracin de la continuidad.
Identificar y definir un formato y la estructura principal de los componentes de los
planes.
Elaborar un borrador de los planes.
Definir procedimientos de gestin de crisis y continuidad del negocio.
Definir las estrategias de evaluacin de daos y reanudacin.
Desarrollar una introduccin general a los planes.
Desarrollar la documentacin de los equipos de operacin del negocio.
Desarrollar la documentacin de los equipos de recuperacin de tecnologa de
informacin.
Desarrollar el sistema de comunicaciones.
Desarrollar los planes de los usuarios finales de aplicaciones.
Implementar los planes.
Establecer los procedimientos de control y distribucin de los planes.
Desarrollado el plan de continuidad y su estrategia de recuperacin ante desastres, en la

Fase III, se inicia la Fase IV de capacitacin del personal, prueba y ejercitacin del
correspondiente Plan de Continuidad, para lo cual se requiere:

Pgina 47
Captulo 3
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
BCP
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
Determinar la eficacia con la que puede continuar el negocio ante la presencia de una
posible interrupcin, evaluando el equipo y personal a cargo de cada actividad crtica,
realizando una prueba al sistema demostrando competencia y capacidad de continuidad
del negocio, a travs de la revisin de los estndares y mejores prcticas, identificando
defectos y dificultades, proporcionando recomendaciones de acuerdo a estndares
predefinidos.
Actividad 4.1 Definir objetivos de entrenamiento.
Establecer las estrategias y procedimientos de los programas de entrenamiento, para
proveer de direccionamiento, soporte, metodologas y estndares para garantizar la
continuidad del negocio y servicios de TICs; con ello, se est en condicin de
implementar varios tipos de programas de entrenamiento.
Actividad 4.2 Desarrollar
entrenamiento.
implementar
varios
tipos
de
programas
de
Definidos los objetivos de entrenamiento, se desarrollan los programas de capacitacin en

todos los niveles de la organizacin en lo referente a los planes de continuidad de los
procesos del negocio y servicios de TIC, incluyendo las definiciones de los trminos
usados, los objetivos del plan, los supuestos y limitaciones, el anlisis de riesgos y su
impacto al negocio realizado y los escenarios contemplados, as como las estrategias y
procedimientos definidos, asignando a cada uno de los participantes su rol dentro de
dichos planes; de esta manera se pueden identificar algunas otras oportunidades de
educacin.
Actividad 4.3 Identificar otras oportunidades de educacin
Los gerentes y el personal de Recursos Humanos deben permanecer alerta a los tipos de
capacitacin que se requieren, cundo se necesitan, quin lo precisa y qu mtodos son
mejores para dar a los empleados el conocimiento, habilidades y capacidades necesarias.
Para asegurar que la capacitacin sea oportuna y est enfocada en los aspectos
prioritarios los gerentes deben abordar la evaluacin de necesidades en forma sistemtica
y con ello, iniciar la planificacin de los escenarios de prueba.

Pgina 48
Captulo 3
Actividad 4.4 Descripcin de las pruebas.

Esta etapa se orienta a probar con antelacin y coordinar ejercicios, documentando y
evaluando los resultados de ellos. Desarrollar procesos para mantener vigentes las
capacidades para lograr una adecuada recuperacin de las operaciones de TI, de acuerdo
con la direccin estratgica del negocio, y de sta manera iniciar con la planificacin de los
escenarios de prueba y su periodicidad.
Actividad 4.5 Planificar los escenarios de prueba y su periodicidad.
Incluir un grupo de administracin, logstica, recursos, listas de verificacin, y estructura,
especificando las estrategias que se probarn. Posterior a la planificacin del ejercicio se
harn las consideraciones del programa, se documentar el ejercicio junto con la
informacin de los participantes, asegurando la vigencia de las pruebas, indicando su
periodicidad y sus responsables; para su posterior ejercitacin.
Actividad 4.6 Ejercitacin de las pruebas.
Descrito y planificado el escenario de prueba, se debe realizar una bitcora de ejecucin
con los resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecucin,
resultado y responsable, para su posterior anlisis y evaluacin con el objetivo de tenerlos
en cuenta en pruebas posteriores junto con sus recomendaciones.
Con la realizacin del ejercicio se determinan varios aspectos, entre los cuales se
encuentran:
Identificar el nivel de madures del Plan de Continuidad y Recuperacin ante
Desastres de la organizacin.
Verificacin y validacin a los planes de continuidad del negocio, gestin de crisis y
estrategias son viables, efectivas, actualizadas, ajustadas al propsito y permiten la
gestin, control y coordinacin de eventos y estrategias del Plan a nivel tctico y
operacional.
Verificacin y validacin que los miembros y personal se familiarizan con el
entendimiento de roles, responsabilidades y autoridades en la operacin de la
continuidad del negocio y proceso de administracin de crisis.
La formacin de conciencia involucrando individuos usando la continuidad del
negocio y los planes de gestin de crisis.

Pgina 49
Captulo 3
Pruebas tcnicas, logsticas, de administracin y otras de sistemas operacionales

de continuidad del negocio y planes de gestin de crisis.
Probar la organizacin e infraestructura de la gestin de continuidad del negocio
que incluye centros de comando, reas de trabajo, recursos de recuperacin de
tecnologa y telecomunicaciones.
El ensayo de la disponibilidad y traslado del personal.
Verificacin y validacin que el plan de continuidad de negocio refleja las actuales
prioridades del negocio.
La oportunidad de identificar defectos y mejoras de la organizacin del Plan,
administracin de crisis y planes de continuidad de negocio.
Documentacin y evaluacin del ejercicio.
Para ello, se propone las siguientes acciones:
Establecer un programa de ejercicios (pruebas)

Determinar requerimientos de los ejercicios
Definir escenarios de desastre
Establecer criterios de evaluacin y documentar los hallazgos
Crear un cronograma de ejercicios
Crear un plan de control y reporte de los ejercicios
Facilitar la realizacin de los ejercicios
Reporte post-ejercicios
Retroalimentar y monitorear los resultados de los ejercicios
Definir un cronograma de mantenimiento de los planes
Formular los procedimientos de control de cambios
Establecer procedimientos para informar el estado de los planes
Objetivos de auditoria
Desarrollado el programa de capacitacin del personal, prueba y ejercitacin del

correspondiente Plan de Continuidad, en la Fase IV, se inicia la Fase V de Auditoria,
Mantenimiento y Actualizacin del correspondiente Plan de Continuidad, para lo cual se
requiere:

Pgina 50
Captulo 3
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
En esta fase se revisan los estndares de Continuidad del Negocio y Recuperacin ante
Actividad 5.1 Auditoria al Plan de Continuidad.
Revisar los estndares de Continuidad del Negocio y Recuperacin ante Desastres de
TICs aplicados, identificando defectos y dificultades, proporcionando recomendaciones de
acuerdo a los estndares predefinidos, documentado el proceso para realizar un plan de
accin y un programa de monitoreo. Una vez efectuada la auditora, se procede a
desarrollar las polticas de mantenimiento, en base a las observaciones hechas por la
misma.
Actividad 5.2 Mantenimiento al Plan de Continuidad.
Las modificaciones al Plan de Continuidad, se basan principalmente en las observaciones
efectuadas por la Auditora, por lo que se debe hacer una lista de medidas mediante las
cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y
reuniones, entre otros. Cada vez que se modifique el plan, se deber llevar una bitcora
en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento
cambiado, la descripcin de la modificacin, quin la hizo y si ya se distribuy o no. Lo
anterior, da hincapi al desarrollo de los mecanismos de almacenamiento, actualizacin y
distribucin.
Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad.
Una vez terminado el plan de continuidad, ste se deber almacenar en diferentes medios
y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnticos
no estn disponibles en el momento de un incidente. Dichas copias se deben almacenar
tambin en los centros alternos.

Pgina 51
Captulo 3
Actividad 5.4 Mecanismo de actualizacin del Plan de Continuidad.

Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es
de gran importancia verificar que todas las copias contengan la misma informacin.
Actividad 5.5 Mecanismo de distribucin del Plan de Continuidad.
Cada vez que se modifique o actualice el plan, se debern distribuir y divulgar las nuevas
actualizaciones para que todos los participantes conozcan los cambios realizados. En
caso de requerir nuevas pruebas y capacitaciones al personal involucrado en la
contingencia, stas se tendrn que realizar con la mayor brevedad posible.
La auditora revisar varios aspectos en la organizacin algunos de ellos son:
Resistencia (aplicacin de planes y estrategias en crisis)
Polticas, estrategias, marcos y planes, contina bajo presin de acuerdo a
estrategias, prioridades y objetivos.
Polticas, estrategias, marcos y planes, contina bajo presin de acuerdo a las
directrices de buenas prcticas.
El Plan es competente de acuerdo al propsito
Los planes y soluciones son efectivos y actualizados de acuerdo al propsito
Implementacin de programas.
Documenta el control, procesos y procedimientos operando efectivamente.
Definicin y documentacin del programa de auditoria.

Auditar el plan de auditoria.
Buscar expertos internos y externos.
Aplicar los estndares de auditoria.
Actualizar estrategias del Plan, normas de requerimientos, legislacin, directrices de
buenas prcticas, estndares.
Realizar programas de conciencia y formacin.
Actualizar anlisis de impacto, estrategias y planes a ser auditados.

Pgina 52
Captulo 3
Despus del desarrollo de sta fase, se obtendrn como resultados, la identificacin y

documentacin de:
Pruebas definidas y documentadas para la gestin y gobierno pro activo del
programa de mantenimiento y monitoreo del Plan respecto a actividades de misin
critica y sus dependencias.
Detalles de todos los cambios de estrategias del Plan documentados con toda la
historia de estrategias y detalles de control de versiones.
Identificacin e inclusin de cambios en los sistemas y proceso de la organizacin
Verificacin y validacin de anlisis de impacto y de riesgos basados en las
estrategias y planes de continuidad.
Verificacin y validacin que las estrategias y planes son actualizados, precisos y
completos.
Verificacin y validacin que los planes de continuidad del negocio siguen una
secuencia lgica, formato, estructura conforme a las directrices y estndares de
buenas prcticas.
Verificacin y validacin que los cambios de procedimiento y procesos son puestos.
Verificacin y validacin que el personal tiene entendido los roles de
responsabilidad y le es claro el plan.
Disparadores de actualizacin del Plan de Continuidad:
Cambios en el personal clave.

Cambios en el organigrama (Ej. Creacin de nuevas posiciones).
Cambios de direccin / telfono de algn componente del equipo de recuperacin.
Cambios en cualquier equipo o dispositivo informtico incluido dentro del esquema
de recuperacin.
Cambio en algn procedimiento.
Reubicacin de instalaciones.
Nuevos proveedores para los recursos crticos.
Cambios en la configuracin de los sistemas o los dispositivos de almacenamiento
(Storage).
Cambios en la configuracin de comunicaciones o de las redes.

Pgina 53
Captulo 3
Por ltimo, se deben tener en cuenta los elementos mnimos en las revisiones del plan:
Requerimientos operacionales
Requerimientos de seguridad
Procedimientos tcnicos
Hardware, software y otros equipos (tipos, especificaciones y cantidad)
Nombres e informacin de contacto de los miembros de los equipos de
recuperacin
Nombres e informacin de contacto de los proveedores
Archivos vitales (impresos y electrnicos).
En el presente captulo, se estudi como una amenaza nunca va a desaparecer, siempre

estar presente en todos los procesos de una organizacin.
Por lo anterior, buscando un mejoramiento permanente en los estndares de respuesta y
continuidad, se ha esforzado en perfeccionar y formalizar el mtodo expuesto,
proporcionando una secuencia definida de pasos para elaborar de manera sistemtica un
plan para la continuidad y recuperacin ante desastres en los Sistemas de Tecnologas de
la Informacin y Comunicaciones aplicado a la Industria de la Manufactura, tomando como
base los Marcos de Referencia: de la Norma BS 25999, ISO/IEC 24762 y la metodologa
DRII sobre Continuidad del Negocio.
En el siguiente captulo, se aplicar la metodologa propuesta, se estudiar la criticidad de
las TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo,
la importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que

Pgina 54
Captulo 4
Aplicacin de la Metodologa. Caso de Estudio:
Empresa de Manufactura de Empaques de
Cartn.
Manufactura.
Captulo 4
Aplicacin de la metodologa propuesta
CAPTULO 4. APLICACIN DE LA METODOLOGA. CASO DE ESTUDIO: EMPRESA DE

MANUFACTURA DE EMPAQUES DE CARTN.
En el captulo anterior, se propone una metodologa para la continuidad y recuperacin
ante desastres de TICs en la industria de la manufactura, por lo que una aproximacin
acertada es conocer con detalle la organizacin que se quiere proteger. No slo se deben
identificar los riesgos, tambin evaluarlos para posteriormente decidir sobre las medidas
que puedan mitigarlos. Para ello, se deber identificar los activos de la empresa; as como,
las debilidades que puedan padecer, estimando probabilidades de ocurrencia y
asignndoles una importancia para la misin de la empresa.
En el presente captulo, se aplicar la metodologa propuesta, se estudiar la criticidad de
las TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo,
la importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que
4.1 Introduccin.
Hoy las empresas son ms dependientes de la tecnologa y compiten en escenarios
complejos debido a la globalizacin, se hacen ms susceptibles a que una serie de
amenazas puedan penetrar sus vulnerabilidades y causarles dao, al grado de dejarlas
fuera del mercado.
Los mercados y la cadena de suministros exigen hoy en da a las empresas poder
demostrar que se posee un plan de continuidad del negocio ante la supuesta presencia
de una tragedia. La empresa tiene que asegurar a terceros que ante la ocurrencia de un
evento mayor o menor, ella seguir operando. Se necesita demostrar confianza de ser un
proveedor confiable; la metodologa propuesta, est concentrada en proteger los procesos
vitales del negocio, en el escenario que se presente un incidente crtico, se busca que los
componentes esenciales de la organizacin sigan operando.

Pgina 55
Captulo 4
4.2 Desarrollo de la metodologa propuesta.

Estudio de la criticidad de las TICs en el desarrollo de una actividad concreta de la
empresa, o lo que es lo mismo, la importancia que tiene el que esas TICs estn
disponibles el mayor tiempo posible, que obligue a que se reanude rpidamente su
funcionamiento, so pena de que su interrupcin perjudique o degrade los objetivos y la
calidad de la actividad en concreto.
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Fase 1. Conocer y planificar el medio ambiente organizacional.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
Establecer la necesidad de desarrollar el Plan de Continuidad en la organizacin, de tal

manera que se comunique la importancia de realizar este plan, involucrando a los
directivos y el personal de la empresa. Para esto, es importante: conocer previamente en
trminos generales, la naturaleza de la situacin, en cuestin. Por tal motivo, es necesario
investigar los antecedentes de la problemtica a tratar; lo cual, permitir identificar el
medio ambiente y las reas donde se desenvuelve el problema, as como los elementos y
relaciones fundamentales que sern objeto de estudio [Galindo, 2005].
FaseI.
Actividad 1.1 Conocer el medio ambiente general.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Conocer el supra o macro sistema: Empresa. Es necesario conocer su visin, misin, polticas, sus
planes y estrategias correspondientes, los objetivos a cumplir para esos fines, las funciones que
definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo.
La empresa objeto de estudio, est considerada como una de las principales convertidoras
de empaques en las Artes Grficas dentro de Amrica Latina, dedicada a la produccin de
papeles liner, mdium y cartoncillo para caja plegadiza, as como a la manufactura de
cajas corrugadas, plegadizas y pre-impresas.
Inici sus actividades como un productor de cartn que abasteca un pequeo volumen al
mercado, pero a travs de los aos sus actividades crecieron y la calidad del cartn
domin el mercado mexicano. Ahora abastecen cartn y empaque a los principales
consumidores a lo largo de la Repblica Mexicana.
Cuenta con dos plantas de conversin y tres molinos de papel, en el ltimo de ellos, se
concentr la mayor tecnologa en la produccin de papel y cartn que actualmente
compite con las empresas ms desarrolladas del ramo a nivel mundial y la ms avanzada
de Latinoamrica.

Pgina 56
Captulo 4
El personal es la razn de ser de la empresa. A travs de su involucramiento y dedicacin

se ha logrado como resultado el crecimiento de la organizacin, en la figura 4.1, se detalla
la estructura organizacional de la empresa en estudio.
La figura 4.1, muestra el diagrama tipo mapa mental de la organizacin, que ayuda a la
integracin de los elementos identificados permitiendo la visin grfica e integral del
contexto:
Visin:
Consolidacin
como una
excelente opcin,
competitiva en el
mercado
nacional, con
reconocimiento a
nivel internacional
Misin:
Proporcionar
soluciones de
empaque y
embalaje de
papel y cartn
con calidad y
servicio.
Ecologa:
Planta recuperadora
de solventes, planta
de tratamiento de
aguas, manejo y
control de residuos,
generacin de
energa elctrica.
Valores:
Calidad,
comunicacin,
congruencia,
honestidad,
lealtad, respeto,
responsabilidad,
trabajo en equipo.
Poltica de
Calidad:
Asegurar que los
productos
fabricados
cumplan los
requisitos de
calidad
Empresaobjetode
estudio.
Papel:
Fabricamos
varios tipos de
papeles y
cartoncillos
reciclados, en
mayor porcentaje
para
autoconsumo.
Plegadizo:
Impresin,
Rotograbado,
Suaje, Engomado
Corrugado y
Preimpreso:
Corrugar y
laminar flautas
tipo F, E, B, C,
CB y Single-Face.
Manufactura de
cajas especiales y
estndar,
terminaciones
especiales.
Aseguramiento
de Calidad:
El sistema de
calidad adoptado
cumple con la
norma ISO
9001:2000
Preprensa:
Diseo estructura,
preprensa,
transporte,
Tecnologa:
Integracin
vertical, la
mayora de
nuestros
procesos son
controlados y
operados por
nosotros
directamente.
Figura 4.1 Diagrama tipo mapa mental de la Organizacin.
Una vez conocido el medio ambiente general, se procede a identificar la estructura

organizacional.

Pgina 57
Captulo 4
FaseI.
Actividad 1.2 Identificar la Estructura Organizacional de la Empresa o

Institucin.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Un aspecto fundamental en el conocimiento del medio ambiente es: identificar la estructura

organizacional de la empresa o institucin, y de las reas particulares de desarrollo. Esto ayudar a
ubicar las reas que apoyar el sistema; as como, a quien se deber entrevistar y pedir informacin
para la construccin del mismo.
ISO
COMIT
EJECUTIVO
SECRETARIA
DE COMIT
Septiembre/2008
DIRECTOR
GENERAL
DIRECTOR DE
CONVERSIN
GERENTE DE
ROTOGRABADO
GERENTE DE
LOGSTICA
GERENTE DE
INGENIERA
GERENTE
DE CALIDAD
CONVERSIN
DIRECTOR CORP.
DE AUDITORIA
DIRECTOR CORP.
DE RECURSOS
HUMANOS
GERENTE
GENERAL
GERENTE
CORPORATIVO
ISO 9000
GERENTE CORP. DE
PLANTA DE
FUERZA
GERENTE DE
MANTENIMIENTO
ELCTRICO
GERENTE
COMPRAS Y
ALMACENES
DIRECTOR
DE PLANTA
TIZAYUCA
DIRECTOR CORP.
DE ADMON.
Y FINANZAS
CONTRALOR
DIRECTOR
COMERCIAL
VALLEJO
GTE. DE VTAS.
PLEGADIZO Y
PRE-IMPRESO Y
CORRUGADO
GERENTE
DE VENTAS
CARTONCILLO
PAPEL
GERENTE DE
TALLER MECNICO
GERENTE
TESORERA
COORDINADOR
DE MATERIAS
PRIMAS
COORDINADOR
DE MATERIAS
PRIMAS
GERENTE DE
PRODUCCIN
CARTONCILLO
GERENTE
SERVICIO A
CLIENTES
LEGAL
GERENTE
CORPORATIVO
DE SISTEMAS
rea Funcional de Apoyo, TI.

GERENTE
TCNICO
reas Funcionales de Manufactura.
reas Funcionales de Distribucin.
reas Funcionales de Finanzas.
Figura 4.2 Organigrama general de la empresa objeto de estudio.
La capacidad de produccin es el mximo nivel de actividad que puede alcanzarse con la

estructura productiva antes mencionada. El estudio de la capacidad es fundamental para
la gestin empresarial, permite analizar el grado de uso que se hace de cada uno de los
recursos en la organizacin y as tener oportunidad de optimizarlos.

Pgina 58
Captulo 4
Una vez ubicada el rea o reas principales ahora, se debe de ubicar el rea particular
donde se desarrollar el Plan de Continuidad y Recuperacin ante desastres, ello ayuda a
conocer el medio ambiente ms cercano al desarrollo del proyecto: para tal fin, en la figura
4.3, se presenta el organigrama particular del rea funcional de apoyo:
ISO
COMIT
EJECUTIVO
SECRETARIA
DE COMIT
Septiembre/2008
DIRECTOR
GENERAL
DIRECTOR CORP.
DE RECURSOS
HUMANOS
GERENTE
GENERAL
DIRECTOR DE
CONVERSIN
GERENTE DE
INGENIERA
GERENTE DE
ROTOGRABADO
GERENTE
DE CALIDAD
CONVERSIN
DIRECTOR CORP.
DE AUDITORIA
GERENTE
CORPORATIVO
ISO 9000
GERENTE CORP. DE
PLANTA DE
FUERZA
GERENTE DE
MANTENIMIENTO
ELCTRICO
GERENTE
COMPRAS Y
ALMACENES
DIRECTOR
DE PLANTA
TIZAYUCA
DIRECTOR CORP.
DE ADMON.
Y FINANZAS
DIRECTOR
COMERCIAL
VALLEJO
GTE. DE VTAS.
PLEGADIZO Y
PRE-IMPRESO Y
CORRUGADO
GERENTE
DE VENTAS
CARTONCILLO
PAPEL
GERENTE DE
LOGSTICA
GERENTE
SERVICIO A
CLIENTES
GERENTE DE
TALLER MECNICO
LEGAL
CONTRALOR
GERENTE
TESORERA
COORDINADOR
DE MATERIAS
PRIMAS
GERENTE DE
PRODUCCIN
CARTONCILLO
COORDINADOR
DE MATERIAS
PRIMAS
GERENTE
CORPORATIVO
DE SISTEMAS
rea Funcional de Apoyo, TI.

GERENTE
TCNICO
reas Funcionales de Manufactura.

reas Funcionales de Distribucin.
reas Funcionales de Finanzas.
ISO
Septiembre/2008
GERENTE CORP.
DE SISTEMAS
GERENTE SOPORTE
TCNICO
GERENTE DE
DESARROLLO
DE SISTEMAS
LDER DE
PROYECTO
MANUFACTURA
LDER DE
PROYECTO
DISTRIBUCIN
LDER DE
PROYECTO
NOMINA Y RH
LDER DE
PROYECTO
FINANZAS
LDER
TELECOMUNICACIONES
LDER
ADMINISTRACIN
DE SISTEMAS
PLANEACIN Y
DESARROLLO
LDER
SOPORTE
TCNICO
PLANEACIN,
EVALUACIN Y
SEGUIMIENTO
DESARROLLO
TECNOLGICO
Figura 4.3 Organigrama del rea funcional de apoyo TI, de la empresa objeto de estudio.
Como una siguiente actividad, se procede a definir la Arquitectura de Macroprocesos de la

Organizacin.

Pgina 59
Captulo 4
FaseI.
Actividad 1.3 Definir la Arquitectura de Macroprocesos.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
A1.3. Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez ubicada el rea o reas principales se debe, identificar una coleccin de procesos
interrelacionados que generan un resultado bien definido dentro del funcionamiento de la empresa
(macroproceso).
Existen procesos de negocios bien definidos y diseados que ejecutan las actividades de
la organizacin, stos se pueden tipificar en cuatro grandes grupos o macro procesos, As,
la estructura de procesos de la empresa objeto de estudio, se muestra en la Figura 4.4,
donde tiene los siguientes macro procesos: Diseo de productos que equivale a Macro2;
Desarrollo del negocio, a Macro3; Procesos Habilitadores, a Macro4; y Cadena con el
cliente y Cadena de suministros, que juntos equivalen a Macro1:
Procesoshabilitadores
Nivel0:Divisin
organizacionalen
cuatrodominios
principales
Diseode
productos
Recursos
Desarrollodel
negocio
Cadenaconel
cliente
Clientes
Cadenade
suministros
Planificacin
Planificacin
Planificacin
Planificacin
Investigacin
Abastecimiento
Estudiodemercado
Contacto
Diseo
Produccin
Anlisisdelnegocio
Venta
Integracin
Distribucin
Diseodelnegocio
Soporte
Correccin
Devolucin
Revisindelnegocio
Relacin
Nivel1:Procesos
Nivel2:Variaciones
3.1
Nivel3:
Subprocesos
Nivel4:Actividades
especficasparala
empresayproceso
enparticular
Recepcin,
validaciny
aprobacin
3.2
3.3
3.4
3.5
3.6
Definirmtodo
decontacto
Capturar
necesidadesdel
cliente
Determinar
perfildel
cliente
Informarreglas
delnegocio
Liberacinpara
venta
Tablasparacada
procesoysubproceso
Mtricas
Mejoresprcticas
Figura 4.4 Macro procesos de la empresa objeto de estudio.

Pgina 60
Captulo 4
En la manufactura de productos de papel, el Producto al cliente (externo) es, por ejemplo,

empaques o rollos de papel; el Flujo fsico est compuesto de los insumos necesarios:
celulosa, tintas y otros productos qumicos; la Ejecucin es la transformacin en mquinas
papeleras de los insumos en productos; la Gestin va desde la atencin a los clientes para
recibir pedidos hasta la confeccin de planes y programas de produccin para las
mquinas, y un seguimiento para asegurar el cumplimiento de stos y la satisfaccin de
los clientes; Mantencin del estado son los sistemas que permiten capturar lo que sucede
en Gestin y Ejecucin (pedidos, especificaciones, planes, programas, trabajo ejecutado,
etc.) para saber en todo momento la situacin del proceso y retroalimentarlo a las
actividades del mismo.
La figura 4.5, incluye los procesos y relaciones modelados segn las convenciones de
IDEF0. La Produccin y entrega de productos o servicios es un proceso de Ejecucin;
Gestin de produccin y entrega, Administracin relacin con proveedores y
Administracin relacin con el cliente son instancias de un proceso de Gestin; y
Mantencin del estado corresponde al proceso homnimo:
Nuevos productos
y servicios
Planes
Requerimientos e
informacin de
mercado
Cliente e
informacin
Informacion al
mercado
Administracin
relacin con
el cliente
Respuesta
requerimientos
Cliente a proceso
y antecedentes
producto o
servicio
Mensaje
requerimientos
productos y
servicios
Cambios de estado
Administracin
relacin con
proveedores
Informacin
proveedores
Informacion y
rdenes a proveedores
2
Ideas cambio
Gestin
produccin y
entrega
productos y
procesos produccin
Mensaje plan e
instrucciones
Necesidades insumos y otros
Producto o servicio
al cliente
Produccin y
entrega bien
o servicio
Insumos y otros recursos

proveedores
Cliente procesado
Necesidades e
informacin control
Estado 1
Estado 2
Estado 3
Informacin de otros procesos
Estado 4
Mantencin
estado
Informacin a
otros procesos
5
Informacin estado
Otros recursos
Figura 4.5 Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la empresa objeto de estudio.

Pgina 61
Captulo 4
Una vez conocido el medio ambiente organizacional, se procede a la definicin de los

equipos de planificacin:
FaseI.
Actividad 1.4 Definir equipos de planificacin y sus responsabilidades.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
A1.4.Definir
equiposde
planificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Para comenzar a construir el plan de continuidad de cada rea, se conformar un equipo

interdisciplinario apoyado por la direccin general de la entidad y coordinado por la direccin del
rea funcional, identificando al personal clave de TI y usuarios para la toma de decisiones, detallando
los roles e integrantes de cada equipo y asignando las responsabilidades en caso de desastre.
Los equipos de planificacin propuestos se detallan en la figura 4.6, los cuales se obtienen
a partir de la estructura organizacional de la empresa y la arquitectura de macroprocesos
identificadas anteriormente, donde esta ltima nos detalla los procesos crticos a
considerar en la fabricacin del producto:
ISO
EQUIPO DE
RESPUESTA
A INCIDENTES
Septiembre/2008
DIRECTOR CORP.
DE RECURSOS
HUMANOS
DIRECTOR
GENERAL
EQUIPO
ADMINISTRADOR
DE LA
EMERGENCIA
EQUIPO DE
ACCIN DE
EMERGENCIA
EQUIPO
DE EVALUACIN
DE DAOS
GERENTE
GENERAL
LDER DE
PROYECTO
MANUFACTURA
LDER
TELECOMUNICACIONES
GERENTE DE
COMPRAS Y
ALMACENES
LDER DE
PROYECTO
DISTRIBUCIN
LDER
ADMINISTRACIN
DE SISTEMAS
DIRECTOR CORP.
DE ADMON.
Y FINANZAS
LDER DE
PROYECTO
FINANZAS
LDER
SOPORTE
TCNICO
rea Funcional de Apoyo ,TI
GERENTE DE
MANTENIMIENTO
ELCTRICO
GERENTE DE
TALLER
MECNICO
reas Funcionales de
Manufactura, Distribucin y
Finanzas.
Subreas
Tcnicas.
Figura 4.6 Equipos de trabajo para respuesta a incidentes.

Pgina 62
Captulo 4
El cuadro 4.1, detalla las funciones de los diferentes elementos que integran los equipos
de respuesta a incidentes de la estructura anterior:
Cuadro 4.1 Funciones de los equipos de respuesta a incidentes (Inicio).
Equipo
Empleado
Funcin
Equipo de Accin
de Emergencia
Coordinador
Gerente General
(Manufactura)
Gerente de Compras y
Almacenes
(Distribucin)
Director de Finanzas
(Finanzas)
Coordinador
Gerente de
Mantenimiento
Elctrico
Gerente de Taller
Mecnico
Equipo de
Evaluacin de
Daos

Controlar el proceso del Plan a travs de mtodos de control efectivo y
gestin de cambio.
Participar en las sesiones de trabajo programadas para la evaluacin de los

riesgos e impactos del proceso bajo su responsabilidad.
Aportar su conocimiento del proceso de negocios en el anlisis y diseo de
los procedimientos de recuperacin.
Liderar la recuperacin del proceso de negocios a su cargo en los
simulacros y prcticas, y en las situaciones reales.
Identificar e implantar mejoras al plan de contingencia y a los
procedimientos de recuperacin bajo su responsabilidad.
Servir de enlace entre los equipos de accin de emergencia, administracin
de emergencia y evaluacin de daos.
Mantenimiento de la informacin del estado de recuperacin.
Coordinar con otros equipos de recuperacin.

gestin de cambio.
Determinar el dao en la red elctrica y asegurar la provisin del equipo de

reemplazo.
Coordinar con entes externos para restaurar el servicio.
Probar que la red elctrica se haya establecido adecuadamente.
Coordinar con otros equipos de recuperacin.
Apreciacin de daos, identificacin de causas e impactos y estimacin del
tiempo de recuperacin.
Supervisar equipos de pruebas, sistemas y redes.
Implantar reglamentaciones y procedimientos de seguridad.
Notacin para el marcado de las funciones:

Funcin Crtica

Funcin Muy Importante
Funcin Importante
Pgina 63
Captulo 4
Cuadro 4.1 Funciones de los equipos de respuesta a incidentes (Final).

Equipo
Empleado
Funcin
Coordinador
Lder de proyecto
Manufactura.
Lder de proyecto
Distribucin.
Lder de Proyecto
Finanzas.
Equipo
Administrador de la
Emergencia
Lder de proyecto
Telecomunicaciones.
Lder de proyecto
Administracin de
Sistemas.
Lder de proyecto
Soporte Tcnico.

gestin de cambio.
Coordinar la recuperacin de las aplicaciones en el computador alterno y en

el computador principal, en caso necesario.
Reconstruir el ambiente de operacin de las aplicaciones que residen en los
servidores.
Soportar el esfuerzo de los usuarios para actualizar los datos de la
aplicacin.
En caso necesario, desarrollar un plan de trabajo detallado para moverse
del sitio-alterno al sitio principal.
Desarrollar y documentar las configuraciones de las comunicaciones de datos.

Determinar el dao en la red de comunicaciones y asegurar la provisin del
equipo de reemplazo.
Coordinar la instalacin del software del sistema operativo que permita la
restauracin de las comunicaciones.
Ordenar e instalar el hardware necesario para establecer comunicaciones
con las oficinas.
Coordinar con entes externos para restaurar el servicio y ordenar las
comunicaciones.
Probar que las comunicaciones se hayan establecido adecuadamente.
Asegurar la disponibilidad de los respaldos necesarios en la recuperacin.

Restaurar archivos y sistema operativo en el sitio de recuperacin.
Elaborar calendarios de operaciones en el sitio de recuperacin.
En caso necesario, coordinar actividades necesarias para restaurar las
facilidades en el sitio principal o en la nueva ubicacin.
Ordenar e instalar el hardware necesario para el procesamiento normal en
el sitio permanente.
Analizar los reportes de daos.

Reportar el estado de la recuperacin y cualquier otro problema que surja.
Notificar al personal del equipo de recuperacin de TI.
Servir como punto focal para todas las consultas planteadas por el personal
de recuperacin del rea de Tecnologa de Informacin.
Habilitar el sitio alterno de tal forma que est listo para recuperar las
aplicaciones.
Notacin para el marcado de las funciones:

Funcin Crtica

Funcin Muy Importante
Funcin Importante
Pgina 64
Captulo 4
FaseI.
Actividad 1.5 Definicin de objetivos, alcance y escenarios del

problema.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Los equipos definirn los objetivos, el alcance y los escenarios que se abarcarn con el plan que se
est construyendo.
El cuadro 4.2, define para cada equipo de respuesta a incidentes, el objetivo, alcance y
escenarios de interrupcin de servicios, como disipador del Plan de Continuidad:
Cuadro 4.2 Definicin de objetivos, alcance y escenarios de los equipos de respuesta a incidentes.
Equipo
Accin ante
emergencias.
Evaluacin de
daos
Administracin de
la emergencia.
Objetivo
Coordinar
la
primera
respuesta
ante
una
emergencia para evitar la
interrupcin
de
los
servicios crticos de la
organizacin.
Determinar el dao en la
red de servicios de la
organizacin identificando
causas
e
impactos,
estimando el tiempo de
recuperacin
para
asegurar la provisin de
los equipos de reemplazo.
Atender
y
ejecutar
eficiente y oportunamente
las
labores
de
recuperacin de datos
crticos y vitales para el
restablecimiento de la red
de usuarios y sistemas de
informacin
de
la
organizacin.
Alcance
Acciones a seguir para corregir la

interrupcin de servicios que puedan
provocar eventos desastrosos.
Escenarios
Acciones para evaluar los daos

despus de la presencia de un
evento de interrupcin o un evento
de desastre, identificando posibles
eventos
futuros
que
puedan
impactar
la
continuidad
de
operaciones en tecnologa, recurso
humano, imagen y financieramente.
Acciones para recuperar estado

operativo,
despus
de
una
interrupcin que hace, que los
recursos crticos de TI, queden
inoperantes por un tiempo que
impacte adversamente al negocio.
En el peor de los casos, se usar
instalacin alterna, se restaurar
software y datos resguardados en
sitio alterno.
Despus
de
un
escenario
de
interrupcin de servicios o de desastre.
Incendios.
Terremotos.
Inundaciones.
Tornados.
Huracanes.
Hundimientos.
Exhalaciones volcnicas.
Huelgas.
Plantones.
Disturbios Sociales.
Fallas en el Equipo de Cmputo o
algn Perifrico
Fallas en Equipo de
Telecomunicaciones o algn
componente de la red
Fallas en el Enlace

Suministro de Energa Elctrica.

Telecomunicaciones.
Gas Natural.
Amenazas de Bomba.
Empleados Inconformes.
Empleados Mal Capacitados.
Fallas en el Equipo de Soporte del
Centro de Cmputo.
Infeccin de Virus
Falla de aplicaciones.
Pgina 65
Captulo 4
FaseI.
Actividad 1.6 Concientizacin y aprobacin por parte de los directivos.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
A1.6.
Concientizaciny
aprobacinpor
partedelos
directivos.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
FaseV.
Auditora,
mantenimientoy
actualizacin.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez terminadas estas tareas, el grupo debe presentar un informe a los directivos, quienes
despus de revisarlo deciden si dan su aprobacin para que el proyecto siga adelante o, en caso
contrario, solicitan revisin de alguno de los puntos expuestos.
El cuadro 4.3, muestra en una sola vista, la metodologa propuesta:

Cuadro 4.3 Tabla de solucin integral para el desarrollo de la metodologa propuesta [Basado en Galindo, 2009].
METODOLOGA PROPUESTA
A
L
C
ACTIVIDADES
Qu hacer
para hacer?
A
N
OBJETIVOS
Hasta dnde?
Fase I.- Conocer y

Planificar el Medio
Ambiente
Organizacional.
Fase II.- Analizar,

evaluar y diagnosticar
riesgos y su impacto
al negocio.
-Conocer el medio
ambiente
organizacional.
-Definir los equipos
de planificacin.
-Analizar y evaluar
riesgos
operacionales.
-Anlisis de Impacto
al Negocio.
Identificar el medio
ambiente de ejecucin
del sistema.
Obtener la
probabilidad de
ocurrencia, a un tipo
especfico de
amenaza.
Estimacin del
impacto financiero de
una interrupcin en
los procesos crticos
del negocio.
C
E
S
METAS
Qu obtener?
- Establecer la
necesidad de la
continuidad del
negocio.
- Identificar los
equipos de
planificacin y sus
responsabilidades.
Fase III.-Desarrollar el
plan de continuidad y
estrategias de
recuperacin ante
desastres.
-Disear las
estrategias de
continuidad.
-Definir los
procedimientos de
recuperacin.
Definir requerimientos
de control y
administracin de la
continuidad.
Desarrollar la
documentacin de los
equipos de
recuperacin de
tecnologa de
informacin.
Fase IV.- Capacitar,

probar y ejercitar.
Fase V.- Auditora,

Mantenimiento y
Actualizacin.
-Desarrollar varios tipos

de programas de
entrenamiento.
-Planificar los
escenarios de prueba y
su ejercitacin.
Definir escenarios de
desastre.
-Auditora.
-Polticas de
mantenimiento.
La formacin de
conciencia involucrando
individuos usando la
continuidad del negocio
y los planes de gestin
de crisis.
Identificacin e
inclusin de cambios
en los sistemas y
proceso de la
organizacin.
Verificacin y
validacin que las
estrategias y planes
son actualizados,
precisos y completos.
RECURSOS REQUERIDOS:
T
E
C
N
O
L
O
G
I
C
O
S
B
A
S
I
C
O
S
H
U
M
A
N
O
S
TCNICA
Cmo hacerlo?
HERRAMIENTAS
Con qu
hacerlo?
TIEMPOS
Cundo hacer?
COSTOS
Cunto cuesta
hacer?
LUGARES
Dnde hacer?
MOTIVACIN
Por qu y para
qu hacer?
EQUIPO DE
TRABAJO
Quin lo har?
LDER
Quin lo
dirigir?
SUPERVISOR
Quin lo
evaluar?
-Observacin
-Investigacin
-Recopilacin
-Definir una visin
global del tema en
cuestin a tratar.
- Determinar las
franjas de tiempo de
recuperacin y
requerimientos de
recursos mnimos de
operacin.
- Seleccionar una
estrategia de
recuperacin
eficiente.
-Establecer un
programa de
capacitacin, ejercicios
y prueba.
Usar estrategias del

Plan, requerimientos,
legislacin, directrices
de buenas prcticas, y
estndares.
-Mtodo cientfico.
-Procesador de
textos.
-Editor de imgenes.
-Procesador de
textos.
-Editor de imgenes.
-Hoja de clculo.
-Mtodo cientfico.
-Procesador de textos.
-Editor de imgenes
-Editor de imgenes.
-Hoja de clculo.
-Editor de imgenes.
-Hoja de clculo.
10 das hbiles.
15 das hbiles.
20 das hbiles
25 das hbiles
15 das hbiles
Da normal de los
implicados.
Da normal de los
implicados.
Capacitacin externa de
los implicados.
Capacitacin externa
de los implicados.
Organizacin interna.
Organizacin interna.
Comprometer la Alta
Gerencia en los
procesos de
Continuidad del
Negocio.
Director del proyecto.
Estimar el impacto
operacional de una
interrupcin en los
procesos crticos del
negocio.
Director/Equipos de
planificacin.
Equipos de TI, en la
estrategia de
continuidad.
Organizacin/sitio
alterno.
Respuesta a
emergencia y
recuperacin.
Organizacin/sitio
alterno.
- El ensayo de la
disponibilidad y
traslado del personal.
Director/Equipos de
planificacin.
Director/Equipos y
personal.
Organizacin/sitio
alterno.
Validacin que el Plan
de continuidad siguen
una secuencia lgica,
formato y estructura
definidos.
Director/Equipos y
personal.
Socio comercial
externo.
Socio comercial
externo.
Socio comercial
externo.
Socio comercial
externo.
Socio comercial
externo.

Pgina 66
Captulo 4
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Fase II.- Analizar, evaluar y diagnosticar riesgos y su impacto al

negocio.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
Identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que

puedan causar la interrupcin o prdida de las actividades crticas de la organizacin,
permitiendo su gestin de priorizacin y control para formar una base en la que se
establezca un programa de control y un plan de accin de gestin de riesgo, identificando
las actividades de misin crtica de la organizacin, sus dependencias y sus puntos de
fallas as como, analizar el impacto y el efecto que se generara en caso de la prdida, o
interrupcin de las actividades de misin crtica.
Una vez conocido el medio ambiente general y particular, as como, definidos los equipos
de respuesta, de la Fase anterior; se procede a identificar, analizar, evaluar y diagnosticar
los riesgos inherentes en la operacin, as como su impacto al negocio:
FaseI.
medioambiente
organizacional.
Actividad 2.1 Identificacin de las funciones, servicios y recursos

crticos del rea.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseII.
Analizar,evaluary
impactoalnegocio.
A2.1.
Identificacindelas
funciones,servicios
yrecursoscrticos
delrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el rea y se
priorizan de acuerdo con la razn de ser de la misma dentro de la organizacin, determinando, a su
vez, en qu recursos (computacionales o logsticos) se apoya, y de esta manera establecer la
criticidad de los recursos. Para cada prioridad se sealar el tiempo mximo de espera para que se
reanuden los servicios, as como la identificacin de los registros de datos e informacin vital para la
operacin de dichas funciones y servicios.
El cuadro 4.4, detalla las funciones por rea de la organizacin objeto de estudio y sus
correspondientes recursos crticos (Prioridad, Recursos de apoyo, Tiempo mximo de
reanudacin y Registros de datos vitales):
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Inicio).
rea Funcional: GERENCIA GENERAL
Sub-rea:
Recursos crticos.
Funciones.
1
Revisin del cumplimiento de estrategias y objetivos.

Cierres de Ventas y convenios.
Acontecimientos,
entorno
nacional,
precios,
convenios internacionales, etc.
Cumplimiento a reglamentacin.
Prioridad
Recursos
de apoyo
1.1
1.2
1.3
SIBC
SIBC
MP
1.4
MP
SIBC = Sistema de Informacin Basado en Computadora.

Tiempo mximo
de reanudacin
1 da
1 da
2 das
7 das
Registros de
datos vitales
SIBC
SIBC
MP
MP
MP = Manual de Procedimientos
Pgina 67
Captulo 4
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Continuacin).
Sub-rea: DIRECCIN DE CONVERSIN Y ROTO GRABADO
Recursos crticos
Funciones
1
Programacin de la produccin.
Fechas de entrega
Inventarios
Anlisis de costo de operacin
Revisin y entrega de resultados
Reportes de indicadores, Planes y esquemas de
trabajo.
Desarrollo, especificaciones y productos nuevos.
Liberacin de Producto y producto no conforma
Requerimientos de refacciones e insumos
Rechazos, resultados y quejas de clientes internos y
externos.
Proyectos y viabilidad
Aspectos relacionados con el personal
Requisicin de compra
Requerimientos y mantenimiento de Software y
Hardware
Toma de decisiones en la elaboracin de
herramentales
Proyectos y asistencia tcnica
Asistencia Tcnica
Intercambio de informacin tcnica
Prioridad
Recursos
de apoyo
Tiempo mximo
de reanudacin
Registros de
datos vitales
2.1
SIBC
1 hora
SIBC
2.2
2.3
2.4
2.5
2.6
SIBC
SIBC
SIBC
SIBC/MP
MP
1 da
2 horas
1 da
2 das
2 horas
SIBC
SIBC
SIBC
SIBC
MP
2.7
2.8
2.9
2.10
SIBC
SIBC
SIBC
SIBC
7 das
1 hora
1 hora
1 hora
SIBC
SIBC
SIBC
SIBC
2.11
2.12
2.13
2.14
SIBC
SIBC
SIBC
SIBC
2 das
1 horas
2 horas
2 das
SIBC
SIBC
SIBC
SIBC
2.15
SIBC
1 hora
SIBC
2.16
2.17
2.18
SIBC
MP
MP
1 da
2 horas
1 da
SIBC
MP
MP
3.1
SIBC
2 horas
SIBC
3.2
3.3
SIBC
SIBC
2 horas
1 hora
SIBC
SIBC
3.4
SIBC
1 hora
SIBC
3.5
SIBC/MP
1 hora
SIBC
3.6
MP
2 das
MP
3.7
3.8
3.9
3.10
SIBC
SIBC
MP
SIBC/MP
2 horas
2 horas
1 hora
1 hora
SIBC
SIBC
MP
SIBC
3.11
3.12
3.13
SIBC/MP
SIBC
SIBC/MP
1 hora
2 das
2 horas
SIBC
SIBC
MP

Sub-rea: GERENCIA DE INGENIERA Y PRE PRENSA
Manejo de especificaciones y caractersticas del

producto
Requerimientos de clientes
Verificar que las especificaciones, se cumplan
basndose en las indicaciones de ingeniera, as
como la toma de decisiones para mejoras en el
proceso.
Monitoreo constante de los costos, rutas y
estructuras de los productos
Embalajes, informacin relacionada con cdigos de
productos
Especificaciones, sugerencias, mejoras, factibilidad
de fabricacin y asesora tcnica
Todo lo relacionado con el manejo del SI
El manejo del personal de las reas a cargo
Reporte de actividades
Innovaciones, manejo de mquinas, cotizaciones y
negociaciones
Herramentales que se les fabrica
Contratos y pagos del mantenimiento de equipos
Brindar los elementos tanto cuantitativo y
cualitativos.

Pgina 68
Captulo 4
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Continuacin).
Sub-rea: GERENCIA DE CALIDAD CONVERSIN
Recursos crticos
Funciones
1
Aprovechamiento de tiempo y recursos.

Establecer prdidas potenciales.
Cotejar y guardar informacin proporcionada.
Prioridad
Recursos
de apoyo
Tiempo mximo
de reanudacin
Registros de
datos vitales
4.1
SIBC
1 hora
SIBC
4.2
4.3
SIBC
SIBC
3 horas
2 das
SIBC
SIBC
5.1
SIBC
2 horas
SIBC

Sub-rea: GERENCIA DE LOGSTICA
Coordinar con las reas de impresin a los

departamentos de Corte, Sacado y Engomado, as
como los herramentales utilizados para cada
departamento.

Sub-rea: DIRECCIN COMERCIAL
Venta, Servicio, Asesora y Desarrollo

Licitaciones, cotizaciones y proyectos
Elaboracin de presupuesto y revisin de resultados
Implicaciones de lneas de crdito y autorizacin de
venta
Programas de los pedidos en produccin
Lograr que los pedidos se elaboren con la calidad y
en el tiempo especificado
Lo referente a la planeacin de su personal y recursos
6.1
MP
1 da
MP
6.2
6.3
6.4
SIBC
SIBC
SIBC
2 das
1 da
1 da
SIBC
SIBC
SIBC
6.5
6.6
SIBC
MP
2 das
3 das
SIBC
MP
6.7
SIBC
2 das
SIBC
7.1
SIBC
1 hora
SIBC
7.2
7.3
7.4
7.5
7.6
7.7
7.8
SIBC
SIBC
SIBC/MP
SIBC
SIBC/MP
SIBC
MP
1 hora
1 hora
2 horas
2 horas
1 da
1 da
7 das
SIBC
SIBC
SIBC
SIBC
SIBC
SIBC
MP
rea Funcional: GERENCIA DE COMPRAS Y ALMACENES

Sub-rea:
Compras
Pago de proveedores
Supervisar el material terminado
Traslado de materiales
Entrega de producto terminado
Materiales o servicios que soliciten
Liberacin de mercancas
Legislacin

Pgina 69
Captulo 4
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Final).
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS
Sub-rea:
Recursos crticos
Funciones
1
Uso y optimizacin de los recursos

Aspectos de carcter legal de la organizacin
Obligaciones y responsabilidades a cargo de la
empresa
Movimientos para brindar el servicio de la compaa
Referente a la informacin
y controles de la
informacin
Lo referente a la planeacin de su personal y
recursos
Informacin comercial para efectuar registros
Prioridad
Recursos
de apoyo
Tiempo mximo
de reanudacin
Registros de
datos vitales
8.1
SIBC
1 da
SIBC
8.2
8.3
SIBC/MP
SIBC/MP
3 das
7 das
SIBC
SIBC
8.4
8.5
SIBC
SIBC
2 das
2 das
SIBC
SIBC
8.6
SIBC
1 da
SIBC
8.7
SIBC
2 das
SIBC
9.1
SIBC
1 hora
SIBC
9.2
9.3
9.4
SIBC
SIBC
SIBC
4 horas
8 horas
1 da
SIBC
SIBC
SIBC
9.5
9.6
9.7
9.8
SIBC
SIBC
MP
MP
2 das
1 da
4 das
2 das
SIBC
SIBC
MP
MP
10.1
SIBC
2 horas
SIBC
10.2
10.3
SIBC
SIBC
1 da
2 das
SIBC
SIBC

Sub-rea: GERENCIA DE CONTRALORA
Controlar el consecutivo de facturas y notas de

crdito
Controlar la facturacin de la compaa
Controlar la emisin de notas de crdito
Controlar la reparacin de: Mquinas de escribir,
telfonos, aire acondicionado, etc
Revisar las plizas S.O. (Ventas).
Controlar la emisin de facturas varias
Archivar los listados de contabilidad
Distribuir la mensajera y valijas

Sub-rea: GERENCIA DE TESORERA
Informacin oportuna para la toma de decisiones

Recuperacin de ingresos por las ventas generadas
Pago de obligaciones financieras segn corresponda
Es indispensable para la organizacin, reanudar las funciones de acuerdo a su prioridad,

despus de un tiempo mximo de suspensin del servicio, con la ayuda de los recursos de
apoyo disponibles y sus correspondientes registros de datos vitales.
Con la informacin anterior, se est en condicin para la identificacin de los riesgos por
prioridad y de esta manera iniciar el Anlisis, Evaluacin y Diagnstico de riesgos.

Pgina 70
Captulo 4
FaseI.
Actividad 2.2 Anlisis, Evaluacin y Diagnstico de riesgos.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2. Anlisis,
evaluaciny
diagnsticode
riesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Determinar la probabilidad anual de ocurrencia de un riesgo, el impacto potencial de un riesgo y la

matriz de nivel de riesgo por prioridad, descrito en la actividad anterior; para de sta manera, obtener
las vulnerabilidades frente a las prdidas y valoracin del riesgo por recurso en cada actividad que
interviene.
Los cuadros 4.5a, 4.5b y 4.5c, muestran las categoras de probabilidad de ocurrencia, el
impacto potencial de un riesgo y la matriz del nivel de riesgo, respectivamente:
Cuadro 4.5a Probabilidad de Ocurrencia de un riesgo [Elaboracin propia].
Calificacin
1
2
3
4
5
Tabla de probabilidad de ocurrencia

Cualidad
Descripcin
Raro
Improbable
Posible
Probable
Casi certeza
Puede ocurrir slo en circunstancias excepcionales

Puede ocurrir en algn momento
Podra ocurrir en algn momento
Probablemente ocurra en la mayora de circunstancias
Se espera que ocurra en la mayora de circunstancias
Cuadro 4.5b Impacto potencial de un riesgo [Elaboracin propia].
Calificacin
Descriptor
1
2
Insignificante
Menor
Moderado
Mayor
Catastrfico
Tabla de impacto potencial

Detalle
Sin perjuicios, baja perdida financiera
Tratamiento de primeros auxilios, liberado localmente, se contuvo
inmediatamente,perdida financiera media
Requiere tratamiento mdico, liberado localmente, contenido con
asistencia externa, perdida financiera alta
Perjuicios extensivos, prdida de capacidad de produccin, liberacin
externa, sin efectos nocivos, perdida financiera mayor
Muerte, liberacin txica externa con efectos nocivos, enorme prdida
financiera
Cuadro 4.5c Matriz de nivel de riesgo [Elaboracin propia].

Probabilidad
Impacto potencial
de ocurrencia
B = Bajo, M = Medio, A = Alto, C = Catastrfico.

Pgina 71
Captulo 4
Basndose en los cuadros 4.5a y 4.5b anteriores, el cuadro 4.6, analiza y evala para
cada categora de riesgo, la probabilidad de ocurrencia y su impacto potencial, en la
organizacin objeto de estudio:
Cuadro 4.6 Anlisis y evaluacin de la probabilidad ocurrencia y el impacto potencial de un riesgo.
Categora
Probabilidad
de ocurrencia
Impacto
potencial
3
3
4
3
4
1
1
1
3
1
1
4
3
5
3
5
3
3
3
4
3
3
4
3
3
4
3
1
4
2
4
2
5
2
2
1
1
3
5
5
5
4
5
4
2
3
5
3
4
4
4
3
2
2
Amenazas Naturales:
1.Inundaciones internas
2. Inundaciones externas
3. Fuego interno
4. Fuego externo
5. Terremoto
6. Volcanes
7. Huracanes
8. Tornado
9. Rayos
10. Nevada
11. Avalancha
Amenazas Humanas:
12. Explosin
13. Vandalismo
14. Huelga
15. Robo obstruccin para ir al trabajo
16. Desechos txicos
17. Cadas de aviones
18. Accidentes
19. Terrorismo
Amenazas Tcnicas:
20. Fallas de energa
21. Fallas en las comunicaciones de datos
22. Fallos del aire acondicionado
23. Fallos del CPU y Hardware
24. Fallos del Software del Sistema Operativo
25. Fallos del Software aplicativo
26. Interferencia electromagntica
27. Otro
De acuerdo al cuadro anterior, la mayor probabilidad de ocurrencia con un impacto

potencial elevado en la organizacin, son las amenazas de tipo tcnicas, seguidas de las
amenazas humanas.

Pgina 72
Captulo 4
El siguiente cuadro, muestra el diagnstico de las categoras de nivel de riesgo del cuadro
anterior, a travs de la matriz del nivel de riesgo:
Cuadro 4.7a Diagnstico del nivel de riesgo.
Probabilidad
Impacto potencial
de ocurrencia
17
6, 7, 8, 10, 11
26
19
13, 16, 27
2, 4
1, 9
14
15
25
12, 23
3, 5
21
22, 24
20
18
Categoras del nivel de riesgo

Bajo
Medio
Alto
Catastrfico
Para la empresa objeto de estudio, el diagnstico presentado por el cuadro 4.7a,

demuestra que los riesgos se agrupan, segn su probabilidad de ocurrencia y el impacto
potencial en el negocio, teniendo las siguientes calificaciones del nivel de riesgo, como se
muestra en el cuadro 4.7b:
Cuadro 4.7b Nivel de riesgos.
Calificacin
Nivel de riesgo de la empresa objeto de estudio

Descriptor
Riesgo
Detalle
Bajo
17,26
Sin perjuicios.
Medio
6,7,8,10,11,13,
Tratamiento
16,18,19,27
localmente, se contuvo inmediatamente.
Alto
2,4,15,25
Requiere
de
primeros
tratamiento
auxilios,
mdico,
liberado
liberado
localmente, contenido con asistencia externa.

4
Catastrfico
1,3,5,9,12,14,20,
Muerte, liberacin txica externa con efectos
21,22,23,24
nocivos.
De acuerdo a las tablas 4.7a y 4.7b, se debe poner especial inters en los riesgos: 20.
Fallas de energa, 3. Fuego interno, 5. Terremoto, 22. Fallas del aire acondicionado y 24.
Falla del software del Sistema Operativo.

Pgina 73
Captulo 4
FaseI.
Actividad 2.3 Control de riesgos.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez que se determina el Anlisis/Evaluacin/Diagnstico de riesgos de la actividad anterior, se

procede a determinar un conjunto de estrategias a implementar para que cada proceso tenga
condiciones mnimas para poder reanudarse y de esta manera iniciar con el Anlisis de Impacto al
Negocio.
El cuadro 4.8, muestra las estrategias a implementar, dependiendo del tipo de riesgo, para
que cada proceso tenga condiciones mnimas de operacin:
Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mnimas de operacin (Inicio).
Riesgo
Aspectos mnimos a considerar
Interrupcin elctrica.
Fuentes alternas de generacin elctrica: UPS y plantas elctricas;

Mantenimiento de las fuentes alternas de generacin elctrica;
Estado de la instalacin elctrica y capacidad elctrica instalada;
Lmparas de emergencia;
Sealamiento iluminado de salidas y puertas de emergencia.
Fallos en Hardware.
Equipo de cmputo utilizado y obsolescencia;

Capacidad de redundancia entre servidores;
Monitoreo de problemas en los servidores;
Contratos de mantenimiento preventivo y correctivo;
Condiciones fsicas y ambientales (limpieza, humedad, temperatura).
Fallas en Software.
Desarrollo local de aplicaciones (metodologas/ estndares);

Cambios y configuracin en aplicaciones;
Trascendencia de los sistemas incluidos en el estudio.
Fallas en
Comunicaciones.
Soporte tcnico de los equipos utilizados;

Mantenimiento preventivo y correctivo de los equipos de comunicacin.
Desastres naturales.
Plizas de seguro vigentes;

Brigadas de atencin ante situaciones de emergencia;
Capacitacin al personal;
Rutas de evacuacin;
Iluminacin de pasillos y puertas y salidas de emergencia.

Pgina 74
Captulo 4
Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mnimas de operacin (Final).
Riesgo
Aspectos mnimos a considerar
Plizas vigentes de seguro;

Sistemas automticos y manuales contra incendio (gabinetes, extintores, aspersores);
Uso de materiales retardantes del fuego;
Almacenamiento de material combustible;
Detectores de humo revisados regularmente.
Procedimientos para respaldo y recuperacin de informacin, fuentes, objetos, documentacin, y

configuracin de los sistemas;
Periodicidad de los respaldos;
Facilidades y proteccin para el almacenamiento dentro y fuera de sitio;
Configuracin de los discos duros de los servidores;
Documentacin actualizada sobre procedimientos de respaldo y recuperacin.
Programa antivirus instalado en computadoras y servidores;

Configuracin y actualizacin del software antivirus;
Consultas regulares de fuentes de informacin para actualizaciones sobre virus;
Capacitacin al personal para identificar potenciales fuentes de ataque de virus;
Polticas para el ataque de virus.
Seguridad fsica para el ingreso al edificio, oficinas y cuartos de servidores y equipos de

comunicacin;
Capacitacin al personal para detectar situaciones que puedan representar riesgo o cuestionar la
presencia de personas desconocidas o sin identificacin;
Sistemas de seguridad: circuitos cerrados de televisin, sensores de movimiento, alarmas;
Revisin y control de salida e ingreso de equipo de cmputo;
Utilizacin de bitcoras para el registro de ingresos.
Intrusin (hackeo).
Procedimientos para otorgamiento de acceso a las aplicaciones y polticas de acceso lgico;

Procedimientos para el acceso a los recursos tecnolgicos (redes y aplicaciones);
Administracin y configuracin de firewalls;
Monitoreo de los accesos tanto legtimos como ilegtimos;
Disponibilidad de herramientas para el monitoreo de la seguridad.
Recurso Humano.
Dependencia en el personal;
Capacitacin;
Documentacin de las funciones del personal.
Incendio.
Fallas en Respaldos.
Virus
Violaciones a la Seguridad
fsica.
Los aspectos a considerar anteriores, proporcionan una proteccin ante los riesgos
descritos, cuya ocurrencia se puede atenuar instrumentando controles adecuados.

Pgina 75
Captulo 4
FaseI.
Actividad 2.4 Anlisis de Impacto al Negocio.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
FaseV.
Auditora,
mantenimientoy
actualizacin.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez realizado el Control de Riesgos, se procede a la identificacin de actividades de misin

crtica, sus dependencias y puntos de falla, para determinar impactos y efectos (consecuencias)
financieros y no financieros como resultado de una interrupcin o prdida de una o ms actividades
de misin crtica durante varios periodos de tiempo.
Las actividades 2.2. y 2.3, nos ayudaron a determinar las categoras de riesgos, su
probabilidad e impacto al negocio, as como el nivel de riesgo y el conjunto de estrategias
a implementar para que cada proceso tenga condiciones mnimas para poder reanudarse .
Ahora, con ayuda de la actividad 2.1, se procede a la identificacin de actividades de
misin crtica, sus dependencias y puntos de falla, para determinar impactos y efectos
financieros y no financieros como resultado de una interrupcin.
El cuadro 4.9, detalla el nivel de riesgo y su impacto en el negocio, para cada funcin
identificada en el cuadro 4.4, apoyndonos desde luego, de los cuadros 4.5b y 4.7b del
impacto potencial de un riesgo y nivel de riesgo, respectivamente:
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones,
servicios y recursos crticos por rea (Inicio).
Sub-rea:
Recursos crticos.
Funciones.
1

Acontecimientos,
entorno
nacional,
precios,
convenios internacionales, etc.
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
1.1
1.2
1.3
SIBC
SIBC
MP
2
2
3
2
5
3
1.4
MP

Pgina 76
Captulo 4
servicios y recursos crticos por rea (Continuacin).
Sub-rea: DIRECCIN DE CONVERSIN Y ROTO GRABADO
Recursos crticos
Funciones
1
Programacin de la produccin.
Fechas de entrega
Inventarios
Anlisis de costo de operacin
Revisin y entrega de resultados
Reportes de indicadores, Planes y esquemas de
trabajo.
Desarrollo, especificaciones y productos nuevos.
Liberacin de Producto y producto no conforma
Requerimientos de refacciones e insumos
Rechazos, resultados y quejas de clientes internos y
externos.
Proyectos y viabilidad
Aspectos relacionados con el personal
Requisicin de compra
Requerimientos y mantenimiento de Software y
Hardware
Toma de decisiones en la elaboracin de
herramentales
Proyectos y asistencia tcnica
Asistencia Tcnica
Intercambio de informacin tcnica
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
2.1
SIBC
2.2
2.3
2.4
2.5
2.6
SIBC
SIBC
SIBC
SIBC/MP
MP
2
1
2
3
1
5
5
4
4
3
2.7
2.8
2.9
2.10
SIBC
SIBC
SIBC
SIBC
5
1
1
1
3
2
2
4
2.11
2.12
2.13
2.14
SIBC
SIBC
SIBC
SIBC
3
1
1
3
4
1
2
3
2.15
SIBC
2.16
2.17
2.18
SIBC
MP
MP
2
1
2
3
1
1
3.1
SIBC
3.2
3.3
SIBC
SIBC
1
1
4
4
3.4
SIBC
3.5
SIBC/MP
3.6
MP
3.7
3.8
3.9
3.10
SIBC
SIBC
MP
SIBC/MP
1
1
1
1
3
1
1
2
3.11
3.12
3.13
SIBC/MP
SIBC
SIBC/MP
1
3
1
1
3
2

Sub-rea: GERENCIA DE INGENIERA Y PRE PRENSA
Manejo de especificaciones y caractersticas del

producto
Requerimientos de clientes
Verificar que las especificaciones, se cumplan
basndose en las indicaciones de ingeniera, as
como la toma de decisiones para mejoras en el
proceso.
Monitoreo constante de los costos, rutas y
estructuras de los productos
Embalajes, informacin relacionada con cdigos de
productos
Especificaciones, sugerencias, mejoras, factibilidad
de fabricacin y asesora tcnica
Todo lo relacionado con el manejo del SI
El manejo del personal de las reas a cargo
Reporte de actividades
Innovaciones, manejo de mquinas, cotizaciones y
negociaciones
Herramentales que se les fabrica
Contratos y pagos del mantenimiento de equipos
Brindar los elementos tanto cuantitativo y
cualitativos.

Pgina 77
Captulo 4
servicios y recursos crticos por rea (Continuacin).
Sub-rea: GERENCIA DE CALIDAD CONVERSIN
Recursos crticos
Funciones
1
Aprovechamiento de tiempo y recursos.

Establecer prdidas potenciales.
Cotejar y guardar informacin proporcionada.
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
4.1
SIBC
4.2
4.3
SIBC
SIBC
2
3
4
3
5.1
SIBC

Sub-rea: GERENCIA DE LOGSTICA
Coordinar con las reas de impresin a los

departamentos de Corte, Sacado y Engomado, as
como los herramentales utilizados para cada
departamento.

Sub-rea: DIRECCIN COMERCIAL
Venta, Servicio, Asesora y Desarrollo

Licitaciones, cotizaciones y proyectos
Elaboracin de presupuesto y revisin de resultados
Implicaciones de lneas de crdito y autorizacin de
venta
Programas de los pedidos en produccin
Lograr que los pedidos se elaboren con la calidad y
en el tiempo especificado
Lo referente a la planeacin de su personal y recursos
6.1
MP
6.2
6.3
6.4
SIBC
SIBC
SIBC
3
2
2
4
3
4
6.5
6.6
SIBC
MP
3
4
3
4
6.7
SIBC
rea Funcional: GERENCIA DE COMPRAS Y ALMACENES

Sub-rea:
Compras
Pago de proveedores
Traslado de materiales
Legislacin
7.1
SIBC
7.2
7.3
7.4
7.5
7.6
7.7
7.8
SIBC
SIBC
SIBC/MP
SIBC
SIBC/MP
SIBC
MP
1
1
1
1
2
2
5
5
4
4
4
3
2
1

Pgina 78
Captulo 4
servicios y recursos crticos por rea (Final).
Sub-rea:
Recursos crticos
Funciones
1

empresa
Referente a la informacin
y controles de la
informacin
recursos
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
8.1
SIBC
8.2
8.3
SIBC/MP
SIBC/MP
4
5
5
4
8.4
8.5
SIBC
SIBC
3
3
4
3
8.6
SIBC
8.7
SIBC
9.1
SIBC
9.2
9.3
9.4
SIBC
SIBC
SIBC
2
2
2
5
5
4
9.5
9.6
9.7
9.8
SIBC
SIBC
MP
MP
3
2
4
3
3
3
1
1

Sub-rea: GERENCIA DE CONTRALORA
Controlar el consecutivo de facturas y notas de

crdito
Controlar la facturacin de la compaa
Controlar la emisin de notas de crdito
Controlar la reparacin de: Mquinas de escribir,
telfonos, aire acondicionado, etc
Revisar las plizas S.O. (Ventas).
Controlar la emisin de facturas varias
Archivar los listados de contabilidad
Distribuir la mensajera y valijas

Sub-rea: GERENCIA DE TESORERA
Informacin oportuna para la toma de decisiones

Recuperacin de ingresos por las ventas generadas
Pago de obligaciones financieras segn corresponda
10.1
SIBC
10.2
10.3
SIBC
SIBC
2
3
4
4
El objetivo de sta actividad es identificar el tiempo objetivo de recuperacin (RTO) y su

correspondiente impacto potencial para cada una de las funciones priorizadas y apoyadas
de sus correspondientes Sistemas de Informacin Basados en Computadoras.

Pgina 79
Captulo 4
Una vez obtenido el tiempo objetivo de recuperacin y el impacto potencial de un riesgo

para cada una de las funciones identificadas, se procede a desarrollar la matriz de impacto
al negocio, con ayuda de la figura 3.4 y el cuadro 4.5b, como se muestra en el siguiente
cuadro:
Cuadro 4.10 Anlisis de impacto al negocio.
Matriz de impacto al negocio
Nivel del
tiempo
objetivo de
recuperacin
Impacto potencial
1
2.12,2.17,3.8,3.9,
3.11
2.8,2.9,2.13,2.15,
3.10,3.13
2.6,3.4,3.5,3.7
2.10,3.2,3.3,7.3,
7.4,7.5
2.18
1.1,7.7
2.16,6.3,7.6,8.6,
9.6
2.4,4.2,6.4,9.4,
10.2
2.1,2.3,3.1,4.1,
5.1,7.1,7.2,9.1,
10.1
1.2,2.2,6.1,8.1,
9.2,9.3
6.7,9.8
3.6,8.7
1.3,2.14,3.12,4.3,
6.5,8.5,9.5
2.5,2.11,6.2,
8.4,10.3
9.7
7.8
6.6
2.7
8.2
1.4,8.3
Categora del nivel de impacto al negocio

Bajo
Medio
Alto
Catastrfico
La matriz anterior, es el resultado del estudio de los tiempos objetivo de recuperacin y el

impacto potencial de los riesgos en las funciones identificadas en la estructura de la
organizacin objeto de estudio, por lo que el anlisis anterior, permite determinar las
prioridades y riesgos de los sistemas de informacin que apoyan a las funciones
anteriores.
Una vez obtenida la estimacin del impacto operacional y financiero de una interrupcin en
los procesos crticos del negocio, se procede a efectuar el cruce de informacin de esos
procesos crticos de negocio, con los Sistemas de Informacin Basados en Computadoras,
que apoyan a tales procesos, para obtener la estimacin del impacto tecnolgico de una
interrupcin.

Pgina 80
Captulo 4
El cuadro 4.11, detalla el cruce de informacin de los Sistemas de Informacin Basados en

Computadora [Galindo, 2007], existentes y el apoyo de stos a las funciones primordiales
de las reas de la organizacin objeto de estudio:
Cuadro 4.11 Cruz de informacin Sistemas vs Funciones [Basado en Galindo, 2007].
Cotizacin y Orden de Venta
Estructura del Producto
Formulas y Procesos
X
X
Rutas y Centros de Trabajo
X
X
Inspeccin en recibo y por muestreo.
Inspeccin en Proceso
Plan de Recursos
X
X
Plan maestro de produccin y planeacin de

requerimientos de materiales.
Inventarios
X
X
Compras
Planeacin de Requerimientos de Distribucin
Inventario Cclico
X
Presupuestos y proyectos
Report Writer
Cuentas por Cobrar
Cuentas por Pagar
Grupo de Costos
X
X
X
X
Contabilidad General
X
X
Programacin de Proveedores.
X
X
Ordenes de trabajo y control de Piso.

Produccin repetitiva

empresa
Legislacin
Traslado de materiales, pagos
Compras
Pago de proveedores
Programacin de Clientes
Referente a la informacin y controles de la

informacin
Direccin de
Administracin y Finanzas

recursos
Gerencia de Compras y
Almacenes
precios,
nacional,
Acontecimientos,
entorno
convenios internacionales
Apoyo a la Funcin
Funcin
Gerencia General
X
X
X
X
X
Control de Activos Fijos
X
X
Grandes Subsistemas de Informacin Basados en Computadoras

Pgina 81
Captulo 4
El cuadro 4.12, detalla el cruce de informacin de los Sistemas de Informacin contra los
Sistemas de Informacin Basados en Computadora [Galindo, 2007] existentes, ahora con
el objetivo de encontrar el apoyo entre Sistemas:
Cuadro 4.12 Cruz de informacin Sistemas vs Sistemas [Basado en Galindo, 2007]
X
Inspeccin en recibo y por muestreo.
X
X
X
X
Plan de Recursos
X
X
X
Grupo de Costos
Cuentas por Pagar
Cuentas por Cobrar
Report Writer
Ordenes de trabajo y control de Piso.
Formulas y Procesos
Inventario Cclico
Compras
X
X
Plan maestro de produccin y planeacin de requerimientos
Programacin de Proveedores
Inventarios
Plan maestro de produccin y planeacin de

requerimientos de materiales
Plan de Recursos
Inspeccin en recibo y por muestreo
Ordenes de trabajo y control de Piso
Formulas y Procesos
Apoyo entre Sistemas
de materiales.
X
Inventarios
Compras
X
X
X
X
X
X
X
X
X
Report Writer
Cuentas por Cobrar
Inventario Cclico
X
X
Programacin de Proveedores.
X
X
X
X
Cuentas por Pagar

X
Grupo de Costos
X
X
Grandes Subsistemas de Informacin Basados en Computadoras
Los cuadros anteriores, nos ayudan a obtener los sistemas que apoyan a las funciones y
su correspondiente interaccin para priorizar la recuperacin y restauracin de los
Sistemas de Informacin Basado en Computadoras.

Pgina 82
Captulo 4
El siguiente cuadro, muestra la prioridad y nivel de riesgo (ver cuadro 4.7b), por Sistema
de Informacin Basado en Computadora visto en los cuadros anteriores:
Cuadro 4.13 Prioridad y nivel de riesgo de los Sistemas de Informacin Basados en Computadora.
rea
Funcional
Gerencia
General
Gerencia de
Compras y
Almacenes
Prioridad
Alta
Baja
1 Cotizacin y Orden de Venta

2 Programacin de Clientes
3 Estructura del Producto
4 Formulas y Procesos
5 Rutas y Centros de Trabajo
6 Ordenes de trabajo y control de Piso.
7 Produccin repetitiva
8 Inspeccin en recibo y por muestreo.
9 Inspeccin en Proceso
10 Plan de Recursos
11Plan maestro de produccin y planeacin de
requerimientos de materiales.
12 Inventarios
13 Programacin de Proveedores.
14 Compras
15 Planeacin de Requerimientos de
Distribucin
16 Inventario Cclico
17
18
Direccin de 19
Administracin 20
y Finanzas
21
22
23
Nivel de Riesgo
Alta
Baja
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Report Writer
Cuentas por Cobrar
Cuentas por Pagar
Grupo de Costos
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
En base a la informacin anterior, se procede a determinar la matriz de prioridad y nivel de

riesgo para la recuperacin de los Sistemas de Informacin Basados en Computadora,
como se muestra en el cuadro 4.14:
Cuadro 4.14 Matriz de prioridad y nivel riesgo para la recuperacin de los Sistemas de Informacin.
15
1, 2, 4, 8, 9, 11, 12,
13, 20, 21
6, 7, 10, 16, 18, 19,

22, 23
3, 5, 14, 17,
Bajo
Alto
Alto
Bajo
Nivel de Riesgo
Prioridad
Categora de Prioridad
Alta
Media

Baja
Ultimo
Pgina 83
Captulo 4
FaseI.
Actividad 2.5 Evaluacin y Diagnstico del Anlisis de Impacto del

Negocio.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodel
anlisisdeimpacto
alnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Identificar y categorizar los escenarios de falla, determinando las causas y efectos, para determinar
las acciones a seguir y el control de riesgos a desarrollar.
El cuadro 4.15, muestra el diagnstico del anlisis de impacto al negocio, donde el

impacto (I), probabilidad (P) y riesgo ( R), son calificados de acuerdo a los cuadros 4.5b,
4.5a y 4.7b respectivamente para cada una de las categoras de riesgo ahora escenario de
falla, del cuadro 4.6, analizando la causa, el efecto y su correspondiente control:
Cuadro 4.15 Evaluacin y diagnstico del anlisis de impacto al negocio.
Escenario de
falla o perdida
Naturales
Humanos
Causas
- Incendios;
- Terremotos;
- Inundaciones;
- Tornados;
- Huracanes;
- Hundimientos;
- Exhalaciones
volcnicas.
- Amenazas de
Bomba;
- Huelgas;
- Plantones;
- Empleados
Inconformes;
- Empleados mal
Capacitados;
- Disturbios sociales;
- Incendios.
Efectos
Prdida total
de la
operacin en
sitio.
5,4
1,2
4,3
Accin
Control de Riesgos
-Plizas de seguro
vigentes.
- Brigadas de atencin ante

situaciones de emergencia;
- Capacitacin al personal;
- Rutas de evacuacin;
- Iluminacin de pasillos y puertas y
salidas de emergencia.
- Recuperacin de operaciones
en ubicacin alterna.
Prdida
total/parcial de
la operacin
en sitio.
4,3
2,3
3,2
- Plizas de seguro
vigentes;
- Seguridad fsica para
el ingreso al edificio,
oficinas y cuartos de
servidores y equipos
de comunicacin.
- Capacitacin;
- Documentacin de las funciones del
personal.
- Capacitacin al personal para
detectar situaciones que puedan
representar riesgo o cuestionar la
presencia de personas desconocidas
o sin identificacin;
- Sistemas de seguridad: circuitos
cerrados de televisin, sensores de
movimiento, alarmas;
en ubicacin alterna/local.
Tcnicos
- Fallas en el Equipo
de Cmputo o algn
Perifrico;
- Fallas en el Equipo
de Soporte del Centro
de Cmputo;
- Fallas en Equipo de
Telecomunicaciones o
algn componente de
la red;
- Fallas en el Enlace;
- Infeccin de Virus;
- Falla de
aplicaciones.
Prdida
parcial de la
operacin en
sitio.
3,2,1
4,5
2,1
- Plizas de seguro
vigentes;
- Fuentes alternas de
generacin elctrica:
UPS y plantas
elctricas;
- Procedimientos para
respaldo y
recuperacin de
informacin, fuentes,
objetos,
documentacin, y
configuracin de los
sistemas.
- Capacidad de redundancia entre

servidores;
- Mantenimiento de las fuentes
alternas de generacin elctrica;
- Cambios y configuracin en
aplicaciones;
- Soporte tcnico de los equipos
utilizados;
- Periodicidad de los respaldos;
- Facilidades y proteccin para el
almacenamiento dentro y fuera de
sitio;
-Programa antivirus instalado en
computadoras y servidores.
- Procedimientos para el acceso a los
recursos tecnolgicos (redes y
aplicaciones);
en ubicacin local.

Pgina 84
Captulo 4
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Fase III.- Desarrollar el plan de continuidad y estrategias de

recuperacin ante desastres.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
En esta etapa se identifican las alternativas de recuperacin de las operaciones en los

marcos de tiempo definidos por los RTOs identificados, se determinan los recursos
mnimos para trabajar en el centro alterno, se describen las estrategias y se formalizan los
procedimientos de reanudacin y recuperacin. As mismo, se definen los procedimientos
de notificacin y escalamiento de emergencias, los criterios y procedimientos de activacin
de los planes de contingencia.
FaseI.
Actividad 3.1
organizacin.
Disear
las
estrategias
de
continuidad
de
la
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisis
costo/beneficiodelas
estrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez identificados los requerimientos de continuidad de la organizacin en la Fase II, se

identificarn los recursos necesarios y la forma de consecucin de los mismos para cada uno de los
controles propuestos (desarrollo, compra de recursos, contrataciones, convenios, etc.).
Antes de iniciar con el diseo de las estrategias de continuidad, es necesario conocer el

ambiente actual de TI de la organizacin; el cuadro 4.16, detalla los recursos del Centro de
Procesamiento de Datos (CPD):
Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio (Inicio).
Recurso
Detalle
Aplicacin
Servidor
HP Integrity NonStop NS2000 Server; 4 procesadores Dual-core Intel Itanium

serie 9100; 32 GB en RAM; 146 GB Disco Duro; arquitectura multi core.
Servidor
HP Integrity NonStop NS1200 Server; 2 procesadores Intel Itanium serie

9100; 16 GB en RAM; 146 GB Disco Duro; arquitectura single core.
Arreglo de Discos
HP StorageWorks P9000 Disk Arrays
Unidad de cinta
HP M8609A LTO 4 FC Manual Load Tabletop Tape Drive for HP NonStop

Integrity NS-Series Servers and Blade Systems.
HP Integrity NonStop NS1200 Server; 1 procesadores Intel Itanium serie
9100; 8 GB en RAM; 80 GB Disco Duro; arquitectura single core.
HP ProLiant ML150 serie G6; 2 procesadores Intel XEON 5500; 4 GB en RAM;
350 GB Disco Duro
HP ProLiant ML110 serie G6; 1 procesadores Intel XEON 5500; 2 GB en RAM;
250 GB Disco Duro
Enrutador HP serie A-MSR20; Procesador RISC @ 400 MHz, 256 MB compact
flash, 256 MB SDRAM; tamao de la tabla de enrutamiento 100000 entradas
Planeador
de
Recursos
Empresariales (ERP), nmina y
recursos humanos.
Servidor espejo del Planeador de
Recursos Empresariales (ERP),
nmina y recursos humanos.
Almacenamiento, virtualizacin y
balanceo de carga de las Bases de
Datos.
Respaldo de las Bases de Datos y
ambiente operativo.
Firewall.
Hardware:
Servidor
Servidor
Servidor
Enrutador

Correo electrnico.
Web, fax, anti-spam, anti-virus.
Enrutador principal red LAN y WAN
para voz y datos
Pgina 85
Captulo 4
Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio (Final).
Recurso
Detalle
Aplicacin
Software:
Sistema Operativo
HP UX 11 i V 3
Base de Datos
ERP
Arreglo de discos
QAD Progress V 9.2

QAD MFG-PRO e-Business
HP StorageWorks Cluster Extension Software
Arreglo de discos
HP StorageWorks Storage Mirroring Software
Unidad de cinta
HP TapeAssure
Firewall
Sistema Operativo
Sistema Operativo
Raptor for Axent V 9

Fedora Core V.7, sendmail
Windows 2008 Server
Web
Anti-spam
Anti-virus
Enrutador
IIS, Internet Information Server v 10

McAfee viruscan v 12
Kaspersky Internet Security 2010
IMC - Intelligent Management Center
Sistema Operativo para el sistema

ERP y Firewall.
Base de Datos del sistema ERP.
ERP
Administracin del cluster del
arreglo de discos.
Administracin de la replicacin en
espejo del arreglo de discos.
Administracin de la unidad de
cintas.
Firewall.
Correo electrnico.
Sistema operativo para el ambiente
web, anti-spam y anti-virus.
Web
Anti-spam
Anti-virus
Administracin de los servicios del
enrutador.
Telecomunicaciones:
Enlaces de voz y datos
Enlaces de voz y datos
DS0 512 Kbps

VPNs
Enlacen entre plantas

Enlacen entre plantas redundantes
Respaldo y recuperacin de la informacin:

Cintas de Respaldo
Respaldo parcial y total de las bases de datos a las 13:00 y 22:00 horas
respectivamente; respaldo total del equipo los fines de semana; 5 juegos de
6 cintas; resguardo de las cintas de fin de mes.
Respaldo
Un Sistema en Cluster de Alta disponibilidad, es aquel que tiene Redundancia en los

Puntos Probables de Falla: SPFs (Single Point of Failure), de acuerdo al tiempo de Cada
de los Sistemas downtime que se est dispuesto a aceptar.
Las figuras 4.7a, 4.7b y 4.7c, detallan las arquitecturas del sistema ERP, del Centro de
Procesamiento de Datos (CPD) y de telecomunicaciones respectivamente, de la empresa
objeto de estudio:

Pgina 86
Captulo 4
La siguiente figura representa las aplicaciones del negocio dentro de la arquitectura del
Sistema de Informacin actual, de la empresa objeto de estudio:
Figura 4.7a Arquitectura del Sistema ERP de la empresa objeto de estudio.
La figura 4.7b, describe la arquitectura del cluster de alta disponibilidad actual, del CPD
de la empresa objeto de estudio:
Figura 4.7b Arquitectura del Centro de Procesamiento de Datos CPD, de la empresa objeto de estudio.

Pgina 87
Captulo 4
La siguiente figura, describe la arquitectura de Telecomunicaciones para la provisin de

servicios de Tecnologas de la Informacin actual, de la empresa objeto de estudio:
Figura 4.7c Arquitectura del Sistema de Telecomunicaciones de la empresa objeto de estudio.
Con la informacin anterior, se est en condiciones de disear la estrategia de continuidad

de la organizacin a travs de:
Categoras de estrategias:
Centro de procesamiento de datos y telecomunicaciones:

o Hardware, software, respaldo y recuperacin de datos de la organizacin, de
acuerdo a la informacin del cuadro 4.16, figura 4.7a y figura 4.7b.
o Consideraciones de los tiempos objetivos de recuperacin RTO del cuadro 4.4.
o Requerimientos de comunicaciones (voz y datos) de acuerdo a la figura 4.7c.
o Requerimientos de las reas de trabajo de acuerdo a los cuadros 4.10 y 4.14.

Pgina 88
Captulo 4
Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ:
Consideraciones para seleccionar el proveedor de servicios del CPD, ver cuadro 4.17:
Cuadro 4.17 Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ.
Solicitud de Propuestas RFP:
Contiene la informacin necesaria de la organizacin colegial, de su entorno, del sector y de la necesidad que justifica el servicio solicitado, as
como de las acciones previas en este mbito, del servicio previsto y sus objetivos generales, dentro de un calendario y con una estimacin de
econmica.
Solicitud de Calificaciones RFQ:

DESCRIPCIN DE NECESIDADES
Resumen Ejecutivo
Descripcin breve del objeto del proyecto
Lugar y plazo de presentacin de ofertas
Informacin General
Introduccin
Antecedentes
Objetivo del proyecto
Aspectos contractuales
Alcance del proyecto
Objetivos a cubrir
Requerimientos funcionales
o
o
o
o
Abonados por sitio.
o
Abonados por rea.
o
o
Pliza de seguros.
o
o
o
o
o
o
Condicionantes tcnicos
Entregables
Fechas objetivo de implantacin
RELACIN DE REQUISITOS
Generales
Presentacin de la Compaa
Referencias
Tcnicos
Caractersticas tcnicas generales de la solucin y equipos ofertados.
Medios especficos que se destinan para la prestacin del servicio
Equipo de trabajo
Otros medios
Metodologa que pretende emplearse para la prestacin del servicio
Calendario de trabajo propuesto, incluyendo actividades e hitos principales
Planes de control de calidad
Las propuestas de mejora que se estimen convenientes
Detalle de componentes de la oferta:
Hardware
Software
Servicios

Pgina 89
Captulo 4
Alternativas de recuperacin del centro de procesamiento de datos:

o Recuperacin interna: en cuanto a fallas de energa elctrica, ver figura 4.8.
o Recuperacin interna: en cuanto a fallas de Hardware, ver figura 4.8.
o Recuperacin interna: en cuanto a fallas de Software, ver figura 4.8.
o Recuperacin interna: en cuanto a fallas de Telecomunicaciones, ver figura 4.8
o Instalaciones duplicadas: para proteccin de amenazas humanas, ver figura 4.8.
o Sitio de recuperacin externo: para proteccin de amenazas naturales,
parcialmente configurado, menos de un da en operar Hot Site, ver figura 4.8.
La siguiente figura, detalla las alternativas de recuperacin del centro de procesamiento de

datos CPD propuesto, estas alternativas cubren la mayora de las amenazas de fallas
tcnicas, humanas y naturales, propuestas en el cuadro 4.8:
Figura 4.8 Arquitectura del Centro de Procesamiento de Datos CPD, propuesta.

Pgina 90
Captulo 4
La arquitectura mostrada en la figura 4.8, cumple con la siguiente categora de la

estrategia:
Calidad en el Servicio Quality of Service (QoS):

o Alta Disponibilidad o High Availability, implementa controles preventivos,
detectivos y correctivos para procurar la disponibilidad contina de los sistemas
crticos de la organizacin, a travs del cluster de alta disponibilidad, del arreglo
de discos en espejo, el cluster elctrico y el sitio de recuperacin externo.
o Tolerancia a Fallas Fault Tolerance, sistema que puede continuar brindado
servicios a pesar de fallas de software o hardware, a travs del cluster de alta
disponibilidad.
o Balanceo de Cargas Load Balancing, sistema que comparte la carga de trabajo
para evitar recursos ociosos y bajo desempeo (performance), a travs del
arreglo de discos.
Estos Sistemas en Cluster de Alta disponibilidad, tienen Redundancia en los Puntos

Probables de Falla: SPFs (Single Point of Failure), de acuerdo a los tiempos de Cada de
los Sistemas downtime que se est dispuesto a aceptar, segn el cuadro 4.4.
Con ello, se procede a presentar el anlisis costo/beneficio de las estrategias de
continuidad.

Pgina 91
Captulo 4
FaseI.
Actividad 3.2 Presentar el anlisis costo/beneficio de las estrategias de

continuidad.
FaseII.
FaseIII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
Desarrollarelplande
derecuperacinante
desastres.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
A3.2.Presentarel
anlisis
costo/beneficiode
lasestrategiasde
continuidad.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Determinada la estrategia de continuidad, se analizar el impacto de sta sobre la operacin del rea
funcional, tomando los costos tanto de nivel cualitativo como cuantitativo e incluyendo un anlisis
costo/beneficio de la implantacin de un control.
Los siguientes cuadros: 4.18a y 4.18b, detallan los costos de compra y arrendamiento
respectivamente del hardware requerido para el CPD Local y CPD Duplicado:
Cuadro 4.18a Compra de Hardware requerido para la estrategia de continuidad propuesta.
Dependencia
Servidores
Arreglo de discos
Equipos
Costo
Compra
Costo
Mantto
Anual
CORPORATIVO
152306
PLANTAS
35067
SUCURSALES
TOTAL
Equipo de respaldo UPS
Equipos
Costo
Compra
Costo
Mantto
Anual
Equipos
Costo
Compra
16862
12600
1130
3600
9750
187373
20462
12600
1130
9570
Costo
Mantto
Anual
Totales
Equipos
Costo
Compra
Costo
Mantto
Anual
164906
17992
650
44817
4250
650
209723
22242
209723
22242
GRAN TOTAL
Mantenimiento
Segundo Ao
Mantenimiento
Tercer Ao
Inversin Inicial:
Inversin a 3 aos
23354
24521
231,965 Dolares
279,840 Dolares
Cuadro 4.18b Arrendamiento de Hardware requerido para la estrategia de continuidad propuesta.

Dependencia
Servidores
Equipos
Arreglo de discos
Costo
Arrenda
miento
Costo
Mantto
Anual
Equipos
Costo
Arrenda
miento
Costo
Mantto
Anual
Equipo de respaldo UPS

Equipos
Costo
Arrenda
miento
Costo
Mantto
Anual
Totales
Equipos
Costo
Arrendami
ento
Costo
Mantto
Anual
CORPORATIVO
50768
16862
3550
1130
54318
17992
PLANTAS
10830
3600
3100
650
13930
4250
SUCURSALES
TOTAL
61598
20462
3550
1130
3100
650
68248
22242
68248
22242
GRAN TOTAL
Mantenimiento
Segundo Ao
Mantenimiento
Tercer Ao
Inversin Inicial:
Inversin a 3 aos
23354
24521
87,490 Dolares
135,365 Dolares

Pgina 92
Captulo 4
El costo anterior es expresado en dlares, debido a que los servicios tcnicos y de

infraestructura en TI, as se detallan internacionalmente.
Como se aprecia en el cuadro 4.18b, el costo del hardware a travs del arrendamiento es
la mejor solucin econmica; ahora, el cuadro 4.18c detalla el costo de arrendamiento del
software requerido en los CPD local y duplicado, as como el costo del arrendamiento del
CPD externo:
Cuadro 4.18c Arrendamiento Software requerido para la estrategia de continuidad propuesta y CPD alterno.
Dependencia
Software
CPD Cold Site Externo
Licencia
s
Costo
Arrenda
miento
Costo
Mantto
Anual
CORPORATIVO
10
14780
PLANTAS
4320
SUCURSALES
TOTAL
14
Totales
Cantida
d
Costo
Arrenda
miento
Costo
Mantto
Anual
Licencia
s
Costo
Arrendami
ento
Costo
Mantto
Anual
1265
2150
205
11
16930
1470
410
4320
410
19100
1675
2150
205
15
21250
1880
15
21250
1880
GRAN TOTAL
Mantenimiento
Segundo Ao
Mantenimiento
Tercer Ao
1974
2072
Inversin Inicial:
Inversin a 3 aos
23,130 Dolares
27,176 Dolares
El siguiente cuadro, detalla los costos de los cursos de capacitacin requeridos, para la
administracin de los recursos crticos del Centro de Procesamiento de Datos CPD:
Cuadro 4.19 Cursos de capacitacin requeridos para la estrategia de continuidad propuesta.
Curso
Lder
Personal
Analista
Programador
No.
Personas
Costo /
Persona
Total
HP UX 11 i V 3
369
1107
HP StorageWorks Cluster Extension
409
1227
306
918
Software
HP StorageWorks Storage Mirroring
Software
HP Integrity NonStop NS2000 Server
240
720
157
471
Total

$ 4,443 Dolares
Pgina 93
Captulo 4
El cuadro 4.20, muestra los beneficios anuales estimados de la estrategia de continuidad

por rea clave de la organizacin objeto de estudio, con un clculo de beneficios
estimados, sobre una base de facturacin mensual de $ 2,564,102 Dolares:
Cuadro 4.20 Beneficios estimados de la estrategia de continuidad propuesta.
Beneficios Cuantitativos
Garantizar la continuidad de las operaciones para el suministro

de informacin por anticipado, de manera que los gerentes
puedan ver el programa planeado antes de la expedicin real
de los pedidos.
Manufactura
Beneficio
Incremento de la
produccin del orden
Minimizar la posibilidad de prdida de informacin para la toma

de decisiones en cuanto al conjunto de costos que ocasionan la
materia prima, el material o el producto semi terminado cuando
no cumple con las especificaciones y la disposicin al manejo
de estos.
Mantener el servicio al cliente para proveer amplia informacin

de la base instalada para maximizar todas las operaciones con
el Cliente y Proveedor.
Distribucin
$ 30,769
del 1.2%
Incremento en la
capacidad de
Rapidez de deteccin de dificultades en el cumplimiento de la

programacin de Clientes y proveedores. Posibilidad de
conocer rpidamente las consecuencias financieras de la
planificacin.
Cuantificacin
$ 20,512
almacenaje y
distribucin del 0.8%
Minimizar la posibilidad de prdida de informacin crtica para

el negocio, manteniendo la informacin de cunto cuesta
producir un artculo y en cuanto se puede vender
Finanzas
Asegurar que los registros vitales estn disponibles ante el

evento de contingencia, permitiendo conocer oportunamente
cunto se est ganando o perdiendo.
Recuperacin de
$ 25,641
Cartera Vencida del 1%
Asegurar que los registros vitales estn disponibles ante el

evento de contingencia, para el control de Cuentas por Cobrar
de las Facturas Emitidas
Organizacin
Optimizacin de funciones y Recursos.
Ahorro de Recursos del
$ 14,102
0.55%
Total
$ 91,024 Dolares
Se observa que la inversin propuesta es muy atractiva, observando los beneficios

estimados en comparacin con la facturacin promedio anual de $38,000,000 millones de
dlares.

Pgina 94
Captulo 4
Con la informacin proporcionada hasta este momento, se est en condiciones de

determinar los parmetros para el anlisis de rentabilidad del cuadro 4.21, y el resumen de
resultados del anlisis de sensibilidad del cuadro 4.22:
Cuadro 4.21 Parmetros para el anlisis de rentabilidad (TMAR), de la estrategia de continuidad propuesta.
Flujo
Concepto
Valor
Inversin, Materiales, Equipos, Capacitacin, Personal (Dolares)
$115,063
Beneficios Estimados (Dlares)
$91,024
Costo de mantenimiento Ao 1 (Dolares)
$24,122
Costo de Mantenimiento Ao 2 (Dolares)
$25,328
Costo de mantenimiento Ao 3 (Dolares)
$26,593
Impuestos (%)
25
Valor de salvamento sobre la inversin en equipo (%)
Depreciacin (%)
Vida til de los equipos (aos)
Tasa de Descuento (p.u) (%)
8,10
5
Tasa de crecimiento anual (%)
Los parmetros anteriores, proporcionan la base del clculo del anlisis de sensibilidad,
cuyo resultado se expresa en el siguiente cuadro:
Cuadro 4.22 Resumen de resultados del anlisis de sensibilidad, de la estrategia de continuidad propuesta.
Concepto
Anlisis de Sensibilidad
Valor en Dolares
Inversin
115,063
115,063
Tasa de descuento (%)
8%
10%
T.M.A.R. (%)
30%
30%
138,480
132,968
1.91
1.89
Valor presente neto

T.I.R. (%)
Relacin Beneficio / Costo
Ao recuperacin de Inversin
Una vez obtenido el anlisis de rentabilidad (TMAR) y con tasas de descuento de 8% y

10%, se obtienen la relacin de costo beneficio y su correspondiente ao de recuperacin
de la inversin propuesta.

Pgina 95
Captulo 4
Los cuadros 4.23a y 4.23b, detallan el anlisis de rentabilidad a tasas del 8% y 10%
respectivamente, proporcionando un tiempo estimado de recuperacin de la inversin de
la estrategia de continuidad propuesta:
Cuadro 4.23a Anlisis de rentabilidad a tasa del 8%, de la estrategia de continuidad propuesta.
-1
Aos
-2
Invers.
Flujo de Costos
-3
-4
Mantto
Total
-5
Valor
Pres.
Costos
(8%)
Flujo de Beneficios
-6
-7
-8
Ingresos
SalvaValor Pres.
(5%)
mento
Beneficios
(8%)
-9
Depreciacin
-10
Utilidad
Bruta
(6)-(4)(9)
-11
Impuesto
s
25%(10)
-12
Flujo
Neto
Efectivo
(10)(11)+(9)
Flujos de Efectivo
-13
Flujo
Descon
(8%)
-14
Flujo
Acum
2010
115,063
115,063
115,063
-115,063
-115,063
2011
24,122
24,122
22,192
91,024
83,742
1,156
65,746
16,436
50,466
46,428
-68,635
2012
25,328
25,328
23,301
95,575
87,929
1,098
69,151
17,287
52,960
48,723
-19,912
2013
26,953
26,953
24,796
100,353
92,324
1,043
72,357
18,089
55,311
50,886
30,974
2014
28,300
28,300
26,036
105,370
96,940
991
76,079
19,019
58,051
53,406
84,380
2015
101,786
941
77,152
19,288
58,805
54,100
138,480
32,545
32,545
29,941
110,638
115,063
140,349
255,412
241,329
502,960
Valor Presente Costos
941
462,721
241,329
Valor Presente Beneficios
1.91
Valor Presente Neto
462,721
Tasa Interna de Retorno
138,480
Ao de Recuperacin de la Inversin
En el cuadro anterior, se aprecia una relacin costo/beneficio de 1.91% a cinco aos de

recuperacin de la inversin, a una tasa de descuento del 8%.
Cuadro 4.23b Anlisis de rentabilidad a tasa del 10%, de la estrategia de continuidad propuesta.
-1
Aos
-2
Invers.
Flujo de Costos
-3
-4
Mantto
Total
-5
Valor
Pres.
Costos
(10%)
Flujo de Beneficios
-6
-7
-8
Ingresos
SalvaValor Pres.
(5%)
mento
Beneficios
(10%)
-9
Depreciacin
-10
Utilidad
Bruta
(6)-(4)(9)
-11
Impuesto
s
25%(10)
-12
Flujo
Neto
Efectivo
(10)(11)+(9)
Flujos de Efectivo
-13
Flujo
Descon
(10%)
-14
Flujo
Acum
2010
115,063
115,063
115,063
-115,063
-115,063
2011
24,122
24,122
21,709
91,024
81,921
1,156
65,746
16,436
50,466
45,419
-69,644
2012
25,328
25,328
22,795
95,575
86,017
1,098
69,151
17,287
52,960
47,664
-21,980
2013
26,953
26,953
24,257
100,353
90,517
1,043
72,357
18,089
55,311
49,779
27,799
2014
28,300
28,300
25,470
105,370
94,833
991
76,079
19,019
58,051
52,245
80,044
2015
99,574
941
77,152
19,288
58,805
52,924
132,968
32,545
32,545
29,290
110,638
115,063
140,349
489,307
238,584
502,960
Valor Presente Costos

Valor Presente Neto
941
452,862
238,584
1.89
132,968
Valor Presente Beneficios
452,862
Tasa Interna de Retorno

Ao de Recuperacin de la Inversin
En el cuadro anterior, se aprecia una relacin costo/beneficio de 1.89% a cinco aos de

recuperacin de la inversin, a una tasa de descuento del 10%.

Pgina 96
Captulo 4
FaseI.
Actividad 3.3 Negociacin y firma de contratos con los proveedores de

servicios.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociacin
yfirmadecontratos
conlosproveedores
deservicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez definida la estrategia de continuidad y el costo/beneficio de la misma, se procede a la

negociacin y firma de los contratos con los proveedores de servicios de: Cold Site
(Infraestructura bsica, varios das en operar), Hot Site (Parcialmente configurado, menos de un da
en operar) y Warm Site (Listo para operar en pocas horas), este contrato debe incluir, los trminos
tecnolgicos, inscritos en la Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ, enviado
a los proveedores de servicios.
El cuadro 4.24, muestra los trminos contractuales generales a que debe estar sujeto el
contrato de prestacin de servicios del proveedor del Centro de Procesamiento de Datos:
Cuadro 4.24 Contrato de prestacin de servicios informticos para el proveedor del CPD externo.
Contrato de prestacin de servicios informticos
DEFINICIN: Contrato en virtud del cual una de la partes se compromete a prestar a la otra una serie de servicios informticos a cambio de un
precio.
Desarrollo:
PARTES CONTRATANTES: Empresa prestadora de servicios informticos y cliente.
CLUSULAS GENERALES:
Definiciones.
Objeto.
Duracin.
Precio y forma de pago.
Comunicaciones entre las partes.
Confidencialidad.
Resolucin del contrato.
Derechos y obligaciones de las partes.
Responsabilidades de las partes.
Ley aplicable y tribunales competentes.

CLUSULAS ESPECFICAS:
Servicios a prestar.
Caractersticas del servicio.

o
o
o
o
Abonados por sitio.
o
Abonados por rea.
o
o
Pliza de seguros.
o
o
o
o
o
o
Plazos.
Suspensin y modificacin del servicio.
Independencia entre las partes.

Pgina 97
Captulo 4
FaseI.
Actividad 3.4 Adquisicin de la infraestructura de TICs.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicin
delainfraestructura
deTICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Concluida la negociacin y firma de los contratos con los proveedores de servicios, se est en
condicin de: adquirir y dar mantenimiento a la infraestructura tecnolgica que satisface el requisito
del negocio, para adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI
enfocndose en proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo
con la arquitectura definida de TI y estndares de tecnologa en continuidad del negocio.
Antes de la negociacin y firma del contrato de adquisicin de la infraestructura de TI, se

requiere considerar los parmetros de seleccin y adquisicin de hardware y software del
Centro de Procesamiento de Datos local y duplicado:
Cuadro 4.25 Parmetros a considerar en la seleccin y adquisicin de hardware y software del CPD (Inicio).
Parmetros a considerar en la seleccin y adquisicin de hardware y software del Centro de
Procesamiento de Datos CPD
PRECIO:
Del sistema
De instalacin
Generales
CONVERSIN
Facilidad
Capacitacin de personal
Apoyo al sistema
Facilidades para pruebas de las aplicaciones del cliente
SOPORTE DE LA FIRMA
Organizacin
Plazos de entrega
Mantenimiento y servicio
Actitud de la oferta
Posibilidad de utilizar otros equipos de cmputo
HARDWARE
Seguridad funcional
Tiempo total de mquina
Posibilidades de comprobacin
Rendimientos y caractersticas
Asesoramiento comparado
Posibilidades de crecimiento
Compatibilidad

Pgina 98
Captulo 4
Cuadro 4.25 Parmetros a considerar en la seleccin y adquisicin de hardware y software del CPD (Final).
Parmetros a considerar en la seleccin y adquisicin de hardware y software del Centro de
Procesamiento de Datos CPD
SOFTWARE
Lenguajes
Simulacin emulacin
Sistemas operativos
Soporte de programacin para tiempo real
Programas de computacin
CRITERIOS POR APLICAR PARA SELECCIONAR A UN PROVEEDOR
Criterios que se aplicaran para las evaluaciones

Criterios que se aplicaran para la adjudicacin de los contratos
MATRIZ DE SELECCIN
MTODOS DE EVALUACIN TCNICA
Muestras
Fachas para la entrega de los bienes y para la iniciacin de la prestacin del servicio
Lugar para la entrega de los bienes y para la iniciacin de la prestacin de los servicios.
Periodo de garanta de los bienes
INFORMACIN ADICIONAL
Equipamiento
Pruebas de desempeo
Procedimientos para la inspeccin de los bienes
Patentes marcas y derechos de autor
INSTRUCCIONES PARA LA ELABORACIN Y PRESENTACIN DE LAS OFERTAS
Elaboracin de las ofertas

Presentacin de las ofertas
DESCALIFICACIN DE PROVEEDORES
ANEXOS QUE DEBER LLENAR EL PROVEEDOR
Instructivo para el llenado de cuestionarios

Cuestionario 1, Datos generales de la empresa
Cuestionario 2, Asistencia tcnica
Cuestionario 3, Mantenimiento
Cuestionario 4, Capacitacin
Cuestionario 5, Centros de servicio del proveedor
El problema de la seleccin de equipo de cmputo tiene matices profundamente

subjetivos. A fin de poder realizar dicha seleccin de la forma ms objetiva posible, se
expuso anteriormente una secuencia de parmetros de cuyo anlisis y posterior
evaluacin puede derivarse una adecuada eleccin.

Pgina 99
Captulo 4
Una vez seleccionado el hardware y software, el siguiente paso para su adquisicin, en

base a los parmetros anteriores, se procede a la firma del contrato de adquisicin de la
infraestructura de TI, ver cuadro 4.26:
Cuadro 4.26 Contrato para la adquisicin de la infraestructura de TI.
Contrato de prestacin de servicios informticos
DEFINICIN: Contrato en virtud del cual una de la partes se compromete a prestar a la otra una serie de servicios informticos a cambio de un
precio.
Desarrollo:
PARTES CONTRATANTES: Empresa prestadora de servicios informticos y cliente.
CLUSULAS GENERALES:
Definiciones.
Objeto.
Duracin.
Precio y forma de pago.
Comunicaciones entre las partes.
Confidencialidad.
Resolucin del contrato.
Derechos y obligaciones de las partes.
Responsabilidades de las partes.
Ley aplicable y tribunales competentes.

CLUSULAS ESPECFICAS:
Servicios a prestar.
Caractersticas del servicio.

o
PRECIO:
Del sistema
De instalacin
Generales
o
CONVERSIN
Capacitacin de personal
Apoyo al sistema
Facilidades para pruebas de las aplicaciones del cliente

o
SOPORTE DE LA FIRMA
Plazos de entrega
Mantenimiento y servicio
Posibilidad de utilizar otros equipos de computo

o
HARDWARE
Seguridad funcional
Tiempo total de mquina
Posibilidades de comprobacin
Rendimientos y caractersticas
Asesoramiento comparado
Posibilidades de crecimiento
Compatibilidad
o
SOFTWARE
Lenguajes
Simulacin emulacin
Sistemas operativos
Soporte de programacin para tiempo real
Programas de computacin
Plazos.
Suspensin y modificacin del servicio.
Independencia entre las partes.

Pgina 100
Captulo 4
FaseI.
Actividad 3.5 Preparacin del sitio alterno.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5. Preparacin
delsitioalterno.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A3.6.Definirlos
procedimientosde
recuperacin.
Una vez adquirida la infraestructura de TI necesaria, se consolida la informacin del centro alterno,
su ubicacin, el mapa de los elementos que estn en el sitio, la funcionalidad de cada puesto de
trabajo y el responsable de los elementos que all se encuentran, as como, el procedimiento para
ingresar, teniendo en cuenta consideraciones de horario (hbil o no hbil).
El sitio alterno duplicado, ofrece mltiples soluciones de respaldo, sus principales

caractersticas son la dedicacin exclusiva al servicio de continuidad y recuperacin del
negocio, garanta de disponibilidad, flexibilidad segn necesidades, multiplataforma y
facilidad de escalabilidad:
El sitio alterno es tan seguro y

controlado como el sitio
primario:
Accesos fsicos (cerrojos en

puertas, no ventanas, vigilancia
humana), identificacin desde
el exterior y con letreros de
ubicacin
No est sujeta al mismo

desastre del sitio primario.
Cuenta con detectores de
humo y aspersores de agua.

Pgina 101
Captulo 4
Monitoreo y control ambiental

(humedad, temperatura, aire),
para ptimas condiciones para
medios, papelera, equipos y
dispositivos.
Suministro ininterrumpido de
energa
Piso Falso.
Sistema de extincin probado y

en operacin.
Adems, cuenta con flexibilidad para adaptar el servicio a los cambios de configuracin
que se produzcan en el futuro en la arquitectura de sistemas, cubriendo la necesidad de
recuperacin del servicio en caso de desastre en el centro de produccin.

Pgina 102
Captulo 4
El proveedor del sitio externo, cuenta con recursos que estn totalmente dedicados a la
Recuperacin y Continuidad de los Sistemas mediante la externalizacin de servicios para
evitar usos indebidos, logrando un rigor en la seguridad.
1500
m2
dedicados
a
soluciones de Continuidad de
Negocio.
240 m2 de rea tcnica
divididos en 4 salas.
125 puestos de respaldo para
usuarios.
Horario 7x24.
Red elctrica redundante:
UPS y generador elctrico.
Red
diversificada
de
telecomunicaciones:
Telefnica,
COLT,
BT,
NeoSky.
Facilidad de acceso:
o Transporte privado.
o Transporte colectivo.
o Autobs.
La compaa ofrece mltiples soluciones de respaldo que pueden ser dedicadas,

compartidas o mixtas, sus principales caractersticas son la dedicacin exclusiva al
servicio de continuidad y recuperacin del negocio, garanta de disponibilidad, flexibilidad
segn necesidades, multiplataforma y facilidad de escalabilidad.
Una vez preparado el sitio alterno tanto duplicado como externo, se procede a definir los
procedimientos de recuperacin correspondientes a la estrategia seleccionada.

Pgina 103
Captulo 4
FaseI.
Actividad 3.6 Definir los procedimientos de recuperacin.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
FaseIV.
Desarrollarelplande
derecuperacinante
desastres.
Capacitar,probary
ejercitar.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A3.6.Definirlos
procedimientosde
recuperacin.
Finalmente, se procede al diseo de la respuesta inicial, procedimientos de emergencia, activacin

de los equipos de recuperacin de desastres y continuidad del negocio, activacin del sitio de
recuperacin (recuperacin en el sitio alterno, recuperacin de actividades en paralelo o
recuperacin en el sitio original) y notificaciones, requerimientos de los usuarios finales, as como,
monitoreo de la recuperacin, progreso de la reanudacin y revisiones para conducir a la postreanudacin.
Para iniciar la definicin de los procedimientos de recuperacin, primero se debe tener

presente el flujo de informacin en los diferentes procesos que conforman la respuesta a
emergencia y restauracin, ver figura 4.9:
Figura 4.9 Diagrama de flujo de respuesta a emergencia y restauracin.

Pgina 104
Captulo 4
De acuerdo al diagrama de flujo anterior, a continuacin se resumen los procedimientos de

respuesta a emergencia necesarios para el salvamento o restauracin de los servicios
crticos:
Cuadro 4.27 Procedimientos de respuesta a emergencias y restauracin para el salvamento de los servicios
crticos.
Emergencia
Prevencin
Respuesta
Lugar
Reanudacin
Recuperacin
Restauracin
Interrupcin
elctrica
Fuentes alternas de
generacin elctrica:
UPS y plantas
elctricas.
CPD Local
ERP y Bases de Datos
Todas las dems

operaciones del
CPD.
Cambio de
suministro al
proveedor elctrico.
Interrupcin
elctrica total
Fuentes alternas de
generacin elctrica:
UPS y plantas
elctricas.
CPD Local
Todas las dems

operaciones del
CPD.
Cambio de
suministro al
proveedor elctrico.
Interrupcin
elctrica total /
tiempo mximo de
espera en CPD
Local
Interrupcin
elctrica total /
tiempo mximo de
espera en CPD
Local y CPD
Duplicao
Falla de hardware
de disco
Brigadas de atencin
ante situaciones de
emergencia
Cambio de suministro
del proveedor elctrico a
planta de fuerza, en
lnea.
Suministro de la fuente
alterna de
almacenamiento
elctrico UPS, en lnea.
Cambio al CPD
duplicado y
redireccionamiento del
trfico de red.
CDP Local,
CPD
Duplicado
ERP, Bases de Datos

y Telecomunicaciones
Todas las dems

operaciones del
CPD.
Cambio al CPD Local
Brigadas de atencin
ante situaciones de
emergencia
Cambio al CPD externo y

trfico de red.
CPD Local,
CPD
Duplicado,
CPD
Externo.
ERP, Bases de Datos

y Telecomunicaciones
Todas las dems

operaciones del
CPD.
Cambio al CPD Local
Contratos de
mantenimiento
preventivo y correctivo
Cambio de disco fsico

del arreglo y
actualizacin de la
imagen en lnea.
Activacin del cluster,
cambio de servidor
principal por el
secundario en lnea.
Redireccionamiento del
trfico de red interno del
servidor, al segmento
secundario de red en
lnea.
Activacin y
trfico de red al
segmento secundario de
red en lnea.
Restauracin del
histrico para Bases de
Datos, ERP o Sistema
Operativo.
CPD Local
Dems servicios
del servidor
principal
CPD Local
Dems servicios
del servidor
principal
Disco en lnea con la

imagen de
informacin
actualizada
Servidor principal en
lnea
CPD Local
ERP, Bases de Datos

y servicios de
comunicacin
Dems servicios
del servidor
principal
Tarjeta de red y
Segmento de red
primario en lnea
CPD Local
ERP, Bases de Datos

y servicios de
comunicacin
Todas las dems

operaciones del
CPD.
Segmento de red
primario en lnea
CPD Local
ERP, Bases de Datos

y Sistema Operativo
Dems servicios
del servidor
principal
ERP, Bases de Datos

y Sistema Operativo
actualizado y en
lnea
CPD Local
ERP, Bases de Datos

y Sistema Operativo
Dems servicios
del servidor
principal
CPD Local
ERP y Bases de
Datos.
Todas las dems

operaciones del
CPD.
CPD Local
ERP y Bases de
Datos.
Todas las dems

operaciones del
CPD.
ERP, Bases de Datos

y Sistema Operativo
actualizado y
respaldados
Monitoreo de los
accesos tanto
legtimos como
ilegtimos
Monitoreo de los
accesos legtimos e
ilegtimos
Falla de hardware
del servidor
principal
Contratos de
mantenimiento
Falla de hardware
de las tarjetas de
red
Capacidad de
redundancia entre
servidores
Falla del segmento

primario de red
Mantenimiento
de los equipos de
comunicacin.
Fallas en software
Procedimientos para
respaldo y
recuperacin de
informacin, fuentes,
objetos,
documentacin, y
configuracin de los
sistemas
Cambios y
configuracin en
aplicaciones
Fallas de respaldos
de informacin
Intrusin (hackeo)
Violaciones de
seguridad fsica
Procedimientos para el
acceso a los recursos
tecnolgicos (redes y
aplicaciones).
Circuitos cerrados de
televisin, sensores de
movimiento, alarmas
Restauracin del
histrico duplicado para
Bases de Datos, ERP o
Sistema Operativo.
Cierre automtico de
todos los puertos de
servicio de la red y
servidor principal.
Cierre automtico de
emergencia de acceso al
CPD

Pgina 105
Captulo 4
Una vez conocidos los procedimientos de respuesta a emergencias y restauracin para el

salvamento de los servicios crticos, se procede a determinar los procedimientos de
emergencia para las categoras especficas de crisis.
A continuacin se detallan los procedimientos de manejo de crisis ante una interrupcin
importante de la produccin (Desastres Naturales):
Cuadro 4.28 Interrupcin importante de la produccin: Desastres Naturales (Inicio).
Propsito
El propsito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente cuando exista una
interrupcin importante en la produccin.
Aplicacin
Aplica a cualquier prdida inesperada de capacidad de produccin o inventario de producto terminado, el cual resulte en imposibilidad
para producir y/o despachar producto en un perodo de tiempo significativo. Ejemplos de una interrupcin importante de la produccin
son:
Dao de planta o equipo causado por fuego, explosin, inundacin, tornado, falla del equipo, etc., los cuales resultan en
incapacidad para producir/distribuir producto.
Falla del proveedor para suministrar una materia prima crtica necesaria para la produccin del producto.
Paro de autotransportes que resulte en incapacidad para entrega de materias primas y/o distribucin de productos
terminados.
Accin legal, paro, o resultado de una decisin para discontinuar las operaciones.
Este procedimiento no pretende cubrir reparaciones menores por fallas en equipo, interrupcin de la produccin por paro de
trabajadores cuyo plan de contingencia ha sido desarrollado, o faltantes temporales de la produccin resultantes de calidad, salud o
seguridad.
Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa de la interrupcin (muerte accidental, medio
ambiente, amenaza de bomba, etc.). Adems, este procedimiento no intenta reemplazar los procedimientos de emergencia
desarrollados para fuego, terremoto, inundacin u otro desastre natural.
Acciones a tomar:
Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupcin importante en la produccin
1.
Notificar al lder de equipo o gerente de la unidad (dependiendo de la disponibilidad) inmediatamente:

No permitir que un posible evento de crisis no sea reportado por alguna razn. Si se identifica una interrupcin importante
de la produccin, usando los ejemplos y el criterio general especificado anteriormente, se debe informar al lder de equipo
de todos los hechos disponibles para fomentar una pronta comunicacin (si la situacin as lo demanda) al Gerente de la
unidad. Si el gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al
Director General.
2.
Contener la Crisis de Inmediato:

Conjuntamente con las acciones descritas anteriormente y hasta que el administrador de la crisis haya sido asignado y un
plan haya sido desarrollado, actuar rpida y prudentemente para contener la crisis inmediatamente. Dependiendo de la
naturaleza y seriedad del accidente, se deben tomar las siguientes acciones:
A.
B.
C.
Implementar todos los procedimientos de seguridad de emergencia aplicables para fuego, terremoto, inundacin
u otro desastre natural, como sea apropiado.
Determinar los procedimientos de administracin de crisis adicionales que deben ser implementados tales cmo
muerte accidental o heridas graves, medio ambiente, amenaza de bomba, etc.
Establecer la seguridad de los empleados y de la comunidad local, tomar todas las acciones apropiadas para
resolver todas las condiciones de inseguridad.

Pgina 106
Captulo 4
Cuadro 4.28 Interrupcin importante de la produccin: Desastres Naturales (Final).

Aplicacin
D.
E.
F.
G.
H.
I.
J.
3.
Llamar a hospitales y ambulancias si es apropiado.

Asegurar el sitio accidentado/daado, el lugar de la planta y establecer la seguridad en el rea de produccin y
unidad.
Notificar a las autoridades locales aplicables y a las agencias de administracin de emergencias (Departamento de
Bomberos, Departamento de Polica, etc.) si es apropiado.
Notificar al Departamento de Recursos Humanos para desarrollar el plan de comunicaciones.
Notificar al equipo de Administracin de la Emergencia.
Notificar al equipo de Evaluacin de Daos, para efectuar la primera estimacin de los daos en productos
terminados o ambientales
Notificar al lder del sindicato, si es apropiado.
Definir la crisis:
Una vez que la situacin inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Accin de
Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva para
determinar la causa del accidente, la naturaleza y extensin de las heridas sufridas y algn dao relacionado con la
propiedad y algn otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar
resmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigacin, se deber:
A.
B.
C.
D.
E.
F.
G.
H.
I.
J.
4.
Tomar las siguientes acciones adicionales:

A.
B.
C.
D.
E.
F.
G.
H.
I.
J.
K.
L.
5.
Determinar la naturaleza y extensin de la interrupcin.

Recoger los nombres, direcciones y nmeros telefnicos de todos los testigos del incidente y todas las otras
personas heridas o de alguna forma comprometidas.
Tomar fotografas, hacer dibujos y si es posible, grabaciones de la escena del accidente tan pronto como sea
posible.
Determinar la causa del evento o incidente y listar todas las respuestas tomadas en ese momento.
Determinar la naturaleza y extensin de algunos heridos o muerte.
Determinar la naturaleza y extensin de algunos daos a los activos de la corporacin.
Determinar la naturaleza y extensin de algn dao al medio ambiente.
Determinar la naturaleza y extensin de algn dao a la comunidad.
Determinar el impacto potencial sobre la fuerza de trabajo (reduccin de la programacin, hacer asignaciones
nuevas, plan temporal, etc.)
Establecer algn riesgo vigente para los empleados, clientes o comunidad.
Comunicar y considerar reprogramar nuevamente todas las Materias Primas y Productos Terminados.
Comunicar la prdida de produccin y/o capacidad de despacho a transportistas y ventas, e indicar las
comunicaciones a ser seguidas de distribucin.
Considerar las alternativas de fuentes estratgicas.
Considerar estrategias de distribucin de productos.
Revisar con el Departamento Legal para ver si los contratos con el vendedor o cliente pueden ser violados.
Coordinar la estrategia de distribucin del producto con Mercadeo, Publicidad y Ventas.
Considerar temporalmente la alternativa de planes de espacio para continuar la produccin hasta que la
reparacin o construccin se lleve a cabo.
Coordinar el flujo de los servicios pblicos con las compaas de servicios para coincidir con la salida de
produccin.
Si es apropiado, desarrollar estrategias para regresar la planta y equipo a su operacin normal.
Considerar opciones para modificar y convertir equipos alternos que renan las demandas de produccin.
Considerar la identificacin y cancelacin de activos.
Si es apropiado, coordinar la terminacin y presentacin de los papeles de trabajo del reclamo de seguros.
Revisin de la crisis:
Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar
cambios que se deben efectuar y otras acciones correctivas:
A.
B.
C.
Qu tan efectivos fueron los procedimientos de contencin, definicin y respuesta a la crisis?

Cmo fue la respuesta y la disponibilidad de los recursos claves cuando fueron llamados para soportar los
esfuerzos de administracin de crisis?
Qu tan efectivo fue el equipo de Respuesta a Incidentes para responder la crisis?

Pgina 107
Captulo 4
El cuadro 4.29, detalla los procedimientos de manejo de crisis ante una interrupcin
importante de la produccin: Relaciones con empleados (Desastres Humanos):
Cuadro 4.29 Relaciones con empleados: Desastres Humanos (Inicio).
Propsito
El propsito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente con un evento de crisis
de relacin con empleados.
Aplicacin
Este procedimiento de respuesta aplica a cualquier problema de relacin con empleados que pueden afectar seriamente a la compaa
para cumplir sus objetivos de seguridad de los activos y empleados, financieros, produccin y servicio al cliente. Ejemplos de eventos
de crisis de relaciones con empleados son:
Una huelga iniciada en una unidad sindicalizada en conjunto con el convenio normal de obligaciones.
Un paro en la unidad sindicalizada o no iniciada por empleados en protesta por algunas acciones administrativas o en un
intento por forzar un punto de vista.
La potencial seriedad de tales eventos debe ser evaluada en trminos de potenciales efectos adversos sobre la seguridad de los
empleados, produccin, servicio al cliente, finanzas corporativas, presiones y reacciones pblicas.
Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento (interrupcin importante
de la produccin, publicidad adversa, etc.). Adems, este procedimiento no intenta reemplazar los planes detallados para huelgas que
hayan sido desarrollados por la administracin del sindicato de la unidad, con guas del Departamento de Recursos Humanos y
Departamento Legal. Ms bien este procedimiento intenta establecer esfuerzos para respuestas iniciales para todos los eventos de
crisis en relacin con empleados.
Acciones a tomar:
Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupcin importante en la produccin:
1.
Notificar al lder de equipo o gerente de la unidad (dependiendo de la disponibilidad) inmediatamente:

No permitir que el potencial evento de crisis, no sea reportado por alguna razn. Identifica cualquier interrupcin importante
de la produccin, usando los ejemplos y el criterio general especificado anteriormente, informar al lder de equipo de todos
los hechos disponibles para fomentar una pronta comunicacin (si la situacin as lo demanda) al Gerente de la unidad. Si
el gerente de la unidad determina que el evento constituye una crisis o crisis potencial, se debe informar al Director
General.
2.

Conjuntamente con las acciones descritas anteriormente y hasta que el administrador de la crisis haya sido asignado y un
plan haya sido desarrollado, actuar rpida y prudentemente para contener la crisis inmediatamente. Dependiendo de la
naturaleza y seriedad del accidente, se deben tomar las siguientes acciones:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Determinar si procedimientos adicionales de administracin de crisis deben ser implementados tal cmo
interrupcin importante de la produccin, publicidad adversa, etc.
Instituir las condiciones del plan de huelga de la unidad, si es aplicable
Contactar todos los empleados y motivarlos/persuadirlos para que continen trabajando, si es pertinente.
Empezar una investigacin para conocer las causas de la crisis de relacin con empleados, y averiguar
soluciones que sern necesarias para disminuir el impacto econmico, tanto como sea posible.
Notificar al equipo de Administracin de la Emergencia.
Notificar al equipo de Evaluacin de Daos.
Notificar al Departamento de Recursos Humanos Corporativo.
Notificar al Departamento Legal
Notificar a seguridad corporativa, discutir y desarrollar planes que pueden ser la mejor proteccin para los
empleados, equipo e instalaciones de la Compaa.
Notificar al Departamento de Polica local, de la situacin y una posible necesidad de asistencia.

Pgina 108
Captulo 4
Cuadro 4.29 Relaciones con empleados: Desastres Humanos (Final).

Aplicacin
3.
Definir la crisis:
Una vez que la situacin inmediata ha sido estabilizada, y pendiente de instrucciones adicionales del equipo de Accin de
Emergencias, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva
para determinar la causa del problema, la naturaleza y extensin de las heridas sufridas y algn dao relacionado con la
propiedad y algn otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar
resmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigacin, se debe:
A.
B.
C.
D.
E.
4.

A.
B.
C.
D.
E.
F.
G.
H.
5.
Determinar la naturaleza, extensin y causa de la crisis de relacin con empleados, compilar y actualizar
continuamente un registro o resumen objetivo y cronolgico del evento de crisis, incluyendo todas las
respuestas de la compaa a la crisis.
Si es aplicable preparar listas identificando todos los empleados envueltos en la huelga o paro de labores,
tambin como aquellos empleados no envueltos en la crisis de relacin con empleados.
Si es aplicable, compilar una lista de los nombres y direcciones de todos los lderes sindicales locales.
Si es posible, averiguar la lista prioridad de demandas de los lderes de los empleados envueltos en el evento
(lderes del sindicato, si es aplicable).
Determinar el impacto potencial sobre la fuerza de trabajo (reduccin de la programacin, hacer asignaciones
nuevas, plan temporal, fuentes alternas de produccin etc.)
Establecer un comando central y comunicaciones continuas entre el personal del equipo de Accin de
Emergencias y el equipo Administrador de la Emergencia.
Si es apropiado, desarrollar y suministrar toda la informacin necesaria para Recursos Humanos, para una
posible emisin de pronunciamientos.
Mantener un archivo central de todos los papeles de trabajo y otros registros relacionados con los eventos de la
crisis.
Desarrollar un plan para salvar los ingresos y egresos de la localidad, acomodando empleados temporalmente,
proveedores, contratistas externos, empleados no comprometidos y administracin.
Considerar que la produccin y servicio al cliente son los ms esenciales y hacer recomendaciones para el Jefe
de sector/unidad de servicio, en cuanto tales productos y servicios deben continuar sin interrupcin.
Comunicar prdida potencial de la produccin y/o capacidad de despachos para transporte y ventas.
Trabajar con el Departamento Legal, Considerar la necesidad de identificar y contactar consejeros legales locales
externos.
Reportes de progreso sobre todas las investigaciones de los equipos de Accin de Emergencia y Evaluacin de
Daos.
A.
B.
C.

Qu tan efectivo fue el equipo de Respuesta a Incidentes para responder a la crisis?
Estos procedimientos de respuesta incluyen los pasos iniciales de respuesta a la crisis,

una lista de contactos claves internos y externos, sus responsabilidades y una lista de
chequeo de asuntos especficos a ser dirigidos. Los procedimientos de respuesta para
otras categoras de crisis sern desarrolladas cuando el Equipo de Respuesta a Incidentes
lo considere necesario.

Pgina 109
Captulo 4
A continuacin se detallan los procedimientos de manejo de crisis ante una interrupcin

importante de la produccin: Avera del Centro de Procesamiento de Datos CPD
(Desastres Tecnolgicos):
Cuadro 4.30 Avera del Centro de Procesamiento de Datos CPD: Desastres Tecnolgicos (Inicio).
Propsito
El propsito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente cuando haya eventos
de sabotaje y fallas del Centro de Procesamiento de Datos.
Aplicacin
Este procedimiento de respuesta aplica a cualquier situacin que pueda originar daos fsicos o prdida del procesamiento
computarizado en algn perodo determinado. La falla puede resultar de una prdida del funcionamiento del procesamiento, la
inhabilidad para obtener acceso a la computadora o una falla externa resultante de la inhabilidad para procesar informacin en un
perodo de tiempo. Los siguientes ejemplos son eventos de fallas en el Centro de procesamiento de Datos:
Una explosin en las instalaciones del Centro de procesamiento de Datos que impiden las operaciones de la unidad.
Se daan las Telecomunicaciones que suministran servicio a una porcin importante de la red de datos.
Los archivos de datos son saboteados por un hacker dando informacin no confiable.
Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento. Cada instalacin
computarizada debe mantener un plan de continuidad de negocios, incorporando procedimientos de recuperacin de emergencias para
restaurar las funciones de procesamiento del Centro de Procesamiento de Datos, Adems, este procedimiento no intenta reemplazar
los procedimientos o planes desarrollados para restaurar el proceso del CPD, en el evento de una falla menor.
Acciones a tomar:
Las siguientes acciones deben ser tomadas en el evento de un sabotaje o falla en el Centro de Procesamiento de Datos:
1.
Notificar inmediatamente a su supervisor o Jefe de Sector/Unidad de Servicio:

No permitir que un posible evento de crisis se quede sin reportar por alguna razn. Si se identifica un evento de falla en el
CPD, usando los ejemplos y criterio especificados anteriormente, se debe informar inmediatamente al Gerente de la unidad
y a seguridad corporativa de todos los detalles disponibles. Si el Gerente de la unidad determina que el evento constituye
una crisis o crisis potencial, se debe informar al Director General.
2.

Despus de notificar apropiadamente la falla del Centro de Procesamiento de Datos o sabotaje y hasta que el administrador
de la crisis haya sido asignado y un plan haya sido desarrollado, actuar rpida y prudentemente para contener la crisis
inmediatamente. Dependiendo de la naturaleza y seriedad del evento, se debe tomar las siguientes acciones:
A.
B.
C.
D.
E.
F.
G.
H.
Establecer la seguridad de los empleados y de la comunidad local y tomar las acciones apropiadas para resolver
las condiciones inseguras.
Llamar a los equipos de rescate y agencias de administracin de emergencias (Departamento de Bomberos,
Polica, etc.) si es apropiado.
Seguridad en las instalaciones computarizadas daadas.
Determinar si procedimientos adicionales de administracin de crisis necesitan ser implementados tales como
muerte accidental o heridos graves, interrupcin importante de la produccin, amenaza de bomba, etc.
Notificar a Recursos Humanos para desarrollar un plan de comunicaciones, referir alguna averiguacin de los
medios a Recursos Humanos.
Notificar al equipo de Accin de Emergencia.
Notificar al Equipo de Evaluacin de Daos, para que establezca el dao en las instalaciones del CPD.
Notificar al Equipo de Administracin de la Emergencia.

Pgina 110
Captulo 4
Cuadro 4.30 Avera del Centro de Procesamiento de Datos CPD: Desastres Tecnolgicos (Final).
Aplicacin
3.
Definir la crisis:
Una vez que la situacin inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Accin de
Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva para
determinar la causa del evento, la naturaleza de algn dao en la propiedad y algn otro hecho que se considere material
para un entendimiento del incidente. Estar preparado para efectuar resmenes de sus investigaciones al equipo de
Respuesta a Incidentes. Como parte de la investigacin, se debe:
A.
B.
C.
D.
E.
F.
G.
H.
I.
4.

A.
B.
C.
D.
E.
F.
G.
H.
I.
J.
5.
Determinar la naturaleza y extensin de algunos heridos o muertos

Recoger los nombres, direcciones y nmeros telefnicos de todos los testigos del incidente y todas las otras
personas heridas o de alguna forma comprometidas.
Tomar fotografas, hacer dibujos y si es posible, filmaciones de las reas y equipos afectados.
Determinar la naturaleza y extensin de algn dao al equipo computarizado y de Telecomunicaciones.
Determinar la causa del evento o incidente y listar todas las respuestas tomadas en ese momento.
Determinar el impacto potencial sobre los empleados.
Determinar la naturaleza y extensin de algn dao al medio ambiente
Determinar la naturaleza y extensin de algn dao a la comunidad.
Establecer algn riesgo vigente para los empleados o la comunidad.
Considerar la activacin de la estrategia de continuidad vigente.

Notificar al proveedor local de una situacin de desastre.
Recobrar la informacin de respaldo almacenada en un lugar fuera del sitio
Considerar un mensaje para llamadas de ayuda de escritorio para comunicar a todos los usuarios de
computadores el progreso de la recuperacin.
Notificar a los usuarios propietarios de aplicaciones crticas de negocios sobre el progreso de un proceso de
recuperacin de desastres.
Considerar el establecimiento de un Centro de Control de Emergencia para coordinar y monitorear el proceso de
recuperacin.
Considerar una oficina alterna para continuar recuperando las operaciones computarizadas.
Coordinar el flujo de servicios pblicos (electricidad, telfono, etc.) con las empresas pblicas, para que coincida
con la recuperacin de las operaciones del CPD.
Considerar la identificacin de activos y cancelarlos.
Coordinar la restauracin de los equipos de cmputo destruidos.
A.
B.
C.
D.
E.
F.

Qu tan efectivo fue el equipo de Respuesta a Incidentes para responder a la crisis?
Qu consejo adicional es necesario, para los individuos afectados por la crisis?
Qu medidas deben ser incluidas en un plan de prevencin para asegurar que no ocurrir otro incidente?
Qu informacin debe ser comunicada a otras unidades computarizadas que puedan potencialmente tener
situaciones similares?
Los procedimientos anteriores, son una respuesta a la crisis generada por una interrupcin
importante de la produccin ante desastres naturales, humanos y tecnolgicos,
proporcionado una gua para la activacin del Plan de Continuidad y sus correspondientes
procedimientos de emergencia definidos.

Pgina 111
Captulo 4
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
Determinar la eficacia con la que puede continuar el negocio ante la presencia de una
posible interrupcin, evaluando el equipo y personal a cargo de cada actividad crtica,
realizando una prueba al sistema demostrando competencia y capacidad de continuidad
del negocio, a travs de la revisin de los estndares y mejores prcticas, identificando
defectos y dificultades, proporcionando recomendaciones de acuerdo a estndares
predefinidos.
FaseI.
Actividad 4.1 Definir objetivos de entrenamiento.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
FaseIV.
Desarrollarelplande
derecuperacinante
desastres.
Capacitar,probary
ejercitar.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
A4.1.Definir
objetivosde
entrenamiento.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Establecer las estrategias y procedimientos de los programas de entrenamiento, para proveer de

direccionamiento, soporte, metodologas y estndares para garantizar la continuidad del negocio y
servicios de TICs.
Objetivo:
Garantizar la adecuada capacitacin del personal en el entendimiento de la
documentacin del Plan de Continuidad, y de todo documento que est relacionado con el
escenario de y el alcance del mismo.
Para esto se debe considerar el plan de pruebas, sugirindose los siguientes aspectos:
Las presentaciones incluyen los siguientes temas:
o Los componentes del plan de continuidad,
o Porqu es importante el plan de continuidad,
o Lderes y coordinadores,
o Dnde el plan de continuidad puede tener lugar,
o Presentacin del plan de pruebas,
o Cmo el plan es activado.
En lo referente al tipo de audiencias son: Gerencial, Miembros del equipo de
planificacin y empleados.
En temas de concientizacin, se podran utilizar videos, noticias, pster, Memo de la
administracin, artculos promocionales. Etc.
En cuanto a temas de concientizacin es importante revisar desastres recientes y
lecciones aprendidas, por medio de forum de discusin, artculos en la intranet, etc.

Pgina 112
Captulo 4
FaseI.
Actividad 4.2 Desarrollar e implementar varios tipos de programas de

entrenamiento.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramas
deentrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Definidos los objetivos de entrenamiento, se desarrollan los programas de capacitacin en todos los
niveles de la organizacin en lo referente a los planes de continuidad de los procesos del negocio y
servicios de TIC, incluyendo las definiciones de los trminos usados, los objetivos del plan, los
supuestos y limitaciones, el anlisis de riesgos y su impacto al negocio realizado y los escenarios
contemplados, as como las estrategias y procedimientos definidos, asignando a cada uno de los
participantes su rol dentro de dichos planes.
El cuadro 4.31, define el plan de capacitacin permanente al personal involucrado en los

esfuerzos para asegurar la continuidad de TICs. Los procesos de capacitacin debern
ejecutarse al menos una vez al ao, o cuando un cambio en el negocio as lo fuerce:
Cuadro 4.31 Plan de adiestramiento, pruebas y ejercitacin del plan de continuidad.
Concepto
rea
Funcional
Gerencial
Desarrollo del
Plan de
Adiestramiento,
Miembros del
equipo de
planificacin
Empleados
Pruebas y
ejercitacin
Mantenimiento
Actividad
1
Duracin Meses
5 6 7 8 9
10 11 12
Componentes del plan de continuidad

Importancia del plan de continuidad
Anlisis de riesgos y su impacto al negocio
Equipos de planificacin
Lderes y coordinadores
Escenarios para el plan de continuidad
Plan de pruebas y ejercitacin
Activacin del plan
Supuestos y limitaciones
Rol dentro del plan de continuidad
Componentes del plan de continuidad
Plan de pruebas y ejercitacin
Activacin del plan
Definicin de trminos
Objetivos del plan
Pruebas y ejercitacin
Activacin del plan
Gerencia
Pruebas y ejercitacin del plan de continuidad
Correspondiente
Gerencia
de Sistemas
Mantenimiento del plan de continuidad
Con lo anterior, se pretende controlar el entrenamiento continuo de personas que son

identificadas en este procedimiento como miembros potenciales del Equipo de atencin a
incidentes.

Pgina 113
Captulo 4
FaseI.
Actividad 4.3 Identificar otras oportunidades de educacin.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificar
otrasoportunidades
deeducacin.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
Los gerentes y el personal de Recursos Humanos deben permanecer alerta a los tipos de
capacitacin que se requieren, cundo se necesitan, quin lo precisa y qu mtodos son mejores
para dar a los empleados el conocimiento, habilidades y capacidades necesarias. Para asegurar que
la capacitacin sea oportuna y est enfocada en los aspectos prioritarios los gerentes deben abordar
la evaluacin de necesidades en forma sistemtica.
El cuadro 4.32, muestra la identificacin de las oportunidades de educacin; sta, no es

mucho ms que la clarificacin de las demandas educativas del proyecto, la determinacin
de estas necesidades, es una responsabilidad y una funcin de staff correspondiente al
administrador de lnea:
Cuadro 4.32 Identificar oportunidades de educacin.
Identificar otras oportunidades de educacin:
A.
EVALUACIN DE DESEMPEO: Mediante la evaluacin de desempeo es posible descubrir no slo a los empleados que
vienen efectuando sus tareas por debajo de un nivel satisfactorio, sino tambin averiguar qu sectores de la empresa
reclaman una atencin inmediata de los responsables del entrenamiento.
B.
OBSERVACIN: Verificar donde haya evidencia de trabajo ineficiente, como excesivo dao de equipo, atraso con relacin
al cronograma, perdida excesiva de materia prima, nmero acentuado de problemas disciplinarios, alto ndice de
ausentismo, etc.
C.
CUESTIONARIOS: Investigaciones mediante cuestionarios y listas de verificacin (check list) que pongan en evidencia las
necesidades de entrenamiento.
D.
SOLICITUD DE SUPERVISORES Y GERENTES: Cuando la necesidad de entrenamiento apunta a un nivel muy alto, los
propios gerentes y supervisores se hacen propensos a solicitar entrenamiento para su personal.
E.
ENTREVISTAS CON SUPERVISORES Y GERENTES: Contactos directos con supervisores y gerentes, con respecto a
posibles problemas solucionables mediante entrenamiento, por lo general se descubren en las entrevistas con los
responsables de diversos sectores.
F.
REUNIONES NTER DEPARTAMENTALES: Discusiones nter departamentales acerca de asuntos concernientes a objetivos
empresariales, problemas operacionales, planes para determinados objetivos y otros asuntos administrativos.
G.
EXAMEN DE EMPLEADOS: Prueba de conocimiento del trabajo de los empleados que ejecutan determinadas funciones o
tareas.
H.
MODIFICACIN DE TRABAJO: Siempre que se introduzcan modificaciones totales o parciales de la rutina de trabajo, se
hace necesario el entrenamiento previo de los empleados en los nuevos mtodos y procesos de trabajo.
I.
ENTREVISTA DE SALIDA: Cuando el empleado va a retirarse de la empresa es el momento ms apropiado para conocer no
solo su opinin sincera acerca de la empresa, sino tambin las razones que motivaron su salida. Es posible que salgan a
relucir varias diferencias de la organizacin, susceptibles de correcciones.
J.
ANLISIS DE CARGOS: El conocimiento y la definicin de lo que se quiere en cuanto a aptitudes, conocimientos y

capacidad, hace que se puedan preparar programas adecuados de capacitacin para desarrollar la capacidad y proveer
conocimientos especficos segn las tareas, adems de formular planes de capacitacin concretos y econmicos y de
adaptar mtodos didcticos.

Pgina 114
Captulo 4
FaseI.
Actividad 4.4 Descripcin de las pruebas.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
FaseV.
Capacitar,probary
ejercitar.
Auditora,
mantenimientoy
actualizacin.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.4.Descripcin
delaspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
Esta etapa se orienta a probar con antelacin y coordinar ejercicios, documentando y evaluando los
resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una
adecuada recuperacin de las operaciones de TI, de acuerdo con la direccin estratgica del
negocio, y de sta manera iniciar con la planificacin de los escenarios de prueba y su periodicidad.
El siguiente cuadro, detalla el contenido del documento para la descripcin de las pruebas
aplicadas a cada uno de los escenarios de falla, y lograr los objetivos de sta fase:
Establecer y ejercitar el Plan, Determinar los requerimientos de ejercitacin, Desarrollar
escenarios realistas para las pruebas, Preparar reportes y procedimientos de control de
los ejercicios, Ejecutar ejercicios, Obtener retroalimentacin de los resultados de las
pruebas e implementar las mejoras requeridas:
Cuadro 4.33 Descripcin de las pruebas.
Descripcin de las pruebas
Tipo de prueba:
Fecha\hora de inicio:
Equipo:
Riesgo Tecnolgico
18-08-10; 17:00
Administrador de la emergencia
Sitio de ejecucin:
Fecha\hora de fin:
Involucrados:
CPD Local
18-08-10; 18:43
Lder y equipo
Objetivos:
Probar y ejercitar el Plan de Continuidad y Recuperacin ante Desastres, ante un escenario de falla tecnolgica, para determinar la eficacia de los
procedimientos correspondientes.
Criterios de medicin:
Criterio
Tiempo de atencin
Tiempo de respuesta
Volumen de transacciones
Tiempo de espera
Medio de validacin
45 minutos
2 minutos
1.2 miles
3 minutos
Resultado
BD y ERP en lnea
Equipo secundario en lnea
Sin prdida de informacin
Inicio de secuencia de cambio
reas a ser probadas:

rea\aplicativo
Produccin
Distribucin
Finanzas
Prueba\transaccin
Equipo servidor fuera de lnea
Resultado esperado
ERP y BD en lnea
ERP y BD en lnea
ERP y BD en lnea
Resultado obtenido
ERP y BD en lnea y lento
Escenario:
Falla del hardware del equipo servidor principal.
Resultado:
Servidor secundario en lnea
Recomendaciones:
Afinacin del Sistema Operativo y Software de Administracin del arreglo de discos, para que la transicin de equipos sea ms rpida.

Pgina 115
Captulo 4
FaseI.
Actividad 4.5 Planificar los escenarios de prueba y su periodicidad.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.5.Planificarlos
escenariosde
pruebaysu
periodicidad.
A4.6.Ejercitacinde
laspruebas.
Incluir un grupo de administracin, logstica, recursos, listas de verificacin, y estructura,

especificando las estrategias que se probarn. Posterior a la planificacin del ejercicio se harn las
consideraciones del programa, se documentar el ejercicio junto con la informacin de los
participantes, asegurando la vigencia de las pruebas, indicando su periodicidad y sus responsables;
para su posterior ejercitacin.
En sta actividad, se toman los escenarios de falla propuestos en el cuadro 4.27

(Respuesta a emergencias y restauracin) de la Actividad 3.6; y se considera, adems,
algunas de las recomendaciones a seguir en la planificacin de los escenarios, ver cuadro
4.34:
Cuadro 4.34 Recomendaciones para la planificacin de los escenarios de prueba y su periodicidad.
Recomendaciones para planificar los escenarios de prueba
1.
Utilizar el documento del cuadro 4.33, para el planeamiento de los ejercicios a realizar. Este documento incorpora elementos que
con su definicin, establecen un escenario claro y preciso para la realizacin de cada ejercicio. Los escenarios sobre los cuales
se puede desarrollar un ejercicio pueden ser mltiples, desde problemas bsicos, como un respaldo de datos o un componente
de un equipo de cmputo, hasta un evento de desastre que afecte la totalidad de las instalaciones de TICs. El escenario bajo el
cual se har el ejercicio debe ser definido con anterioridad. El plan est preparado para reaccionar y dirigir las acciones de
recuperacin en cualquiera de los casos descritos.
2.
Garantizar la adecuada capacitacin del personal en el entendimiento de la documentacin del Plan de Continuidad, y de todo
documento que est relacionado con el tipo de ejercicio y el alcance del mismo.
3.
Documentar los procedimientos que se seguirn para la planeacin del escenario, para lo cual se considera al menos lo
siguiente:
A.
B.
C.
D.
E.
F.
4.
El detalle inicial del tipo de ejercicio que se desea realizar.

El objetivo que se busca con el desarrollo del ejercicio.
Los procedimientos de recuperacin que sern probados.
El responsable del ejercicio.
La planeacin y la calendarizacin del ejercicio, donde se indique qu da y hora se realizar el ejercicio.
Las mtricas de evaluacin de los resultados.
Luego de la finalizacin del ejercicio, se debern obtener las conclusiones al respecto de:
A.
B.
C.
D.
E.
F.
Informacin que debiera ser corregida en el Plan de Continuidad por deficiencias o errores encontrados durante el
ejercicio;
Informacin que debiera ampliarse para mejorar su claridad en el Plan al momento de ser utilizada;
Informacin sobre elementos de riesgo que fueron identificados durante el ejercicio, como puede ser personal no
encontrado, documentacin no identificada, etc.;
Obtener conclusiones sobre si la documentacin de los procedimientos definidos es prctica, o bien, si los procedimientos
pueden afinarse para obtener mejores resultados considerando variables como tiempo, costo y esfuerzo.
La documentacin y revisin de todos los resultados generados durante el ejercicio, si es trascendental para el proceso de
mejora continua.
Periodicidad de los ejercicios, stos deben ser realizados al menos una vez al ao como se muestra en el cuadro 4.27 (Plan
de adiestramiento, pruebas y ejercitacin del plan de continuidad), o en su defecto, de los cambios en el ambiente en las
operaciones. No obstante, dependiendo del riesgo, es conveniente elaborar un calendario de ejercicios ms frecuente y
riguroso. Es conveniente tener en cuenta que los resultados de los ejercicios deben ser formalmente reportados.

Pgina 116
Captulo 4
FaseI.
Actividad 4.6 Ejercitacin de las pruebas.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.6.Ejercitacin
delaspruebas.
Descrito y planificado el escenario de prueba, se debe realizar una bitcora de ejecucin con los
resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecucin, resultado y
responsables, para su posterior anlisis y evaluacin con el objetivo de tenerlos en cuenta en
pruebas posteriores junto con sus recomendaciones.
El propsito de ejercitar el Plan, es asegurar la viabilidad y actualizacin del mismo. Un

Plan que es ejercitado regularmente permite identificar aspectos no cubiertos inicialmente,
o bien, debilidades en el proceso de mantenimiento del mismo. Adicionalmente, todo
ejercicio debe ser considerado como una oportunidad para entrenar al personal, tanto en
la forma de actuar ante la situacin de emergencia como en los procedimientos de
recuperacin establecidos.
A partir de los ejercicios se deber documentar los resultados de los mismos y desarrollar
procedimientos para la actualizacin inmediata de toda la documentacin que se vea
afectada. El cuadro 4.35, muestra el documento de control de pruebas, que cumple con lo
anteriormente expresado:
Cuadro 4.35 Control de pruebas y aprobacin del documento.
Control de pruebas
Responsable:
Fecha de aprobacin:
Firma:
Equipo
administrador
emergencia
30-09-10
de
Objetivos:
Ordenar y controlar las pruebas efectuadas en los diferentes escenarios de falla, para la administracin eficiente de las mismas.
Control de pruebas:
Responsable
Eq. Administrador de emergencia
Resultado
Interrupcin elctrica: satisfactorio
Falla de hardware: satisfactorio
Falla de software: con observaciones
Falla de respaldos: satisfactoria
Falla telecomunicaciones: con observaciones
Fecha
23-08-10
24-08-10
25-08-10
26-08-10
29-08-10
Escenario:
Interrupcin importante de la produccin
Recomendaciones:
Afinacin de los componentes de software para una mayor efectividad de los procedimientos de emergencia.

Pgina 117
Captulo 4
A continuacin, se describen las actividades administrativas requeridas para elaborar,

coordinar y supervisar los ejercicios del plan. De manera que estas actividades provean
oportunidades de mejora para el Plan y al mismo tiempo que se vaya incrementando en el
personal involucrado, la experiencia en responder a una contingencia:
Cuadro 4.36 Gua para el desarrollo del ejercicio del plan de continuidad.
Gua para el desarrollo del ejercicio del plan de continuidad
1.
Establecer los objetivos del ejercicio a realizar. Incluyendo, al menos, lo siguiente:
Pueden ser medidos?
Cmo pueden ser evaluados?
2.
Establecer el alcance del ejercicio:
Cules reas sern incluidas?
Cules procedimientos, listas de chequeo y responsabilidades sern probadas?
Cules excepciones, si hay, deben ser consideradas?
3.
Desarrollar el escenario del ejercicio.
4.
En caso necesario, estimar el tiempo total del ejercicio en el sitio alterno. Considerar el tiempo de desplazamiento del personal.
5.
Revisar la configuracin del hardware en el sitio alterno para verificar compatibilidad.
6.
Verificar el inventario de los archivos de respaldo mantenidos en el sitio de almacenamiento, y el control que se tiene del mismo,
con el objetivo de verificar los procedimientos de actualizacin de respaldos.
7.
Seleccionar al personal que participar en el ejercicio e infrmelo.
8.
Familiarizar al personal con la logstica del sitio-alterno.
9.
Obtener permiso del proveedor del software para usar los productos con licencia en el sitio alterno, tanto en los ensayos como
durante un posible desastre.
10.
Obtener y transportar los respaldos, formularios, suministros y documentacin requerida para el ejercicio.
11.
Realizar los arreglos de transporte, hospedaje y comidas para el equipo del ejercicio, si es necesario.
12.
Ejecutar el ejercicio.
13.
Comparar los resultados del ejercicio con los resultados esperados y escribir un informe.
14.
Corregir los errores detectados y actualizar el documento del plan.
Esta actividad se orienta a probar con antelacin y coordinar ejercicios, documentando y

evaluando los resultados de ellos. Se desarrollan procesos para mantener vigentes las
capacidades para lograr una adecuada recuperacin de las operaciones de TI, en acuerdo
con la direccin estratgica del negocio.

Pgina 118
Captulo 4
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
En esta fase se revisan los estndares de Continuidad del Negocio y Recuperacin ante
FaseI.
Actividad 5.1 Auditoria al Plan de Continuidad.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Revisar los estndares de Continuidad del Negocio y Recuperacin ante Desastres de TICs
aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los
estndares predefinidos, documentado el proceso para realizar un plan de accin y un programa de
monitoreo.
La metodologa a seguir por parte del auditor es la descripcin secuencial del trabajo que
realizar. Considerando las mejores prcticas para realizar auditora de sistemas de
informacin (ISACA, COBIT, ISO 17799, ITIL y MOF), en el cuadro 4.37, se presenta de
forma secuencial la forma de realizar un trabajo de auditora de sistemas, dividido en tres
fases que son: planeacin, ejecucin y dictamen:
Cuadro 4.37 Metodologa para realizar una auditora de Sistemas de Informacin (inicio).
PRIMERA FASE, PLANEACIN DE UNA AUDITORA DE SISTEMAS DE INFORMACIN:
Identificacin del trabajo a realizar.

Investigacin preliminar.
Determinacin de los alcances y objetivos.
Elaboracin y planteamiento del programa de trabajo.
Medios para la recopilacin de informacin.
o
Entrevista, cuestionario, encuesta y observacin.
Tcnicas tradicionales para realizar Auditora de Sistemas de Informacin.
o
Examen, inspeccin, confirmacin, comparacin, revisin documental, lista de chequeo, matriz de
evaluacin.
Tcnicas asistidas por computadora (TAACs).
Software para realizar auditora de sistemas de informacin.
o
Audit command lenguaje (por sus siglas en ingles ACL), Interactive data extraction and analysis (por sus
siglas en ingls, IDEA).
Software para apoyo en la realizacin de Auditora de Sistemas de Informacin.

Pgina 119
Captulo 4
Cuadro 4.37 Metodologa para realizar una auditora de Sistemas de Informacin (Final).
SEGUNDA FASE, EJECUCIN DE LA AUDITORA DE SISTEMAS DE INFORMACIN:
Evaluacin de la administracin del departamento de Informtica.

o
Forma de organizacin del departamento, Plan estratgico, Objetivos a corto y largo plazo, Funciones y
servicios prestados, Antecedentes, Polticas, Planes de carrera, Planes de capacitacin, Formas de
medicin del desempeo y cumplimiento de metas, Presupuestos y costos del rea.
Evaluacin de los sistemas.
Evaluacin de los equipos.
Evaluacin del recurso humano.
Evaluacin de procesos.
Evaluacin del control interno.
o
Control sobre la organizacin del departamento de Informtica, Control sobre el anlisis, desarrollo e
implementacin de sistemas, Control para el ingreso, procesamiento, egreso y back-up de informacin,
Control sobre la seguridad de los equipos, sistemas y el personal.
Evaluacin de los manuales de puestos del departamento de Informtica.
Evaluacin de la seguridad.
o
Seguridad lgica, Seguridad fsica del personal y equipos.
Seguimiento a los proyectos informticos.
o
Plan maestro del proyecto, Lder de proyecto, Determinacin de los recursos a utilizar, Cronograma de
trabajo, Participacin del departamento usuario en el desarrollo de proyectos, Miembros y
responsabilidades del equipo del proyecto, Plan de pruebas, Aprobacin de las fases del proyecto, Plan de
aseguramiento de la calidad de sistemas, Administracin formal de riesgos de proyectos, Plan de
entrenamiento, Documentacin del sistema, Plan de revisin Post-implementacin.
Proceso de back-up de informacin.
Pronstico de carga de trabajo de los equipos y sistemas.
Manejo de incidentes operacionales y de usuarios (helpdesk).
Plan de contingencia.
Revisin de la base de datos.
o
Diseo, Acceso, Administracin, Interfaces, Portabilidad.
Auditora a la red.
Cambios a programas.
Pista de Auditora.
TERCERA FASE, INFORME DE LA AUDITORA DE SISTEMAS DE INFORMACIN:
Informe.
Presentacin del Informe Final.
Seguimiento de recomendaciones.
Cuando el auditor tiene claros los objetivos, los mtodos y las tcnicas a utilizar, as como
los recursos con que podr contar, deber elaborar un plan de trabajo, en el cual deber
integrar los recursos descritos anteriormente.
Es importante que para realizar cada actividad se cuente con un programa de trabajo, que
en ste se indiquen los objetivos de la revisin a realizar, el alcance, la documentacin a
requerir, la forma de revisarla, el personal a contactar y los procedimientos a seguir por
parte del Auditor.

Pgina 120
Captulo 4
El siguiente cuadro, presenta el programa de auditora interna para realizar la revisin del
control interno y operaciones en el Centro de Procesamiento de Datos:
Cuadro 4.38 Programa de auditora para realizar la revisin del control interno y operaciones en el CPD (Inicio).
Programa de Auditora Interna
El departamento de Sistemas deber contar con un espacio dentro de sus instalaciones, dedicado al Centro de Procesamiento de Datos que
rena las condiciones mnimas de seguridad que protejan los equipos y al personal asignado a ste.
1.
OBJETIVO
Verificar el cumplimiento de los controles internos y polticas establecidas, para salvaguardar los equipos asignados al Centro de
2.
ALCANCE
Los resultados sern referidos al 05 de Agosto de 2010 e incluirn los siguientes procedimientos:
3.
Entrevista con personal del departamento de Sistemas.

Revisin de la documentacin, para evaluar el cumplimiento de controles internos y polticas establecidas.
Revisin de las instalaciones para verificar la adecuada salvaguarda de los activos.
PROCEDIMIENTO
Para la revisin del control interno y operaciones se revisar lo siguiente:

CONTROL INTERNO:
Revisin de control utilizado para el ingreso y egreso de equipos y personal.

Se revisar la actualizacin de los formularios, con la siguiente informacin:
Fecha y hora de ingreso y egreso.
Nombre de la persona que ingresa y persona que la acompaa.
Motivo del Ingreso.
Constancia de Autorizacin para el ingreso de personal o egreso de equipos.
Claves de acceso
Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta electrnica, se deber verificar lo
siguiente:
Listado de usuarios habilitados para el ingreso al Centro de Procesamiento de Datos.
Fecha de habilitacin.
Nombre del usuario.
Fecha que expira la clave.
Fecha de ltimo acceso.
Funcionario que autoriz la clave.
Estatus de la clave.
Verificar que la clave administrador est siendo custodiada en sobre lacrado en bveda de seguridad del
banco.
Inventario de equipos
Se deber solicitar el registro del inventario de equipos, verificando su existencia fsica en el Centro de
Procesamiento, as como si se est efectuando la amortizacin del valor de los mismos.
Control de egreso de equipos

Se deber verificar la existencia de un control para el egreso de equipos, que deber contener como mnimo los
siguientes aspectos:
Fecha del egreso.
Nombre del equipo.
Motivo del egreso.
Nombre de la persona que recibe el equipo.
No. de inventario.

Pgina 121
Captulo 4
Cuadro 4.38 Programa de auditora para realizar la revisin del control interno y operaciones en el CPD (Final).
Inventario de cintas de respaldo

Para verificar la existencia fsica de las cintas de respaldo de informacin se solicitar el inventario de cintas de
respaldo. As mismo se deber verificar la periodicidad con que se realizan los back- up de informacin, as como si
se est efectuando las pruebas para comprobar su funcionalidad.
OPERACIONES Y PROCESOS
4.
Seguridad para la proteccin de los equipos

Para verificar la adecuada proteccin se deber verificar la existencia de los siguientes equipos:
Cmara de vigilancia. Verificar el medio de almacenamiento de las cintas.
Extintores de incendios. Comprobar que la carga no est vencida.
Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo.
Dispositivo para evitar inundaciones.
Alarmas detectoras de `humo y temperatura. Verificar que se realicen las pruebas peridicamente.
Reguladores de voltaje y UPS.
Software y hardware para el control de accesos al Centro de Procesamiento de Datos.
Contratos de mantenimiento
El mantenimiento peridico a los equipos es necesario para mantenerlos en ptimas condiciones, se deber verificar
el cumplimiento y actualizacin de estos contratos. As mismo verificar la suficiencia de los mismos.
Plizas de seguro
Para proteger los equipos, se deben de contratar seguros que cubran el equipo y su instalacin, as mismo se deber
verificar la actualizacin de los nuevos equipos y la fecha de vencimiento.
Plan de continuidad
Un plan de contingencia deber contemplar todo los procesos crticos de la organizacin, para restablecer sus
operaciones y deber ser eficaz y eficiente, los aspectos legales, el impacto en el servicio del cliente.
Deber verificarse la actualizacin de los procesos, misma que se deber realizar por lo menos una vez al ao, las
pruebas para verificar su funcionalidad y la distribucin al personal responsable.
INFORME
Elaboracin de informe
Se deber preparar el informe de los hallazgos, indicando las recomendaciones que se considere subsanarn las
debilidades de control interno.
Normativa
Circular normativa Control de accesos al Centro de Procesamiento de Informacin.
Bibliografa
Para apoyar la presente revisin se recomienda la lectura del libro Auditora en Informtica del autor Jos Antonio
Echenique Garca.
Cronograma
Para realizar esta revisin se asignan 5 das para la recoleccin de informacin, entrevistas y elaboracin del informe.
La revisin deber iniciarse el 4 de Agosto de 2010 y se deber entregar informe el 31 de Agosto, con el resultado del
trabajo realizado.
Presentacin de los resultados

Se deber presentar los resultados del trabajo realizado al Auditor Interno. Previo a presentar este informe se deber
de exponer los resultados al jefe del departamento de Sistemas, indicando las observaciones y recomendaciones que
se considere ayudarn a fortalecer el entorno de control interno, as mismo se deber obtener el compromiso para la
implementacin de las recomendaciones.
Envo de informe
Luego de que se presenten los resultados se deber enviar el informe dirigido al Jefe del Departamento de Sistemas.
Se deber copiar el informe a los siguientes puestos: Director general y al equipo de Respuesta a Incidentes.

Pgina 122
Captulo 4
El cuadro 4.39, muestra y describe las marcas de auditora que se emplearn para el
desarrollo de la presente actividad:
Cuadro 4.39 ndice de las marcas de Auditora.
Marca de Auditora
Descripcin de la Marca
Verificado contra documento original.
Revisado.
Se observ el cumplimiento del procedimiento.
Existe procedimiento formal.
Confirmado con el usuario final.
Revisado y confirmado con el usuario.
Revisado y cuadrado contra informe original.
Confirmado con el proveedor del servicio.
Se revis la copia fsica de la copia de respaldo.
Se revis el funcionamiento del equipo en presencia del encargado.
Conforme al plan de trabajo se procedi a verificar el control utilizado para el ingreso de

personal externo a las instalaciones del Centro de Procesamiento de Datos, los resultados
se presentan a continuacin:
Cuadro 4.40 Revisin del control utilizado para el ingreso de personal externo al Centro de Procesamiento de
Datos.
Fecha
Nombre de la
persona que ingresa
Motivo del ingreso
03-08-10
03-08-10
04-08-10
05-08-10
06-08-10
06-08-10
07-08-10
08-08-10
09-08-10
10-08-10
Olga C *
Cesar V
Cesar V *
Olga C *
Olga C
Martn de la R
Cesar V *
Olga C
Cesar V *
Olga C
Colocar Cintas de respaldo

Revisin del Firewall
Revisin del correo electrnico
Revisin del servidor de nombres
Revisar cableado estructurado
Restaurar copia base de datos
Revisar acceso a internet
Nombre de la
persona que
acompaa
Olga C
Cesar V
Cesar V
Cesar V
Hora de
ingreso
Hora de
egreso
Marca de
auditora
9:20
15:16
7:20
10:14
10:33
7:56
12:00
11:09
9:01
8:56
9:25
16:20
7:25
10:28
10:48
8:47
12:23
11:14
9:22
9:13
* Personal del departamento de Sistemas que no present autorizacin para el ingreso al Centro de Procesamiento de Datos.
Los resultados obtenidos en la presente revisin se consideran aceptables, sin embargo el

personal del departamento de sistemas debe de presentar autorizacin para el ingreso al
Centro de Procesamiento de Datos. As mismo es importante que se documenten las
soluciones implementadas, para la correccin de los problemas en los equipos, para tener
estadsticas sobre la recurrencia de problemas.

Pgina 123
Captulo 4
Conforme al plan de trabajo se procedi a verificar las claves de acceso utilizadas por el
personal para el ingreso a las instalaciones del Centro de Procesamiento de Datos, los
resultados se presentan a continuacin:
Cuadro 4.41 Revisin de las claves utilizadas para el acceso al centro de procesamiento de informacin.
Fecha de
habilitacin
Nombre de la persona que

tiene la clave
Fecha que expira

la clave
Fecha de ltimo
acceso
Funcionario que
autoriz
Estatus de la
clave
Marca de
auditora
03-08-06
17-02-10
09-08-10
22-11-09
Administrador /1
Cesar V
Martn de la R
Olga C /2
Indefinida
17-02-11
09-08-11
22-11-10
17-08-10
17-08-10
19-08-10
29-08-10
Gerente de Sistemas
Gerente de Sistemas
Gerente de Sistemas
Gerente de Sistemas
9:25
16:20
7:25
10:28
/1 Se observ que la contrasea del administrador no est siendo custodiado en un sobre lacrado en bveda de seguridad del banco.
/2 La clave corresponde a ex-empleado, misma que no se ha dado de baja del sistema.
Se considera importante que la clave de administrador, que es la clave con mayores

privilegios, sea custodiada en un sobre lacrado en bveda. As mismo al momento de que
un colaborador termine su relacin laboral, deber de darse de baja del sistema,
minimizando de esta forma la posibilidad de accesos no autorizados.
Conforme al plan de trabajo se procedi a verificar el inventario de equipos ubicados en el
Centro de Procesamiento de Datos. Este inventario fue realizado comparando los registros
en libros segn la conciliacin de saldos de mobiliario y equipo, los resultados se
presentan a continuacin:
Cuadro 4.42 Inventario de Hardware y Software, ubicados en el Centro de Procesamiento de Datos.
Fecha de
ingreso
Nombre del equipo
Responsable del
equipo
Observaciones
Marca de
auditora
09-02-07
09-02-07
31-01-07
18-02-07
11-11-05
12-09-08
23-10-08
17-03-05
20-01-07
14-12-08
22-03-07
24-07-09
30-06-08
06-04-07

HP M8609A LTO Tabletop Tape Drive
HP ProLiant ML150 serie G6
HP ProLiant ML110 serie G6 /2
Enrutador HP serie A-MSR20 /1
HP UX 11 i V 3 y TapeAssure
QAD Progress V 9.2, MFG-PRO e-B
HP StorageWorks Cluster y Storage
Fedora Core V.7, sendmail
Windows 2008 Server
Firewall y herramientas anti-virus
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
No. Inventario CPD-250

/1 Este equipo fue sustituido el 10-05-2009, ya fue dado de baja en libros, sin embargo no se ha trasladado del CPD.
/2 Este servidor corresponde a equipo de prueba perteneciente a la empresa HP.

Pgina 124
Captulo 4
Conforme al plan de trabajo se procedi a verificar el inventario de cintas de respaldo de

informacin ubicadas en las instalaciones del Centro de Procesamiento de Datos. El
control de las cintas de respaldo est establecido en circular normativa correspondiente,
los resultados se presentan a continuacin:
Cuadro 4.43 Verificacin del inventario de cintas de respaldo (revisin selectiva).
Fecha de
proceso de
cinta
Informacin almacenada
Nombre de la
persona que
realiz la copia
Fecha de
verificacin de la
funcionalidad
Nombre de quien
revis la
funcionalidad
Marca de
auditora
12-01-09
Respaldo fin de mes, ERP,

BD y SO.
Respaldo semanal BD
Tizayuca
Respaldo Nmina
Confidencial
Respaldo fin de mes ERP,
BD y SO
Respaldo nmina
sindicalizados
Olga C
13-01-09
Cesar V
Olga C
22-04-08
Cesar V
Olga C
18-11-07
Cesar V
Israel M
3-08-06
Agustn L
Israel M
10-09-05
Agustn L
21-04-08
17-11-07
31-07-06
08-09-05
Se comprob que, no se incluye la periodicidad con la que se deber comprobar la utilidad de las cintas de respaldo.
Conforme al plan de trabajo se procedi a verificar los equipos utilizados para proporcionar
la seguridad fsica, a las instalaciones del Centro de Procesamiento de Datos, los
Cuadro 4.44 Revisin de la seguridad fsica de las instalaciones del Centro de Procesamiento de Datos.
Fecha de revisin
por parte del
proveedor
Equipo
Observaciones
Marca de
auditora
13-09-10
Cmara de vigilancia
13-09-10
Software y hardware de
cmara de vigilancia
Extintores de Incendios*
Aire Acondicionado
Dispositivo para evitar
inundaciones
Alarmas detectoras de humo*
Alarmas detectoras de
temperatura y humedad
Reguladores de voltaje y
UPS
Software y hardware control
ingreso al CPD
Existen 3 cmaras distribuidas de la siguiente manera: al ingreso del CPD,

monitoreando al operador de turno y el ingreso a la Cintoteca.
Este software tiene almacenado el monitoreo diario, realizado por las cmaras
de vigilancia.
Se observ la existencia de 4 extintores distribuidos adecuadamente.
El aire acondicionado funciona adecuadamente.
Los equipos estn instalados a 25 centmetros del suelo y se cuenta con un
dispositivo que absorbe a su interior el agua proveniente de inundaciones.
Se cuenta con 2 alarmas detectoras de humo distribuidas adecuadamente.
Para mantener la temperatura en 17 grados centgrados y prevenir daos
ocasionados por humedad se cuenta con 2 alarmas detectoras.
Los equipos estn protegidos con un regulador de voltaje as como un UPS
capaz de mantener el servicio por 5 horas.
Se comprob que para el ingreso al CPD, es necesario utilizar tarjeta y un
cdigo personalizado, el registro de estos ingresos es registrado
automticamente y se puede consultar de manera cronolgica.
23-06-10
02-10-10
16-05-10
09-08-10
24-08-10
31-01-10
09-09-10
* Segn especificaciones del fabricante la carga de los extintores de incendios y las alarmas detectoras de humo, debern de ser
revisados una vez al ao.

Pgina 125
Captulo 4
Conforme al plan de trabajo se procedi a verificar los contratos de mantenimiento de

equipos, del Centro de Procesamiento de Datos, los resultados se presentan a
continuacin:
Cuadro 4.45 Verificacin de los contratos de mantenimiento del Centro de Procesamiento de Datos.
Fecha de
vencimiento
Contrato
Empresa
31-12-10
Mantenimiento a equipo
central
Mantenimiento a equipo de
Telecomunicaciones
Mantenimiento a equipo de
cmputo
Servicio de
Telecomunicaciones
Mantenimiento ERP y BD
HP
20-02-11
15-01-11
20-12-10
31-12-10
31-12-10
10-01-11
Mantenimiento Software de
Replicacin ERP, BD y SO.
Mantenimiento Sitio alterno
Getronics
Gpo. Helix
Telmex
QAD
HP, QAD
HP
Observaciones
Contrato vigente, cubre adecuadamente el mantenimiento

correctivo a los equipos. Las cuotas estn al da.
Marca de
auditora
preventivo y
preventivo y
preventivo y
preventivo y
preventivo y
preventivo y
preventivo y
Se estableci que no existe un procedimiento escrito para la negociacin y control de los contratos de mantenimiento.
Es importante que se lleve un control de los contratos de mantenimiento firmados, la fecha

de vencimiento, los derechos y obligaciones adquiridos.
Conforme al plan de trabajo se procedi a verificar los contratos de seguros de equipos,
del Centro de Procesamiento de Datos, los resultados se presentan a continuacin:
Cuadro 4.46 Verificacin de los contratos de seguros.
Fecha de
vencimiento
Seguro
31-12-10
Responsabilidad civil
31-12-10
Equipo de cmputo
*
*
Empresa
Observaciones
Marca de
auditora
GNP
Este contrato cubre accidentes en el rea del departamento de

Sistemas, a la fecha an no se ha renovado contrato.
Este contrato cubre el equipo de cmputo, en caso de incendios,
inundaciones y robo. Se observ el pago de las cuotas por el ao
2010.
HP
* Se estableci que no existe un procedimiento escrito para la negociacin y control de los seguros.
Es importante que se lleve un control de los seguros, la fecha de vencimiento, los

derechos y obligaciones adquiridos.

Pgina 126
Captulo 4
Conforme al plan de trabajo se procedi a verificar el plan de continuidad del negocio, los
Cuadro 4.47 Verificacin del plan de continuidad del negocio.
No.
Proceso
Copia del vigente plan de

Muestra de copias
distribuidas del Plan.
Inventario de actividades y
procesos crticos.
Listado de Proveedores y
Clientes a informar con
relacin a la contingencia.
Determinacin de prioridades
en cuanto a la restauracin
de operaciones.
Sitio alterno para el
procesamiento de
informacin
Personal encargado de
ejecutar el Plan
Conocimientos del personal
del Plan
Actualizacin del Plan
10
Pruebas al Plan
2
3
4
7
8
Observaciones
Marca de
auditora
La copia obtenida fue actualizada el 20-07-2010
Se obtuvieron 2 copias que fueron distribuidas al personal involucrado en el Plan

y se observ que no fueron copiadas del original actualizado el 20-07-2010.
Se determin que se identificaron los procesos crticos y fueron incluidos en
matriz diseada para el efecto, misma que est adjunta al Plan
Actualizado
Se observ que se ordenaron las actividades y se asign prioridad
Existe sitio alterno, por una interface se realiza automticamente la rplica de

todas las operaciones del sistema principal.
Segn listado, se constataron los nmeros telefnicos del personal encargado

de ejecutar el Plan.
Selectivamente se seleccion al personal observando que cuentan con
conocimientos suficientes para ejecutar el Plan
En la revisin del Plan se comprob que debe de ser actualizado por lo menos
dos veces al ao y deber consignarse las fechas de actualizacin, se
observaron estas actualizaciones los ltimos dos aos.
Para verificar la funcionalidad del Plan est establecido que se realice una
prueba al ao, anotando la fecha y resultados de sta. En la presente revisin se
observ que el ao 2007 no se realiz esta actividad.
Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se actualice el plan, debern de
distribuirse las copias al personal involucrado.
Conclusin y Recomendacin de la Auditora de los Sistemas de Informacin:

Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que
cuando se actualice el plan, debern de distribuirse las copias al personal involucrado. As
mismo deber de realizarse pruebas para verificar la oportunidad de los procesos
contenidos en este plan y documentar los resultados.

Pgina 127
Captulo 4
Para representar el nivel de riesgo de cada aspecto evaluado en la presente auditora y el

impacto en las operaciones, a continuacin se presenta una matriz de impacto en la cual
se utilizaron colores para representar niveles de riesgo de la siguiente forma: verde (sin
riesgo), amarillo (riesgo medio) y rojo (alto riesgo):
Cuadro 4.48 Verificacin del plan de continuidad del negocio.
rea de
Control
Continuidad y
recuperacin
ante desastres
Controles
Activos de
informacin
Dependencia de
activos
Dependencia de
personal interno
Fiabilidad de
sistemas
Control de acceso fsico

Back-up de informacin
Inventario de equipos
Contratos de mantenimiento y
seguros
Plan de continuidad del
negocio
Amarillo
Amarillo
Amarillo
Amarillo
Verde
Amarillo
Amarillo
Rojo
Amarillo
Verde
Verde
Verde
Verde
Amarillo
Verde
Verde
Verde
Rojo
Verde
Amarillo
Riesgo medio
Riesgo alto
Riesgo leve
Riesgo medio
Resultado de la evaluacin:
La combinacin de un riesgo alto con un riesgo medio incrementa la posibilidad de la

materializacin de una contingencia de importancia. Derivado de esta premisa se
considera la siguiente categorizacin de riesgo:
Categorizacin de Riesgo:
1. Aspecto calificado con color amarillo y ningn aspecto ponderado en color rojo =
riesgo leve.
2. Aspectos calificados con color amarillo y ningn aspecto ponderado en color rojo =
riesgo medio.
3. Aspectos calificados con color amarillo y un aspecto ponderado en color rojo =
riesgo alto.
Conclusin de la verificacin del Plan de Continuidad:
Los resultados obtenidos indican que el riego de continuidad del negocio, est siendo
afectado por la falta de pruebas al plan de continuidad y la falta de renovacin al contrato
de mantenimiento del aire acondicionado y al seguro de responsabilidad civil.

Pgina 128
Captulo 4
CONCLUSIONES DE LA AUDITORIA DEL PLAN DE CONTINUIDAD:

Derivado de la revisin de los procedimientos y normativa interna y tomando en
consideracin la matriz de impacto de riesgos detectados, se obtuvieron las siguientes
conclusiones:
1. Riesgo leve
Se observaron dos equipos obsoletos ubicados en el Centro de Procesamiento
de Datos, que ocupan espacio fsico.
No se cuenta con un control de las reparaciones efectuadas a equipos, as como
de la fecha en que fueron devueltos al Centro de Procesamiento de Datos.
2. Riesgo medio
Se establecieron accesos no autorizados de analistas programadores de los
sistemas de informacin al Centro de Procesamiento de Datos, por
incumplimiento de normativa interna.
Se observ una clave de acceso al Centro de Procesamiento de Datos
habilitada perteneciente a ex empleado.
Se determin falta de custodia de clave Administrador de software de control de
acceso al Centro de Procesamiento de Datos.
Se comprob falta de pruebas para verificar la funcionalidad de las cintas de
respaldo de informacin.
3. Riesgo alto
Se observ que el contrato se mantenimiento del aire acondicionado y el de
seguro de responsabilidad civil estn vencidos, por ausencia de un control en la
fecha de vencimiento.
Se determin que las copias del Plan de Continuidad del Negocio, vigentes no
fueron distribuidas al personal responsable de implementarlo as como ausencia
de pruebas para verificar la funcionalidad del Plan.

Pgina 129
Captulo 4
RECOMENDACIONES DE LA AUDITORIA DEL PLAN DE CONTINUIDAD:

1. Es conveniente realizar inventarios peridicos a efecto de verificar la existencia
fsica de los equipos en el Centro de Procesamiento de Datos. As mismo trasladar
los equipos que no figuran en libros de la Empresa, a donde corresponda.
2. Se sugiere implementar un control para dejar constancia de la fecha de ingreso de
los equipos en caso de reparaciones, as como el diagnstico por el cual se origin
el egreso del Centro de Procesamiento de Datos.
3. Se recomienda fortalecer los controles a efecto de cumplir lo establecido en la
normativa interna, referente a los ingresos de personal externo, depuracin de
claves de acceso de ex colaboradores y custodia de clave Administrador del
Software para el control de acceso al Centro de Procesamiento de Datos.
4. Se recomienda establecer por escrito la periodicidad con la que se debern realizar
las pruebas a las cintas de respaldo de informacin, para verificar su funcionalidad.
5. Es oportuno contar con un control de la fecha de vencimiento de los contratos de
mantenimiento, las cuotas y los derechos y obligaciones contrados.
6. Se considera necesario que al realizar la actualizacin del Plan de Continuidad del
Negocio, se asegure distribuir las copias del Plan actualizado al personal
involucrado, as como dejar por escrito la periodicidad de las pruebas a este Plan y
documentar los resultados para analizar los resultados y medir la funcionalidad de
ste.
El propsito de auditar el Plan, es asegurar la viabilidad y actualizacin del mismo. Un

Plan que es auditado regularmente permite identificar aspectos no cubiertos inicialmente,
o bien, debilidades en el proceso de mantenimiento del mismo. Adicionalmente, el ejercicio
derivado de la auditoria debe ser considerado como una oportunidad para entrenar al
personal, tanto en la forma de actuar ante la situacin de emergencia como en los
procedimientos de recuperacin establecidos.
El resultado de la auditora es, adems de la ejercitacin, materia prima para el
mantenimiento del Plan de continuidad, como se presenta a continuacin.

Pgina 130
Captulo 4
FaseI.
Actividad 5.2 Mantenimiento al Plan de Continuidad.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Las modificaciones al Plan de Continuidad, se basan principalmente en las observaciones

efectuadas por la Auditora, por lo que se debe hacer una lista de medidas mediante las cuales se
mantenga el plan de contingencia, incluyendo resultados, resoluciones y reuniones, entre otros.
Cada vez que se modifique el plan, se deber llevar una bitcora en la que se indiquen las causas por
las que se ha modificado, la fecha, el elemento cambiado, la descripcin de la modificacin, quin la
hizo y si ya se distribuy o no.
Planear el procedimiento de mejora continua (actualizacin y capacitacin regular en el

tema) a todo el personal involucrado, incluyendo el mantenimiento y revisin del plan al
menos una vez cada seis meses.
Para la comunicacin de las modificaciones al plan se utiliza el formulario del cuadro 4.49,
adicionalmente, es conveniente que se entregue el documento en forma electrnica para
facilitar su incorporacin al Plan:
Cuadro 4.49 Formulario de mantenimiento al Plan de Continuidad.
Mantenimiento al Plan de Continuidad
Equipo:
Lder del equipo:
Fecha\hora:
Administrador de emergencia
Gerencia de Sistemas
13-08-10; 15:17 hrs
Justificacin:
Establecer por escrito la periodicidad con la que se debern realizar las pruebas a las cintas de respaldo de informacin, para verificar su funcionalidad.
Control de modificaciones:
Elemento a cambiar
Respaldo de informacin
Descripcin de la modificacin
Periodicidad de las pruebas a los respaldos en cinta magntica
Distribuida
(S\No):
S
Modificacin
solicitada por:
Auditora
Observaciones:
Solicitud de modificacin, a partir de las recomendaciones de la auditora efectuada al Plan de Continuidad.
Los dueos de procesos o de la plataforma de TI son los responsables por reportar al

coordinador del plan de continuidad, los cambios que se den en el ambiente. Esto con el
fin de que el administrador coordine los esfuerzos de mantenimiento correspondientes.

Pgina 131
Captulo 4
FaseI.
Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismo
dealmacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez terminado el plan de continuidad, ste se deber almacenar en diferentes medios y
ubicaciones. Es recomendable tener copias impresas, por si los documentos magnticos no estn
disponibles en el momento de un incidente. Dichas copias se deben almacenar tambin en los
centros alternos.
Para el control del almacenamiento y asignacin de las copias del plan, se utiliza el
formulario del cuadro 4.50, adicionalmente, es conveniente que se entregue el documento
en forma electrnica para facilitar su incorporacin al Plan:
Cuadro 4.50 Formulario de almacenamiento del Plan de Continuidad.
Almacenamiento del Plan de Continuidad
Realiz:
Autoriz:
Fecha\hora:
Eq. Respuesta a incidentes

Direccin General
09-09-10; 11:06 hrs
Justificacin:
Establecer por escrito los medios de almacenamiento del Plan de Continuidad para asegurar su disponibilidad ante cualquier contingencia.
Control del almacenamiento:

Medio
Impreso
Impreso
Impreso
Magntico (CD)
Web
Ubicacin
CPD Local, Alterno y Externo

Gerencia General, Direccin de Administracin y Compras
Gerencias de orden medio
Todas las anteriores ubicaciones
Servidor web del proveedor de servicios CPD externo
Fecha de
almacenamiento
12-08-10
07-08-10
14-08-10
03-08-10
05-08-10
Fecha de
actualizacin
Fecha de
distribucin
01-08-10
01-08-10
01-08-10
30-07-10
28-07-10
11-08-10
06-08-10
13-08-10
02-08-10
04-08-10
Observaciones:
Las ubicaciones en detalle se encuentran a la mano para todo el personal.
Se debe verificar el inventario de los archivos de respaldo mantenidos en el sitio de

almacenamiento con el control que se tiene del mismo, con el objetivo de verificar los
procedimientos de actualizacin de respaldos.

Pgina 132
Captulo 4
FaseI.
Actividad 5.4 Mecanismo de actualizacin del Plan de Continuidad.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismo
deactualizacin.
A5.5.Mecanismode
distribucin.
Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran
importancia verificar que todas las copias contengan la misma informacin.
El coordinador del plan de continuidad es el responsable por mantener una vigilancia

constante sobre el negocio y sobre TI, para identificar eventuales cambios que fuercen a
un proceso de actualizacin de los planes de continuidad y recuperacin.
Es necesario hacer cambios en el mecanismo de almacenamiento, cuando surja una
actualizacin derivada de un cambio en el ambiente organizacional, auditora o ejercitacin
del plan. El siguiente cuadro, muestra el historial de revisiones del Plan de Continuidad:
Cuadro 4.51 Historial de revisiones del Plan de Continuidad.
Historial de Revisiones
Fecha
Versin
Descripcin
Autor
Mayo 2009
0.1
Versin inicial
Gerencia de Sistemas
Septiembre 2009
0.2
Actualizacin del documento
KPMG
Abril 2010
0.3
Revisin del documento
Gerencia General
Octubre 2010
1.0
Aprobacin del documento
Direccin General
Sesin No. 20 del 10 de Octubre

Noviembre 2010
1.0
Actualizacin del documento
Pricewaterhose
Registro aprobacin
Por las consideraciones de las guas incluidas, peridicamente se revisarn para

actualizar, eliminar o agregar nuevas disposiciones o normas, acorde a la evolucin de las
Tecnologas de la Informacin y Telecomunicaciones en la Institucin.
En cualquiera de los casos, los planes sern entregados al lder del equipo de respuesta a
incidentes, y l ser responsable de darlos a conocer al resto del personal involucrado en
los equipos de recuperacin. Todo cambio en los procedimientos como consecuencia de
la modificacin de la forma de trabajo, recursos involucrados (tcnicos y humanos), etc.
deber ser comunicado oportunamente al Coordinador del Plan de Continuidad, para
proceder con la actualizacin y distribucin del plan.

Pgina 133
Captulo 4
FaseI.
Actividad 5.5 Mecanismo de distribucin del Plan de Continuidad.
FaseII.
medioambiente
organizacional.
Analizar,evaluary
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismo
dedistribucin.
Cada vez que se modifique o actualice el plan, se debern distribuir y divulgar las nuevas
actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de
requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, stas se
tendrn que realizar con la mayor brevedad posible.
Documentar a qu personas o reas deber hacer llegar copia de este documento y a

travs de qu medio se le har llegar; el cuadro 4.59, muestra los mecanismos de
distribucin del Plan de Continuidad:
Cuadro 4.52 Mecanismo de Distribucin del Plan de Continuidad.
Distribucin del Plan de Continuidad
Al menos dos copias completas del Plan de Continuidad deben ser mantenidas fuera sitio (por ejemplo donde se almacenan
respaldos fuera de sitio).
DIRECTRIZ DE DISTRIBUCIN DEL PLAN.
El Plan de Continuidad debe ser distribuido a todo el personal autorizado, ya que slo el personal activo puede tener
acceso al plan. Si un individuo deja de laborar para el negocio o para una de sus unidades especficas, es su
responsabilidad regresar las copias y todos los duplicados o partes duplicadas de este plan a su superior respectivo.
A nadie fuera de la organizacin le ser permitido leer, revisar, copiar o auditar el Plan sin la autorizacin formal y
escrita por parte del Coordinador del Plan de Continuidad.
DISTRIBUCIN DE LOS DOCUMENTOS
Debido a la confidencialidad de este documento nicamente el Coordinador del Plan mantendr una copia completa
del mismo. Subconjuntos del Plan sern distribuidos tomando como base la premisa need-to-know y de la manera
siguiente:
Adicionalmente, es necesario desarrollar el mecanismo de control para asegurar que todas las copias de las hojas que
han sido modificadas sean colocadas fuera de circulacin. Para controlar la actualizacin de los documentos se
recomienda:
Enviar secciones completas para reemplazar aquellas con cambios, en lugar de enviar slo las hojas que
han cambiado.
Asegurar que los lderes provean algn tipo de recibo para verificar que recibieron las nuevas versiones del
plan. El regresar las hojas reemplazadas podra ser considerado como un recibo.
Mantener el control de los planes de recuperacin para propsitos de seguridad.
Con lo anterior, se verifica la actualizacin de los procesos, por lo menos una vez al ao,
las pruebas para auditar su funcionalidad y la distribucin al personal responsable.
Este Plan de Continuidad contempla todos los procesos crticos de la organizacin, para
restablecer sus operaciones eficaz y eficientemente, considerando los aspectos legales y
el impacto en el servicio del cliente.

Pgina 134
Captulo 5
Resultados Obtenidos, Valoracin de Objetivos,
Trabajos Futuros y Conclusiones del Proyecto
de Tesis.
Manufactura.
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
CAPTULO 5. -
RESULTADOS OBTENIDOS, VALORACIN DE OBJETIVOS, TRABAJOS FUTUROS Y

CONCLUSIONES DEL PROYECTO DE TESIS.
En el captulo anterior, se aplic la metodologa propuesta, en una empresa de
manufactura de empaques de cartn, por lo que se conoci con detalle la organizacin a
proteger, se identificaron los riesgos, se evaluaron y posteriormente se aplicaron medidas
para mitigarlos. Para ello, se identificaron los activos de la empresa; as como, las
debilidades que padecen, se estimaron probabilidades de ocurrencia y se asign una
importancia para la misin de la empresa.
En el presente captulo, se efectuar la valoracin de objetivos, trabajos futuros y
conclusiones del proyecto de tesis.
5.1 Resultados Obtenidos.
A continuacin, se efecta una valoracin de los resultados obtenidos al implantar la
metodologa propuesta, para la creacin de un Plan de Continuidad y recuperacin ante
Desastres en los Sistemas de Tecnologas de Informacin y Telecomunicaciones en la
Industria de la Manufactura:
Protege al personal y los activos corporativos.
Asegura la continuidad de las operaciones.
Garantiza la reanudacin de los procesos crticos dentro de los mrgenes de tiempo
tolerables.
Minimiza el proceso de toma de decisiones durante una contingencia.
Reduce los efectos negativos ocasionados por el caos.
Mantiene el servicio al cliente.
Responde a los Inversionistas.
Cumple con requerimientos Legales / Contractuales / Gubernamentales.
Reduce al mximo los niveles de dependencia sobre personas o grupos especficos
en el proceso de continuidad.
Elimina la necesidad de desarrollar nuevos procedimientos durante la contingencia.
Minimiza la posibilidad de prdida de informacin crtica para el negocio.
Cumple con los requerimientos de auditoria.

Pgina 135
Captulo 5
Proyecto de Tesis.
5.2 Valoracin de Objetivos.

El presente proyecto de tesis, cumple con los requerimientos funcionales detectados en la
justificacin del mismo, y por lo tanto se procede a continuacin, con la valoracin del
cumplimiento del objetivo general y objetivos particulares.
5.2.1 Valoracin del Objetivo General.
Disear, proponer, aplicar y evaluar una metodologa para establecer las estrategias y
procedimientos a ser implementados por un equipo de individuos que permita garantizar la
continuidad de las operaciones del negocio.
En el Captulo 3 se disea y propone; en el captulo 4 se aplica y evala la metodologa

para establecer las estrategias y procedimientos a ser implementados por un equipo de
individuos que permita garantizar la continuidad de las operaciones del negocio, de
acuerdo a las mejores prcticas y estndares internacionales analizados, evaluados y
diagnosticados en el captulo 2, a travs del marco de referencia contextual histrico y
fsico del captulo 1.
5.2.2 Valoracin de los Objetivos Particulares.
Identificar y conocer el medio ambiente de las empresas de manufactura para efectuar un anlisis y
evaluacin de las amenazas a la seguridad de la informacin y sus operaciones.
En el captulo 1, se estudi la seguridad de la informacin y la continuidad del negocio

como dos componentes crticos de la estrategia futura de muchas organizaciones de
manufactura a nivel nacional e internacional
Identificar y conocer el medio ambiente de los estndares, mejores prcticas y metodologas en
Recuperacin ante Desastres como parte de la gestin de la Continuidad del Negocio en los
Sistemas de TICs para efectuar un anlisis y evaluacin de su desempeo.
En el captulo 2, se estudi el desarrollo del documento de lineamientos que permite a la

organizacin definir polticas, normas, procedimientos y estndares, de acuerdo a los
requerimientos de su misin, basados en recomendaciones y mejores prcticas
desarrollados con cooperacin internacional; se busc, identificar herramientas o
productos tecnolgicos que apoyen los controles y que permitan mitigar el riesgo y mejorar
de esta manera la seguridad de la informacin y la continuidad de las operaciones.

Pgina 136
Captulo 5
Proyecto de Tesis.
Disear y proponer una metodologa para la creacin de un plan para la Continuidad y Recuperacin
ante Desastres en los Sistemas de Tecnologas de Informacin y Comunicaciones.
En los entornos de Continuidad del Negocio y Recuperacin ante Desastres de TICs; an

no existe, un estndar que sea claramente seguido por el mercado de la industria de la
manufactura, por lo que, en el captulo 3 se estudi como se debe superar esta brecha, a
travs de un mtodo, que proporcione una secuencia definida de pasos para elaborar de
manera sistemtica a travs de una metodologa propuesta, un plan para la continuidad y
recuperacin ante desastres, a travs de la seleccin de un conjunto de estndares,
estableciendo la estrategia de adopcin, por medio de un buen candidato para marco de
gobierno de TI.
Aplicar la metodologa propuesta en una empresa de manufactura, para garantizar la reanudacin de
los procesos crticos dentro de los mrgenes de tiempo tolerables, asegurando la continuidad de las
operaciones, minimizando la posibilidad de prdida de informacin crtica para el negocio.
En el captulo 4, se hace una aproximacin acertada a detalle de la organizacin que se

quiere proteger, se identifican los riesgos, se evalan y posteriormente se decide sobre las
medidas que puedan mitigarlos. Para ello, se identificaron los activos de TICs de la
empresa; as como, las debilidades que pueden padecer, estimando probabilidades de
ocurrencia y asignndoles una importancia para la misin de la organizacin, que obligue
a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin
Por lo que se puede afirmar que se cumple con el objetivo general y los objetivos
particulares del presente Proyecto de Tesis.

Pgina 137
Captulo 5
Proyecto de Tesis.
5.3 Trabajos Futuros.

La metodologa propuesta trabaja un Plan de Recuperacin ante Desastres (por sus siglas
en ingls, DRP), incrustado sobre un Plan de Continuidad del Negocio (por sus siglas en
ingls, BCP), cuyo siguiente nivel que se propone y se considera como trabajo futuro, es
montarlo sobre la Administracin de Continuidad del Negocio (por sus siglas en ingls,
BCM), para lo cual se proponen las siguientes fases a desarrollar:
1. Administracin de la Continuidad del Negocio.
2. Coordinacin con autoridades pblicas.
Por lo que se requiere:
Un propsito de competencia y capacidad del BCM.

Creacin de conciencia en toda la organizacin.
Definicin y documentacin de un conjunto de principios del BCM.
Definicin y documentacin de un conjunto de guas y estndares mnimos del BCM
Definicin y documentacin de estrategias del BCM
Definicin y documentacin del marco operacional del BCM.
Asegurar el personal apropiado
Definicin y documentacin de procesos del programa del BCM de gestin de la
organizacin
Asegurar que los directivos y personal de la organizacin son conscientes y
cumplen con las normas pertinentes y requisitos legislativos

Pgina 138
Captulo 5
Proyecto de Tesis.
5.4 Conclusiones del Proyecto de Tesis.

La manufactura ha recibido recientemente cierto empuje de las tecnologas de la
informacin, permitiendo el diseo y desarrollo simultneo de productos, procesos y
actividades de apoyo, aportando una base confiable y flexible para el desarrollo de
plataformas de ingeniera concurrente. Frente a esta realidad, la operatividad de los
sistemas de informacin ocupa un lugar preponderante, ligado a la condicin
imprescindible de su disponibilidad absoluta.
Una alteracin de esta continuidad que impacte en forma relevante el normal desarrollo de
un servicio considerado crtico, es manejado a travs de un Plan de Continuidad el cual
se define como: una secuencia definida de pasos para elaborar de manera sistemtica un
mtodo que proporcione una combinacin de diferentes medidas para prevenir, detectar y
corregir las situaciones de riesgo, centrando sus esfuerzos en cuatro objetivos prioritarios:
eliminar las amenazas, minimizar la probabilidad de ocurrencia, minimizar los efectos y
transferir los riesgos.
Al inicio del presente proyecto de tesis, se concluy que no existe para la industria
de la manufactura, una metodologa con un enfoque integrado de todo el proceso
para la creacin de Planes de Continuidad del Negocio y Recuperacin ante
Desastres de TICs, por lo tanto se justific el desarrollo de una metodologa para superar
esta brecha, por medio de una estructura, que proporcione una secuencia definida de
pasos para elaborar de manera sistemtica un plan para la continuidad y recuperacin
ante desastres, a travs de la seleccin de un conjunto de estndares, estableciendo la
estrategia de adopcin, por medio de un candidato para marco de Gobierno de TI con un
buen nivel de madurez y que cubra la diversidad de actividades, complementado en temas
especficos con otros estndares, buenas prcticas y metodologas manteniendo la
concordancia.
La metodologa propuesta se aplic, en una empresa de manufactura de empaques de
cartn, por lo que se conoci con detalle la organizacin a proteger, se identificaron los
riesgos, se evaluaron y posteriormente se aplicaron medidas para mitigarlos. Para ello, se
identificaron los activos de la empresa; as como, las debilidades que padece, se
estimaron probabilidades de ocurrencia y se asign una importancia para la misin de la
empresa, desprendiendo las siguientes conclusiones:
Ayud a conocer y entender de forma detallada el negocio al que se dedica la
organizacin, obteniendo como resultado un plan de continuidad ptimo, por lo que el

Pgina 139
Captulo 5
Proyecto de Tesis.
desarrollo del Plan analiz todos los recursos (humanos, tecnolgicos, datos vitales,
infraestructura, etc.), a travs del conocimiento del negocio como un todo, mas no como
procesos, actividades o funciones individuales.
Permiti a la empresa identificar, analizar, evaluar y diagnosticar amenazas internas y
externas que representan riesgos a las actividades crticas de la organizacin, se calific
el impacto que genera una interrupcin y cuantifico, permitiendo que la empresa se
prepare econmica y operacionalmente brindando estabilidad a su negocio, por medio de
la definicin y documentacin de procedimientos y estrategias de recuperacin.
Desarroll planes de concientizacin a los empleados, proporcionando seguridad ante una
situacin que requiera el uso del Plan.
Se asegur la funcionalidad del Plan a travs del desarrollo de pruebas, mantenimiento y
actualizaciones, para que este pueda ser usado en cualquier momento cuando se
presenten cambios en la organizacin.
Minimizo costos derivados de la cada de los Sistemas de Informacin Basados en
Computadoras y maximiz las utilidades, al apoyar al desarrollo de nuevos Sistemas de
Informacin que impactan al negocio.
En lo particular, el desarrollo del presente trabajo de tesis, me ha dejado en claro, las
diferentes competencias profesionales que requiere la industria de la manufactura para el
personal de TICs, las cuales representan oportunidades y amenazas importantes:
Sistema de Gestin de la calidad de desarrollo de software (CMMI / SSE / CMM).
Sistema de Gestin de la calidad del producto (ISO 9001).
Sistema de Gestin de servicios de TI (ITIL / ISO 20000).
Sistema de Gestin de la Seguridad de la informacin (ISO 27001 / 27005).
Sistema de Gestin de la Continuidad del Negocio (BS25999 / ISO 27005).
Sistema de Gestin de Proyectos (PMBOK / PRINCE2).
Gobierno de TI (COBIT / ISO 38500).
Sistema de Gestin de estrategias de negocio (BSC).
Gobierno de las inversiones en TI (ValIT).
Sistema de Gestin de riesgo empresarial (COSO).
Reguladores de negocio (SOX / BASILEAII / PCI).

Pgina 140
Captulo 5
Proyecto de Tesis.
Por lo que fue necesario complementar el conocimiento anterior, adquirido a lo largo de

dieciocho aos de experiencia con temas orientados a la manufactura de productos de
consumo:
Distribucin de rea de trabajo / Diseo de equipo de prueba.
Distribucin de planta / Diseo electrnico.
Administracin de materiales / Diseo de tecnologas.
Diseo de estaciones de trabajo / Adaptacin de tecnologas.
Ingeniera de procesos / Diseo de interfaces.
Planeacin y control de produccin / Ingeniera de desarrollo de productos.
Manufactura.
Evaluacin de materiales.
Evaluacin de equipos.
Coordinacin de corridas piloto / Elaboracin de prototipos.
Mejoramiento del proceso / Robtica.
Diseo de herramientas para el ensamble.
Implementacin de sistemas de calidad / Enlace entre diseo y manufactura.
Implementacin de estndares / Soporte a la produccin.
Implementacin de nuevas tecnologas.
Implementacin de nuevos productos / Corridas de pruebas.
Integracin de sistemas / Ingeniera de software.
Y por lo tanto, comprender las relaciones empresa/proceso/mquina/humano, llevndome

a un nuevo nivel de visin organizacional y de manejo de relaciones inter personales
horizontal y verticalmente a travs de la estructura organizacional.
Lo anteriormente expresado me permiti integrar los conocimientos adquiridos, con una
visin sistmica, donde los elementos anunciados convivan en un entorno simbitico
mutualista en una relacin de sinergia estable: Robusta, competente y complementaria;
bajo el modelo sustentable de la metodologa propuesta.

Pgina 141
Captulo 5
Proyecto de Tesis.
BIBLIOGRAFA
[Barnes, 2001]
Barnes C.J., A Guide to Business Continuity Planning, John Wiley & Sons, 1a.
edicin (May 2001), Pp. 55-86.
[Barros, 2001]
Barros O., Arquitectura y Diseo de Procesos de Negocio, Documentos de

trabajo, No. 86, Centro de Gestin (CEGES) Departamento de Ingeniera Industrial
Universidad de Chile, 2001.
[Chase, 2000]
Chase, R.B., Aquilano, N.J., Jacobs, F.R., Administracin de Produccin y

Operaciones, McGraw-Hill, Junio 2000, Pp 160-223.
[CISA, 2006]
CISA, Manual para la preparacin para el Examen CISA, Asociacin de Auditora

y Control de Sistemas de Informacin, Estados Unidos de Amrica, Noviembre
2006.
[Galindo, 2006]
Galindo L., Una Metodologa para la Planeacin Estratgica de Sistemas de

Informacin, Memorias del 2 Congreso Internacional de Metodologa de la
Ciencia y la Investigacin para la Educacin, Asociacin Mexicana de Metodologa
de la Ciencia y de la Investigacin, A.C. y ESIME Unidad Culhuacan, Mxico D.F.,
Mayo 2006.
[Galindo, 2006]
Galindo L., Una Metodologa para el Desarrollo de Sistemas de Informacin

Basados en Computadoras, Memorias del 2 Congreso Internacional de
Metodologa de la Ciencia y la Investigacin para la Educacin, Asociacin
Mexicana de Metodologa de la Ciencia y de la Investigacin, A.C. y ESIME
Unidad Culhuacan, Mxico D.F., Mayo 2006. Pp. 143-146.
[Galindo, 2007]
Galindo L., Una Metodologa Bsica para el Desarrollo de Sistemas, Memorias

del 3er. Congreso Internacional de Metodologa de la Ciencia y la Investigacin
para la Educacin, Asociacin Mexicana de Metodologa de la Ciencia y de la
Investigacin, A.C. e Instituto Campechano, Campeche, Camp., Marzo 2007.
[Galindo, 2008]
Galindo L., Metodologa para la Creacin de la Tabla Metodolgica o Solucin

Integral, Memorias del 3 Congreso Internacional de Metodologa de la Ciencia y
la Investigacin para la Educacin, Asociacin Mexicana de Metodologa de la
Ciencia y de la Investigacin, A.C. y CFIE del IPN, Mxico D.F., Junio 2008.
[Garca, 2004]
Rodolfo, G.F., Ingeniera Concurrente y Tecnologas de la Informacin, Memorias

del 4 Congreso Internacional de Ingeniera Mecnica y de Sistemas, Facultad de
Ingeniera Mecnica y Elctrica, UANL, Enero-Marzo 2004, Vol. VII, No. 22.
[Hiles, 2000]
Hiles A., Business Continuity: Best Practices, Rothstein Associates, Junio 2000,
Pp. 88-102.

Pgina 142
Captulo 5
Proyecto de Tesis.
[Rodrguez, 2005]
Rodrguez A., Hacia la definicin de procesos de negocio seguros, basados en

una arquitectura dirigida por modelos, 3er congreso Iberoamericano de Seguridad
Informtica, Universidad del Bio Bio, Dpto de Auditora Informtica, Chile 2005.

Pgina 143
Captulo 5
Proyecto de Tesis.
REFERENCIAS A INTERNET
[BCI, 2002]
BCI, Exercising, maintenance and audit, Versin BCI DJS 1.0 01/11/02, [Artculo
en lnea], Fecha de consulta: [16/06/2010].
http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%205.pdf
[BCI, 2007]
BCI, A Management Guide to Implementing Global Good Practice in Business

Continuity Management, Section 2 Understanding The Organisation, Octubre
2007, [Artculo en lnea], Fecha de consulta: [23/03/2010].
http://www.thebci.org/GPG2008V1%20Section2.pdf
[BSI, 2009]
BSI, Avalution Consulting, LLC & BSI Management Systems America,How To

Deploy Bs 25999, 2009, [Artculo en lnea], Fecha de consulta: [26/04/2010].
http://www.avalution.com/PDF/How_to_Deploy_BS_25999.pdf
[DRI, 2004]
DRI, Risk evaluation & control, 2004, [Artculo en lnea], Fecha de consulta:
[29/04/2010].
http://www.drii.org/DRII/ProfessionalPractices/Pro_02.aspx
[DRI, 2004]
DRIl, Business Impact Analysis, 2004, [Artculo en lnea], Fecha de consulta:

[3/05/2010].
[DRI, 2004]
DRII, Emergency response & operation, 2004, [Artculo en lnea], Fecha de

consulta: [13/05/2010].
[ISO, 2009]
ISO, Otros Estndares, 2009, [Artculo en lnea], Fecha de consulta:

[20/07/2010].
http://www.iso27000.es/otros_estandar.html
Lesmes A.M., TIC y Sector Productivo. (Lo ms destacado del 2009),
Coordinadora TIC y Sector Productivo Corporacin Colombia Digital, 2009,
[Artculo en lnea], Fecha de consulta: [18/01/2010].
http://www.ccdboletin.net/index.
[Lesmes, 2009]
[Macau, 2004]
Macau R., TIC: Para qu? (Funciones de las tecnologas de la informacin y la

comunicacin en las organizaciones), Revista de la Universidad y Sociedad del
Conocimiento (RUSC). Vol. 1., 2004, [Artculo en lnea], Fecha de consulta:
[19/01/2010].
http://www.uoc.edu.
[SDG Consulting,
2010]
SDG Consulting: El Balanced Scorecard como sistema de gestin estratgica,

por Alejandro Martnez, Consultant SDG Consulting, [Artculo en lnea], Fecha de
consulta: [01/02/2010].

Pgina 144
Captulo 5
Proyecto de Tesis.
http://www.sdggroup.com/file/c-spain/2009%20Focus%20Q4%20%20la%20Organizacion%20orientada%20a%20la%20estrategia.pdf
[Sotelo, 2008]
Sotelo M.B.: Gestin de Tecnologas de la Informacin, Lima - Per, Diciembre

2008. [Artculo en lnea], Fecha de consulta: [19/02/2010].
http://www.esutic.com/26437-e-book-gestion-ti-2009-02.pdf

Pgina 145
Anexo A
Estndar BS25999
ANEXO A: ESTNDAR BS25999, CONTINUIDAD DEL NEGOCIO.
FASES DE LA ADMINISTRACIN DE LA CONTINUIDAD

DEL NEGOCIO (BCM)
A.
INICIO Y GESTIN DEL PROYECTO.
Despus de realizar la evaluacin y el control de riesgos, los

resultados
obtenidos
incluyen
la
identificacin
y
documentacin de:
El objetivo de esta primera fase, es establecer la necesidad de

desarrollar el BCM en la organizacin, de tal manera que se
comunique la importancia de realizar este plan, involucrando a
los directivos y el personal de la empresa. Para esto, es
importante:
Definir un comit responsable del plan.

Asignar responsabilidades por cada equipo de
trabajo.
Indicar las actividades de cada una de las fases del
proyecto.
Documentar los procesos.
Presentar los avances.
Obtener la aprobacin por parte de los directivos.
Las responsabilidades del coordinador de esta etapa son:
B.
Dirigir la definicin de objetivos, polticas y

actividades crticas.
Coordinar y organizar directores por cada fase del
proyecto.
Controlar el proceso de BCM a travs de mtodos de
control efectivo y gestin de cambio.
Desarrollar el plan y presupuesto para iniciar el
proceso.
Definir y recomendar procesos de estructura y
gestin.
Dirigir el proyecto a desarrollar e implementar el
proceso del BCM.
C.
Para realizar una evaluacin y control de riesgos se debe tener

en cuenta lo siguiente:
La probabilidad de ocurrencia, en la organizacin, a

un tipo especfico de amenaza.
Concentracin de riesgos donde el nmero de
Actividades de Misin Crtica es localizado dentro
del mismo edificio o en el mismo lugar.
Una evaluacin y anlisis de riesgos (combinado con
un Anlisis de Impacto del Negocio - BIA).
Una estrategia de gestin de control de riesgo y plan
de accin.
El enfoque de priorizacin del BCM y control de
riesgos.
ANLISIS DE IMPACTO DEL NEGOCIO (BIA)
El Anlisis de Impacto del Negocio (BIA Business Impact

Analysis) consiste en tcnicas y metodologas que pueden ser
usadas para identificar, cuantificar y cualificar los impactos de
negocio y sus efectos en una organizacin en caso de prdida
o interrupcin de las Actividades de Misin Crtica. Sin
embargo, la clave para realizar un Anlisis de Impacto del
Negocio es analizar el negocio como un todo ms no como
componentes, procesos o funciones individuales.
El anlisis BIA tiene en cuenta el RTO (Recovery Time
Objective) y RPO (Recovery Point Objective) que deben ser
establecidos por la organizacin y estn definidos como:
EVALUACIN Y CONTROL DE RIESGOS
El objetivo de la evaluacin de riesgos es identificar las

amenazas internas y externas, incluyendo concentraciones de
riesgo, que pueden causar la interrupcin o prdida de las
Actividades Crticas de una organizacin, as como la
probabilidad (o frecuencia) de que ocurra una amenaza y
cmo es vulnerable una organizacin a varios tipos de
amenazas permitiendo su gestin de priorizacin y control
para formar una base en la que se establezca un programa de
control y un plan de accin de gestin de riesgo.
Gestin y Control de riesgos
RTO (recovery Time Objective): El tiempo entre el

punto de interrupcin, y el punto en el cul los
sistemas sensibles en el tiempo deben estar
funcionando
nuevamente,
con
los
datos
actualizados.
RPO (Recovery Point Objective): El punto en el cul
fueron interrumpidas las actividades del sistema
debido a la ocurrencia de un determinado evento.
El objetivo de un Anlisis de Impacto del Negocio es identificar

las actividades de misin crtica de una organizacin, sus
dependencias y sus puntos de fallas as como analizar el
impacto y el efecto que se generara en caso de la perdida e
interrupcin de las actividades de misin crtica. A su vez,
informar y permitir opciones para crear una resistencia en las
operaciones de negocio de la organizacin.
Sin embargo, el BIA posee los siguientes componentes claves:
Identificar riesgos
Anlisis/Evaluacin de riesgos

Cuestionarios de autovaloracin papel y digitales.
Pgina A.1
Anexo A
Estndar BS25999
.
Para cumplir con este propsito es necesario que:
Listas de comprobacin.
Una Matriz de Anlisis de Impacto del Negocio.
Despus de realizado el BIA, se obtendrn como resultados, la

identificacin y documentacin de:
D.
Objetivos y salidas (servicios y productos).

Actividades de Misin Crtica, sus dependencias y
puntos de falla.
Impactos y efectos (consecuencias) financieros y no
financieros como resultado de una interrupcin o
prdida de una o ms actividades de misin crtica
durante varios periodos de tiempo.
Los objetivos del BCM para cada actividad de misin
crtica y sus dependencias.
Una priorizacin mnima y aceptable de la
recuperacin de los recursos.
Registros/datos vitales.
Usuarios y Clientes Claves.
Proveedores (tanto dentro como fuera de la
organizacin).
DESARROLLO
DE
ESTRATEGIAS
CONTINUIDAD DEL NEGOCIO.
PARA
F.
DESARROLLO E IMPLEMENTACIN DEL BCM.
Esta fase involucra el diseo, desarrollo e implementacin de

planes de continuidad del negocio para evitar interrupciones
de acuerdo a los marcos establecidos por los RTOS y RPOS.
Un buen desarrollo e implementacin de un BCM incluye:
LA
El propsito del desarrollo de estrategias consiste en identificar

las alternativas de recuperacin de las operaciones en los
marcos de tiempo definidos.
El desarrollo de las estrategias del BCM involucra los

siguientes aspectos:
E.
Identificar los requerimientos de continuidad de la

organizacin.
Evaluar la compatibilidad de las estrategias contra
los resultados del BIA.
Presentar el anlisis costo / beneficio de las
estrategias de continuidad.
Seleccionar los sitios alternos y de almacenamiento
externo.
Entender los trminos contractuales de los servicios
de continuidad del negocio.
Algunas de las alternativas de recuperacin comprenden

estrategias de almacenamiento externo a la organizacin (Ej.
Hotsite, coldsite, etc.), a su vez procedimientos de
recuperacin interna documentados, as como acuerdos
recprocos entre empresa-empresa y/o empresa-cliente, o una
utilizacin de combinacin de estrategias.
RESPUESTA ANTE EMERGENCIAS
El propsito de la fase de respuesta ante emergencias es

desarrollar e implementar procedimientos para responder y
estabilizar la situacin despus de un incidente y administrar el
centro de operaciones de emergencia a ser utilizado como
centro de mando
Identifique componentes de los procedimientos de

respuesta a emergencia.
Especifique los procedimientos de respuesta a
emergencia.
Identifique requerimientos de control y autoridad.
Procedimientos de control y autoridad.
Respuesta a emergencia y recuperacin de heridos.
Seguridad y recuperacin.
G.
Identificar requerimientos para el desarrollo de los

planes.
Definir requerimientos de control y administracin de
la continuidad.
Identificar y definir un formato y la estructura
principal de los componentes de los planes.
Elaborar un borrador de los planes.
Definir procedimientos de gestin de crisis y
Definir las estrategias de evaluacin de daos y
reanudacin.
Desarrollar una introduccin general a los planes.
Desarrollar la documentacin de los equipos de
operacin del negocio.
Desarrollar la documentacin de los equipos de
recuperacin de tecnologa de informacin.
Desarrollar el sistema de comunicaciones.
Desarrollar los planes de los usuarios finales de
aplicaciones.
Implementar los planes.
Establecer los procedimientos de control y
distribucin de los planes.
PROGRAMA
DE
CONCIENTIZACIN
ENTRENAMIENTO DEL BCM
Toda organizacin que quiera posicionarse en el mercado y

estar preparada a cambios en su entorno, requiere de un
constante proceso de evolucin. Este proceso genera en la
mayora de los casos, cambios al interior de la empresa.
Siempre que se presentan estos cambios existe un porcentaje
de resistencia al cambio relacionado con el personal que
interviene en dicho proceso.
Es necesario que la organizacin prepare a sus empleados
ante la presencia de un cambio, logrando minimizar esa
resistencia y obteniendo la mejor disposicin ante situaciones

Pgina A.2
Anexo A
Estndar BS25999
de este tipo creando una cultura de aceptacin ante un evento

que perturbe su labor.
Son estos algunos motivos por los cuales se presenta en la

gestin de continuidad de negocio una fase en la cual se trata
la concientizacin y entrenamiento del BCM y su relacin con
la implementacin mantenimiento, gestin y ejecucin del
mismo. Este proceso de conciencia es necesario que se
realice en toda la organizacin (no solamente en el rea de TI)
logrando aumentar la resistencia ante riesgos.
Para lograr una concientizacin y entrenamiento en necesario:
Definir objetivos de concientizacin y entrenamiento

Desarrollar e implementar varios tipos de programas
de entrenamiento
Desarrollar programas de concientizacin
Identificar otras oportunidades de educacin
H.
MANTENIMIENTO Y EJERCICIO DEL BCM
El punto D y F hacen referencia a la realizacin, desarrollo e

implementacin de estrategias y/o planes, con el objetivo de
su utilizacin ante una situacin de interrupcin de un proceso
en la organizacin. Una vez que se han declarado y
documentado estas estrategias y planes, que contribuyen al
proceso de normalizacin ante una situacin de crisis, es
necesario realizar pruebas para determinar la eficacia con la
que puede continuar el negocio ante la presencia de una
posible interrupcin. As mismo se puede evaluar el equipo y
personal a cargo de cada actividad crtica, adems se realizara
una prueba al sistema demostrando competencia y capacidad
de continuidad de negocio.
Los propsito de realizar el ejercicio son: 1. Evaluar y permitir
el continuo mejoramiento del BCM en la organizacin logrando
una recuperacin prioritaria de las actividades criticas de
acuerdo con los objetivos de tiempo de recuperacin y los
objetivos de punto de recuperacin asegurando un nivel
mnimo de continuidad del negocio. 2. Permite evaluar y
mejorar la capacidad de competencia ante la gestin de crisis.
Con la realizacin del ejercicio se pueden determinar varios
aspectos, entre los cuales se listan:
Identificar el nivel de madures del BCM de la

organizacin
Verificacin y validacin que la capacidad y
competencia de la gestin de crisis de la
organizacin es efectiva, actualizada y ajustada a
los propsitos y permiten la gestin, control y
coordinacin de eventos y estrategias del BCM a
nivel tctico y operacional.
Verificacin y validacin que los miembros y
personal se familiarizan con el entendimiento de
roles, responsabilidades y autoridades en la
operacin de la continuidad del negocio y proceso

de administracin de crisis.
La formacin de conciencia involucrando individuos
usando la continuidad del negocio y los planes de
gestin de crisis
El ensayo y familiarizacin de los miembros del
equipo y personal con sus roles responsabilidad y
autoridad en la operacin de la continuidad del
negocio y planes de gestin de crisis.
Pruebas tcnicas, logsticas, de administracin y
otras de sistemas operacionales de continuidad del
negocio y planes de gestin de crisis.
Probar la organizacin e infraestructura de la gestin
de continuidad del negocio, incluye centros de
comando, reas de trabajo, recursos de
recuperacin de tecnologa y telecomunicaciones.
El ensayo de la disponibilidad y traslado del
personal.
Verificacin y validacin que el plan de continuidad
de negocio refleja las actuales prioridades del
negocio.
La disposicin de mecanismos para reforzar la
continuidad del negocio y auditoria y mantenimiento
de la gestin de la crisis.
Una demostrable continuidad del negocio, capacidad
y competencias en la gestin de crisis.
Documentar resultados
Incrementar la cultura de los procedimientos de
conciencia.
Incrementar la conciencia del significado del BCM
La oportunidad de identificar defectos y mejoras de
la organizacin del BCM, administracin de crisis y
planes de continuidad de negocio.
Documentacin y evaluacin del ejercicio.
Para lograr estos resultados es necesario seguir un proceso

en la elaboracin de una prueba. Principalmente es necesario
establecer directores de cada rea de organizacin, luego se
planificaran los escenarios en los cuales se van a llevar a cabo
las pruebas.
Estas pruebas deben tener un grupo de
administracin, logstica, recursos, listas de verificacin,
estructura, posteriormente al haber planificado el ejercicio se
harn las consideraciones del programa, se documentar el
ejercicio junto con la informacin de los participantes, se
proceder a la realizacin del ejercicio luego se evaluar y se
har un anlisis de los resultados con el objetivo de tenerlos
en cuenta en pruebas posteriores junto con sus
recomendaciones.
1). Mantenimiento
El proceso de gestin de continuidad de negocio no finaliza
con la realizacin del documento en el cual se plasman
estrategias y se asignan roles o equipos de trabajo a las reas
organizacionales; es quizs el proceso de mantenimiento del
plan un punto importante si se quiere hacer uso de ste,

Pgina A.3
Anexo A
Estndar BS25999
considerando que el negocio contina y est en constante

cambio.
estndar ISO 17999 el cual trata sobre la seguridad de TI ser

de gran ayuda.
El propsito de este proceso de mantenimiento es asegurar

que la gestin de continuidad del negocio incluyendo la gestin
de crisis permanezca efectivo, con el objetivo de ser capaz de
lograr la recuperacin de actividades de misin crtica y sus
dependencias dentro de los objetivos de tiempo de
recuperacin y los objetivos de punto de recuperacin
asegurando una continuidad de sus servicios y productos.
Para la realizacin de cualquier plan es necesario tener en

cuenta la legislacin existente, para tener una base y cumplir
con la normatividad que se exige.
Con la realizacin del mantenimiento al BCM podremos

obtener:
El proceso de mantenimiento requiere de un subconjunto de

procesos auditoria ejercicio y aseguramiento que permiten su
fortalecimiento, capacidad de continuidad y soporte a la
gestin de continuidad de negocio en su aplicacin a la
organizacin cuando lo requiera.
2). Auditoria
Pruebas definidas y documentadas para la gestin y

gobierno pro activo del programa de mantenimiento
y monitoreo del BCM respecto a actividades de
misin crtica y sus dependencias.
Detalles de todos los cambios de estrategias del
BCM y planes de continuidad de negocio
documentados con toda la historia de estrategias y
detalles de control de versiones.
Verificacin y validacin de polticas, estrategias y
planes BCM
Identificacin e inclusin de cambios en los sistemas
y proceso de la organizacin.
Identificacin e inclusin de cambios en legislacin y
regulacin para la industria.
Verificacin y validacin de anlisis de impacto y de
riesgos basados en las estrategias y planes BCM
Verificacin y validacin que las estrategias y planes
BCM son actualizados, precisos y completos.
Verificacin y validacin que la capacidad del BCM
(incluyendo planes y estrategias) son actualizadas
Verificacin y validacin que los planes continuidad
de negocio siguen una secuencia lgica, formato,
estructura conforme a las directrices y estndares de
buenas prcticas.
Verificacin y validacin que los cambios de
procedimiento y procesos son puestos.
Verificacin y validacin que el personal tiene
entendido los roles de responsabilidad y le es claro
el plan BCM.
Los resultados que se obtendrn con el proceso de

mantenimiento son de gran utilidad para la organizacin,
previniendo que los documentos realizados queden obsoletos
con el paso de los aos. Para realizarlo es necesario tener una
clara definicin y documentacin del programa de
mantenimiento y monitoreo, incluyendo polticas, marcos y
procesos as como la estrategia de negocio operacional.
La tecnologa de informacin TI es un gran apoyo en los
proceso de una organizacin, es necesario que se realice un
anlisis de la tecnologa requerida por la organizacin cuando
se tienen interrupciones en el sistema, para este punto el
Luego de haber realizado los procesos de ejercicio y

mantenimiento sigue un proceso de auditora que se hace
necesaria en cualquier proceso al interior de la organizacin.
El propsito de la auditoria en la gestin de continuidad de
negocio es revisar los estndares del BCM identificando
defectos y dificultades, proporcionando recomendaciones de
acuerdo a estndares predefinidos.
La auditora revisara varios aspectos en la organizacin
algunos de ellos son:
Resistencia (aplicacin de planes y estrategias en

crisis)
Polticas, estrategias, marcos y planes contina bajo
presin de acuerdo a estrategias, prioridades y
objetivos.
Polticas, estrategias, marcos y planes contina bajo
presin de acuerdo a las directrices de buenas
prcticas.
El BCM es competente de acuerdo al propsito
Los planes y soluciones son efectivos y actualizados
de acuerdo al propsito
Implementa sus programas
Documenta el control, procesos y procedimientos
operando efectivamente
En la realizacin de la auditoria como en cualquier proceso

existen componentes. Para el caso se mencionan algunos
como son: definicin y documentacin del programa de
auditoria, auditar el plan de auditoria, buscar expertos internos
y externos, aplicar los estndares de auditoria, actualizar
estrategias del BCM, tener en las normas de requerimientos,
legislacin directrices de buenas prcticas, estndares (ISO
17999), realizar programas de conciencia y formacin,
actualizar anlisis de impacto, estrategias y planes a ser
auditados.
Para poder obtener estos resultados el proceso de auditoria
debe seguir mtodos y/o tcnicas que optimicen este proceso.
Algunas tcnicas y/o metodologas que se nombran son: Auto
evaluacin, auditoria forense, cumplimiento de auditoria,
diligencia auditoria, viabilidad de auditoria, control de auditoria,

Pgina A.4
Anexo A
Estndar BS25999
mejor valor auditado. Con el seguimiento de estas tcnicas y la

ayuda de los responsables, el proceso de auditoria podr
cumplir su propsito y as dar un informe para la organizacin
en el cual se presenten los resultados de los procesos
auditados.
A continuacin, se describen algunos resultados:
En el proceso de auditoria intervienen varios pasos:
Clara identificacin y documentacin del tipo de

auditoria
Clara identificacin y documentacin de objetivos de
auditoria
Clara identificacin y documentacin del marco de
auditoria ISO 17799
Clara identificacin y documentacin del alcance de
la auditoria.
Clara identificacin y documentacin de la propuesta
de auditoria
Clara identificacin y documentacin de criterios de
evaluacin de la auditoria
Clara identificacin y documentacin de roles
Clara identificacin y documentacin de recursos
financieros y otros requeridos
Requerimientos
del
programa
de
auditoria
comunicados a los usuarios
Actividades de auditoria
El documento que contiene las polticas de la organizacin

deber estar compuesto por los siguientes aspectos entre
otros:
Luego de haber realizado el proceso de auditoria la

organizacin tendr definido y documentado este proceso y se
preparara para realizar un plan de accin y un programa de
monitoreo.
I.
El alcance
Declaracin del contenido de las polticas
Objetivos
Roles, responsabilidades
Detalles de otro material pertinente.
COMUNICACIN DE CRISIS
La etapa de comunicacin de crisis se propone desarrollar,

coordinar, evaluar y ejercitar planes para comunicarlos a
directivos, personal, usuarios, proveedores y medios de
comunicacin, de tal forma que el entorno de la organizacin
se entere de su estado y en caso de crisis poder reaccionar de
forma adecuada para minimizar los costos de interrupcin de
los procesos internos.
Como tcnicas o metodologas para el desarrollo de este

proceso de declaracin de polticas se mencionan las
siguientes:
Para ello, el BCM debe contener un listado de clientes,

proveedores y medios de comunicacin entre otros, en el cual
se muestren los datos bsicos de cada contacto.
J.
Un efectivo propsito de competencia y capacidad

del BCM.
Creacin de conciencia en toda la organizacin.
Una clara definicin y documentacin de un conjunto
de principios del BCM.
Una clara definicin y documentacin de un conjunto
de guas y estndares mnimos del BCM
Una clara definicin y documentacin de estrategias
del BCM
Una clara definicin y documentacin del marco
operacional del BCM.
Asegurar el personal apropiado
Una clara definicin y documentacin de procesos
del programa del BCM de gestin de la organizacin
Una clara definicin y documentacin de garanta de
procesos del programa BCM de gestin de la
organizacin
Asegurar que los directivos y personal de la
organizacin son concientes y cumplen con las
normas pertinentes y requisitos legislativos
COORDINACIN CON AUTORIDADES PBLICAS
En esta etapa se quiere que la organizacin tenga una clara

definicin y documentacin de las polticas a implementar
como un documento obligatorio en la organizacin.
Por lo tanto, en este proceso la organizacin vera los
resultados en la mejora de los procesos de toda su
organizacin, teniendo en cuenta que las polticas estn
dirigidas a la organizacin como un todo.

Revisin de las polticas actuales.

Investigacin de origen externo de guas.
Investigacin dentro de la organizacin para
identificar versiones actuales e informacin
concerniente al BCM relacionada con declaraciones
y polticas.
Identificar y adoptar o modificar una poltica BCM de
otra organizacin que es considerada de buenas
prcticas.
Estado actual de evaluacin, anlisis y revisin de
polticas internas y externas para manejar el ncleo
de los componentes de una poltica BCM nueva o
corregida.
Organizacin de grupos multidisciplinarios.
Consulta de profesionales externos.
Circulacin de borradores de una poltica BCM para
ver reaccin y comentarios.
Pgina A.5
Anexo A
Estndar BS25999
Toda declaracin de documentos sigue un proceso, en el caso

de declaracin de las polticas de la organizacin se enumeran
los siguientes procesos:
Identificacin y documentacin de los componentes

de una poltica BCM
Identificacin de algunos estndares relevantes, gua
de buenas prcticas, regulacin y legislacin que
impactan la poltica BCM.
Identificar polticas BCM de otras organizaciones que
actuara como un punto de referencia.
Revisar y conducir un anlisis de interrupciones de
las polticas BCM actuales de la organizacin y el
punto de referencia de polticas externas como
requerimientos para una nueva poltica BCM.
Desarrollar un borrador de una poltica BCM nueva o
corregida.
Circulacin de polticas borradores para consulta.
Enmendar el borrador de polticas BCM, apropiado
basada en la reaccin de la consulta.
Publicar y distribuir Polticas de Continuidad de
Negocio usando un sistema de control de versiones
apropiado.

Pgina A.6
Anexo B
Metodologa DRII
ANEXO B: METODOLOGA DRII, CONTINUIDAD DEL NEGOCIO.
INICIO Y ADMINISTRACIN
1.1 Presentacin del proyecto
1.1.1 Participantes
Se definirn claramente las personas del rea que
elaborarn el plan de contingencia.
1.1.2 Fecha de inicio y fecha de terminacin
Se fijar una fecha de inicio especfica y una fecha
tentativa de terminacin.
1.1.3 Mecanismo de reporte y seguimiento
Se especificar(n) el (los) mecanismo(s) de reporte y
seguimiento acordado(s)
con los directivos del
rea.
1.2 Objetivos y Alcance
1.2.1 Objetivos
Se enumerarn los objetivos generales del

plan.
Se enumerarn los objetivos especficos del

plan.
1.2.2 Alcance
Se enumerarn los escenarios para los que el plan
est diseado.
1.3 Equipos y responsabilidades
Se
asignarn
responsabilidades
para
la
administracin del proyecto y se conformarn los
grupos de trabajo encargados del
Plan de
contingencia del rea, detallando los roles e
integrantes de cada equipo. A continuacin se
muestran algunos ejemplos.
1.3.1 Equipo Administracin del proyecto
Es el equipo encargado de evaluar las decisiones
que se toman en cada una de las fases, y de aprobar
las estrategias y el presupuesto involucrado;
adems, velar por la vigencia del plan del rea y
mantendr certificada el rea en continuidad del
negocio.
1.3.2 Equipo Atencin de la emergencia
Es el equipo que atiende la emergencia en primera
instancia y realiza las respectivas acciones de
notificacin en el rea.
1.3.3 Equipo Evaluador de riesgos
Es el equipo encargado de evaluar peridicamente
los riesgos inherentes al servicio y mantener
enterado al equipo de continuidad del negocio de la
necesidad de generar nuevas estrategias o de hacer
mantenimiento al plan.
REQUERIMIENTOS FUNCIONALES
2.1 Conocimiento del negocio
2.1.1 Descripcin funcional del negocio
Se realizar una descripcin del rea en cuestin
incluyendo sus objetivos y responsabilidades.
2.1.2 Seleccin de procesos crticos

2.1.2.1 Criticidad
Se identificarn todos los procesos crticos que se
realizan en el rea, las actividades involucradas en
ellos de manera secuencial, su periodicidad y se
calificar su criticidad de 1 a 3, donde 1 es el nivel
ms alto.
Se suministrar la siguiente informacin para cada
proceso:
Nmero del proceso o tarea
Nombre del proceso
Descripcin del proceso o tarea
Producto o servicio relacionado con el proceso

2.1.2.2 Informacin externa de apoyo
Para los procesos de criticidad 1 y 2, se identificar
la informacin que no pertenece al rea y que apoya
el proceso. Se relacionarn las reas con las que
interacta el proceso y el tipo de informacin a
travs del cual interactan.
Si el proceso no interacta con otras reas, se debe
especificar el nombre del rea que ejecuta el
proceso en la dependencia origen y en la
dependencia destino; de lo contrario, se deben
anotar todas las dependencias tanto origen como
destino.
Dependencia origen: reas o departamentos de

donde proviene la informacin.
Dependencia destino: reas o departamentos

hacia donde se dirige la informacin.
2.1.3 Identificacin de tiempos crticos
2.1.3.1 Horarios, RTO y RPO
Se establecern los horarios crticos de ejecucin de
los procesos con prioridades 1 y 2 y el tiempo
mximo que tienen para su recuperacin (RTO), as
como el punto de recuperacin de los datos que se
requieran para el proceso (RPO).
Frecuencia de ejecucin. D: Diario; S: Semanal;

Q: Quincenal; M: Mensual; B: Bimestral; T:
Trimestral; R: Semestral; A: Anual; O:
Ocasional.
Tiempo esperado de recuperacin Se refiere al

tiempo mximo que el proceso puede esperar
sin que impacte de manera considerable a los
clientes, entes de control, usuarios internos y
entes externos.
Tiempo lmite de ejecucin Hace referencia a

los procesos que se deben ejecutar en una
fecha especfica o a una hora determinada.
o
Fecha mxima de ejecucin: ltimo da en
el que se puede ejecutar el proceso. Ej.:
Da 10 (transmisin balance a la
Superintendencia Bancaria); Todos los

Pgina B.1
Anexo B
Metodologa DRII
das (transmisin de tasas a la

Superintendencia Bancaria).
o
Hora mxima de ejecucin: hora lmite
para ejecutar el proceso. Ej.: 8:00 a.m.
(transmisin
de
tasas
a
la
Superintendencia Bancaria).
2.2 Inventario de recursos
Se debe hacer un inventario de todos los recursos
que soportan cada proceso dentro del rea, ya que
stos son la fuente fundamental del anlisis de
riesgo. Se debe realizar una descripcin detallada de
cada uno de ellos (recursos de tipo informacin,
tecnolgico, instalaciones fsicas y humano, entre
otros), indicando si forman parte esencial del sistema
o proceso o si, por el contrario, en ausencia de ste
el proceso puede llevarse a cabo aunque sea de
manera parcial.
2.2.1 Inventario de informacin
Se han de incluir el tipo de informacin, su
descripcin y el mecanismo en la que sta es
actualiza.
2.2.1.1 Entidades externas y clientes
Se debe relacionar (para cada proceso crtico
definido anteriormente) todo el intercambio de
informacin con los clientes y los entes externos,
puesto que es importante tener en cuenta la
informacin que enva o recibe la entidad y el medio
de intercambio:
Nmero del proceso o tarea: este nmero debe

coincidir con el nmero del proceso asignado
en la seleccin de procesos crticos.
Entidad externa o cliente: se debe especificar

con quin se realiza el intercambio de
informacin.
Entrega/Recepcin: se debe especificar si la

informacin la entrega el banco o si, por el
contrario, la recibe.
Descripcin: Se debe proporcionar una breve

descripcin del tipo de informacin que se
intercambia.
Medio de transmisin o intercambio: Se debe

especificar el medio de transmisin de la
informacin (L: listado; D: disquete; C: cinta; E:
correo; CD: unidad de CD; V: videolnea; I:
Internet; M: mdem; R: RDSI; etc.).
Periodicidad: Se debe relacionar la periodicidad

con la que se enva o se recibe la informacin
(D: Diario; S: Semanal; Q: Quincenal; M:
Mensual; B: Bimestral; T: Trimestral; R:
Semestral; A: Anual; O: Ocasional).
2.2.1.2 Proveedores
Se debe relacionar (para cada proceso crtico
definido anteriormente) todo el intercambio de
informacin con los proveedores, ya que es
importante tener en cuenta la informacin que enva
o recibe la entidad y el medio de intercambio.
Nmero del proceso o tarea: este nmero debe

coincidir con el nmero del proceso asignado
en la seleccin de procesos crticos.
Nombre del proveedor: se debe especificar el

nombre del proveedor.
Servicio prestado: se debe proporcionar una

breve descripcin del servicio que proporciona
el proveedor.
Entrega/Recepcin: se debe especificar si la

informacin la entrega el banco o si, por el
contrario, la recibe.
Descripcin: se debe proporcionar una breve

descripcin del tipo de informacin que se
intercambia.
Medio de transmisin o intercambio: Se debe

especificar el medio de transmisin de la
informacin (L: listado; D: disquete; C: cinta; E:
correo; CD: unidad de CD; V: videolnea; I:
Internet; M: mdem; R: RDSI; etc.).
Periodicidad: se debe relacionar la periodicidad

con la que se enva se recibe la informacin (D:
Diario; S: Semanal; Q: Quincenal; M: Mensual;
B: Bimestral; T: Trimestral; R: Semestral; A:
Anual; O: Ocasional).
2.2.2 Inventario tecnolgico
Se deben detallar los elementos que forman parte
del recurso tecnolgico, incluyendo servidores,
direcciones IP y esquema de comunicaciones, entre
otros.
2.2.2.1 Diagrama de estructura tecnolgica
Se debe detallar la estructura tecnolgica con la que
cuenta la entidad para soportar cada proceso.
2.2.2.2 Software
Se debe especificar, para cada proceso, el software
requerido para que ste se pueda llevar a cabo,
incluyendo la versin y los parches instalados, la
fecha de la ltima actualizacin, el tipo de
mantenimiento y los sistemas con los que interacta.
2.2.2.3 Hardware y perifricos
Se debe especificar, para cada proceso, el hardware
requerido para que ste se pueda llevar a cabo,
incluyendo el equipo, discos, sistema operativo,
memoria y tipo de mantenimiento.
2.2.2.4 Comunicaciones
Se debe especificar, para cada proceso, la
necesidad de comunicacin para que ste se pueda
llevar a cabo, incluyendo una descripcin exacta del
origen y el receptor de la comunicacin, el proveedor
que presta el servicio y el medio fsico empleado
para realizarla.
2.2.3 Inventario de instalaciones fsicas
Se debe identificar, para cada proceso, la ubicacin
fsica donde se desarrollan las actividades de las
personas que intervienen en ste, tanto empleados
como usuarios externos. Esto incluye la ciudad, la
edificacin, el piso y el dueo de la propiedad.
2.2.4 Inventario de recurso humano

Pgina B.2
Anexo B
Metodologa DRII
Se debe identificar, para cada proceso, a todas las

personas que intervienen en ste, tanto internas de
la entidad como externas. Hay que incluir una breve
descripcin de lo que cada una hace, el nmero de
personas que realizan la actividad y el rea a la que
pertenecen. Se debe suministrar la siguiente
informacin sobre el (los) responsable(s) de cada
proceso crtico:
Nombre del responsable: apellidos y nombres

de la persona encargada de realizar el proceso.
Cargo del responsable: cargo de la persona

encargada del proceso.
Nombre de otras personas que conocen el

proceso: relacionar los apellidos y nombres de
otras personas que pueden ejecutar el proceso,
en caso de que la persona titular no lo pueda
llevar a cabo.
2.3 Anlisis de riesgos
El anlisis de riesgos est orientado a determinar un
conjunto de estrategias (independientes o conjuntas)
que debern implementarse para que cada proceso
tenga unas condiciones mnimas para poder
reanudarse. Para la obtencin de estas estrategias
se determina el nmero de ocurrencias anuales de
las amenazas, factor de exposicin, vulnerabilidades
frente a las prdidas y valoracin del riesgo por
recurso en cada actividad que interviene;
adicionalmente, se recomienda hacer controles
preventivos ante ciertas amenazas.
Entre los factores que hay que considerar dentro del
anlisis de riesgos se encuentran los siguientes:
Identificacin de amenazas
Historia de incidentes por recurso y amenaza
Probabilidad de ocurrencia
Exposicin por amenaza
Impacto por amenaza

o
Recomendacin de controles preventivos
o
Identificacin de estrategias por recurso
o
Asignacin de estrategias por amenazas
2.4 Anlisis de impacto
2.4.1 Propsito
El objetivo de un anlisis de impacto es poder
determinar la exposicin financiera y el impacto
operacional ante la interrupcin de las funciones
crticas del negocio de una compaa.
Un anlisis de impacto est diseado para asegurar
un entendimiento de las funciones y sistemas vitales
del rea dentro de la organizacin. El impacto de
cada una de estas funciones se identifica, evala y
categoriza de acuerdo con los marcos de tiempo
requeridos para la recuperacin del negocio.
Los propsitos generales de la realizacin de este
anlisis son:
Identificar las consecuencias de la interrupcin

en lo referente a prdidas financieras, gastos
adicionales e imagen de la organizacin.
Identificar el mximo perodo de interrupcin

que la organizacin puede tolerar.
Determinar qu nivel de prdidas financieras es

aceptable para la organizacin en conjunto y
para una funcin especfica del negocio.
Dejar datos para realizar un anlisis costo /

beneficio.
Establecer o confirmar prioridades de

recuperacin
para
aplicaciones
crticas,
sistemas y prioridades de recuperacin de
negocios.
Entre los factores que hay que considerar dentro del
anlisis de impactos se encuentran los siguientes:
Valoracin cuantitativa del impacto
Valor aceptable de prdida
Valoracin cualitativa del impacto

2.4.2 Impacto externo
Se refiere al impacto (alto, medio o bajo) que puede
generar en los clientes o en los organismos externos
el hecho de no prestar el servicio o no generar la
informacin a tiempo.
Los entes externos pueden ser la Superintendencia
Financiera, la Asociacin Bancaria, la DIAN, el
Banco de la Repblica, Deceval, DCV, ATATEC,
MEC o IQ Outsourcing, entre otros.
2.4.3 Impacto interno
Se refiere al impacto que afecta nicamente a la
institucin.
Impacto financiero (alto, medio o bajo): se

refiere al impacto que puede tener, en el
aspecto econmico, el hecho de dejar de
prestar el servicio o prestarlo a destiempo,
ocasionando prdida de clientes y de ingresos,
multas o litigios.
o
Valor en $ (pesos) de la prdida de
ingresos: se refiere al valor de la prdida
de ingresos, por ejemplo, por dejar de
recibir comisiones. El valor de la prdida
debe tenerse en cuenta de acuerdo con la
periodicidad del proceso, de tal manera
que si la periodicidad es diaria, la prdida
ha de ser diaria.
o
Valor en $ (pesos) de la multa: se refiere al
valor de la multa por incumplimiento. Debe
tomarse en cuenta de acuerdo con la
periodicidad del proceso, de modo que si
la periodicidad es diaria, la multa ha de ser
diaria.
Impacto operativo (alto, medio o bajo): se

refiere al impacto que pueden ocasionar
grandes prdidas de informacin o altos costos
de recuperacin.
2.5 Prioridad de reanudacin
Una vez realizado el anlisis anterior, se priorizan los
procesos en una Matriz de tiempos de
recuperacin. En esta matriz se presentan los
procesos del rea en el orden en que se

Pgina B.3
Anexo B
Metodologa DRII
recuperarn, de acuerdo con

suministrada por los usuarios.
la
informacin
DISEO E IMPLEMENTACIN
En esta etapa se determinan los recursos mnimos para
trabajar en un centro alterno, se describen las estrategias y se
formalizan los procedimientos de reanudacin y recuperacin
correspondientes a las estrategias alternas de contingencia
identificadas en la etapa anterior. As mismo, deben definirse
los procedimientos de notificacin y escalamiento de
emergencias, los criterios y procedimientos de activacin de
los planes de contingencia, al igual que los equipos de
reanudacin y recuperacin, encargados de coordinar las
actividades de recuperacin en el evento de activacin del
plan. A continuacin se detallan an ms algunas actividades
de la etapa.
Requerimientos mnimos.
o
Identificar
recursos
de
personal,
computacionales, de comunicaciones,
implementos de oficina y espacio fsico y
amoblado para operar en centros alternos
a corto, mediano y largo plazos.
Definicin de programas de registros vitales y

almacenamiento alterno.
o
Identificacin de los registros vitales.
o
Proteccin y recuperacin de registros
vitales.
o
Backups fuera del sitio.
Definicin de procedimientos de escalamiento y

notificacin del plan.
o
Respuesta inicial, procedimientos de
emergencia.
o
Recuperacin en el sitio alterno.
o
Recuperacin de actividades en paralelo.
o
Recuperacin en el sitio original o alterno.
Delegacin y designacin de autoridad.
Procedimientos de activacin del plan.

o
Activacin de los equipos de recuperacin
de desastres y continuidad del negocio
(rbol de llamadas).
o
Activacin del sitio de recuperacin y
notificaciones.
o
Requerimientos de los usuarios finales y
personal de las reas funcionales.
o
Monitoreo de la recuperacin y progreso
de la reanudacin.
o
Revisiones para conducir a la posreanudacin.
Adquisicin del hardware, software, lneas de

comunicacin, etc.
Negociacin y firma de contratos con los

vendedores.
Preparacin de los sitios.

3.1 Recursos mnimos
Se deben prever, para cada rea en particular, el
peor escenario de desastre y la necesidad de
desplazamiento a un centro alterno. Ante esta

situacin, hay que establecer los perodos de
operacin en el centro alterno, definiendo un corto,
mediano y largo plazos. A continuacin se procede a
determinar y a describir los recursos mnimos
requeridos para los perodos descritos.
3.1.1 Personal
Se deben identificar, para cada perodo, el nmero
de personas requeridas para llevar a cabo cada
proceso, incluyendo una breve descripcin de sus
funciones.
3.1.2 Computacional
Se deben identificar, para cada perodo, los
elementos computacionales requeridos para llevar a
cabo cada proceso, incluyendo equipos, discos,
sistema operativo, memoria y software.
Adicionalmente, se ha de describir la forma como se
proveern recursos a mediano y largo plazos (se
compran, se alquilan, provienen de directivos, etc.)
3.1.3 Comunicaciones (red y voz)
elementos de comunicacin necesarios para llevar a
cabo cada proceso, incluyendo puntos de red y
lneas
telefnicas,
con
sus
respectivas
caractersticas.
3.1.4 Elementos logsticos
3.1.4.1 Espacio fsico
elementos de espacio fsico que se requieren,
incluyendo tamao, seguridad y privacidad, entre
otros.
3.1.4.2 Amoblado
elementos de mobiliario que se requieren, como
escritorios y sillas, por ejemplo.
3.1.4.3 Documentos e implementos de oficina
documentos e implementos de oficina necesarios
para efectuar cada una de las actividades
programadas.
3.2 Registros vitales
Se debe establecer, para cada rea en particular, el
esquema de respaldos de aquella informacin vital
requerida para llevar a cabo cada proceso que no
reside en los dispositivos de almacenamiento
alternos.
Servidores de estaciones PC
Se deben incluir los datos que hay que respaldar, el
da y la hora en que se hace el respaldo o la
periodicidad, el tipo de respaldo, el tiempo de
retencin de la informacin y la instalacin o
ubicacin donde se encontrarn estos registros
vitales. Adicionalmente, se debern especificar los
usuarios que tendrn acceso a esta informacin.
3.3 Notificacin
La notificacin tanto interna como externa para la
reanudacin y el retorno deber hacerse en el
momento del incidente. Para esto deber elaborarse

Pgina B.4
Anexo B
Metodologa DRII
un esquema general de notificacin y esquemas

particulares si es necesario. Es recomendable
realizar estos esquemas grficamente e incluir una
breve descripcin de cada uno para mayor claridad.
3.3.1 Notificacin interna o externa: activacin y retorno de
contingencia
En todos los casos se debe incluir el cargo de la
persona que notifica, el de la persona notificada y el
medio de comunicacin empleado.
3.3.2 Delegacin de autoridad
En todos los casos se debe incluir el tipo de
autorizacin, el responsable actual (cargo) y a quin
se le delega la autorizacin (cargo). Adicionalmente,
hay que proporcionar informacin sobre el proceso o
procedimiento al que hace referencia la autorizacin.
3.4 Programacin centro alterno
En este captulo se consolidan la informacin del
centro alterno, su ubicacin, el mapa de los
elementos que estn en el sitio, la funcionalidad de
cada puesto de trabajo y el responsable de los
elementos que all se encuentran.
3.4.1 Ubicacin y mecanismo de ingreso
Se debe especificar la ubicacin del centro alterno y
el procedimiento para ingresar, teniendo en cuenta
consideraciones de horario (hbil o no hbil).
3.4.2 Distribucin
Se debe especificar la ubicacin de cada elemento
de hardware, incluyendo direcciones IP, software
instalado y funciones que se realizarn en l.
Se debe especificar la ubicacin de cada elemento
de oficina incluyendo equipos de transmisin de fax,
escner y fotocopiadoras, entre otros.
Se debe especificar la ubicacin de todos los tiles
de oficina.
3.5 Descripcin de estrategias
Se deben describir, para cada estrategia, todos los
elementos
que
intervienen
en
sta,
los
procedimientos necesarios para su ejecucin, los
escenarios en los que se puede aplicar, los equipos
que participan y los controles requeridos en cada
una de las actividades.
3.5.1 Escenarios
Se deben especificar los incidentes o amenazas
para los que sirve esta estrategia.
3.5.2 Equipos de trabajo
Se deben especificar las personas que intervienen
para la reanudacin del servicio o recuperacin de la
falla hasta la normalidad. Hace referencia a las
personas que conforman los equipos que se
describen a continuacin:
3.5.2.1 Equipo de reanudacin (ERO)
Es el equipo responsable de reanudar el servicio, es
decir,
aquellas
personas
que
tcnica
u
operativamente son quienes deben realizar las
acciones de la estrategia de contingencia para
restablecer el servicio. Se debe diferenciar (en caso
de ser diferentes) a las personas encargadas de la
parte tecnolgica de las responsables de la parte
operativa, incluyendo el rea a la que pertenecen y

el cargo.
3.5.2.2 Equipo de recuperacin (ERP)
Es el equipo encargado de que los escenarios de
falla para esta estrategia sean atendidos y
recuperados a un estado de operacin normal. Se
deben incluir el escenario de falla y el responsable,
incluyendo el rea a la que pertenece y el cargo.
Adicionalmente, en caso de existir y de ser
relevante, se debe incluir el proveedor del sistema
afectado.
3.5.3 Recursos especficos
Tiene que ver con los elementos propios de la
estrategia, la cantidad, ubicacin y el responsable de
proveer el recurso. Si el responsable es un
proveedor, se debe explicar en qu condiciones
entrega el elemento; si existe un contrato, se debe
hacer referencia a ste y anexarlo.
3.5.4 Controles
Se deben enumerar, para cada proceso, las
actividades de la estrategia que hay que controlar,
indicando el mecanismo de control y el verificador.
3.5.5 Proceso de activacin
La estrategia sugiere un flujo de actividades para
reanudar el servicio oportunamente. A continuacin
se detallan el procedimiento tcnico u operativo y el
responsable.
Si
se
necesita
describir
el
procedimiento de una manera ms explcita, deber
haber un pie de pgina con el documento que podr
encontrar en los anexos.
3.5.5.1 Estrategia tcnica
Hay que relacionar cada una de las actividades y al
equipo responsable, si no es explcito en la
descripcin de la actividad.
3.5.5.2 Estrategia operativa
Hay que relacionar cada una de las actividades y al
equipo responsable si no es explcito en la
3.5.6 Proceso de retorno
La estrategia sugiere un flujo de actividades para
retornar a la normalidad. A continuacin se detallan
el procedimiento tcnico u operativo y el
responsable.
Si
se
necesita
describir
el
procedimiento de una manera ms explcita, deber
haber un pie de pgina con el documento que podr
encontrar en los anexos.
3.5.6.1 Estrategia tcnica
Se deben relacionar cada una de las actividades y al
3.5.6.2 Estrategia operativa
Se deben relacionar cada una de las actividades y al
CAPACITACIN Y PRUEBAS

Pgina B.5
Anexo B
Metodologa DRII
En esta etapa se capacita y concientiza a todos los

niveles de la organizacin en lo referente a los
planes de contingencia de los procesos del negocio.
As mismo se planean y realizan las pruebas a los
planes de contingencia, luego se hace la evaluacin
respectiva.
4.1 Capacitacin
Se debe elaborar una lista de las actividades
programadas en la capacitacin, con su
responsable, fecha de ejecucin y resultado,
indicando las formas en las que se capacitar y
concientizar al personal del rea y dems personas
involucradas en todo lo relacionado con el plan de
contingencia.
4.2 Pruebas
El objetivo de las pruebas es verificar los
procedimientos establecidos, probar los controles
definidos, reanudar operaciones en sitios alternos, o
con elementos reducidos, conocer a las personas en
su rol, establecer los tiempos de recuperacin y en
general, detectar fallas y aplicar correctivos. Es
importante asegurarse de que el procedimiento de
recuperacin sea factible y prctico, identificar
deficiencias en procesos existentes, demostrar la
habilidad del rea para recuperarse y tener la
certeza de que las personas de los equipos de
recuperacin y reanudacin son capaces de trabajar
en conjunto y bajo la presin de incidentes con
diferente magnitud.
Se debe hacer un cronograma de pruebas en el que
se indiquen la estrategia que se va a probar y el tipo
de prueba (tecnolgico/operativo), e incluir una breve
descripcin de lo que se quiere realizar.
4.2.1 Periodicidad
La periodicidad de cada una de las pruebas asegura
su vigencia. Por tal motivo, se deben especificar las
estrategias que se probarn regularmente, indicando
su periodicidad y sus responsables.
4.2.2 Descripcin de pruebas
4.2.2.1 Objetivos
Se deben precisar los objetivos especficos de cada
prueba que se vaya a realizar.
4.2.2.2 Planeacin
Se debe definir la prueba, proporcionando la
siguiente informacin:
Ttulo
Clase de prueba (tecnolgica, operativa,

de notificacin, etc.)
Sistemas de informacin (si se requieren)
Duracin aproximada de la prueba
Participantes
Criterios de evaluacin
4.2.2.3 Ejecucin, resultados y mejoras
Se debe realizar una bitcora de ejecucin con los
resultados obtenidos y las mejoras hechas al plan,
incluyendo fecha de ejecucin, resultados y
responsables.
MANTENIMIENTO
El objetivo de esta etapa es desarrollar
procedimientos y mecanismos de mantenimiento y
actualizacin de los planes definidos, con el fin de
garantizar que stos se podrn utilizar efectivamente
en una emergencia, velando porque su informacin
se encuentre actualizada, completa y precisa.
As mismo, en esta etapa se busca implementar
mecanismos que aseguren que el plan es
consistente con los procedimientos actuales de la
organizacin o rea, que los mecanismos de
comunicacin y procesamiento de datos se prueban
peridicamente y que los miembros de la
organizacin conocen todos los cambios realizados
a los planes. Adems, se velar por establecer los
procedimientos de revisiones peridicas de los
mismos.
Igualmente, en esta etapa deben definirse los
mecanismos de divulgacin y distribucin de los
planes, as como las estrategias de actualizacin,
cuando se hagan modificaciones a los mismos.
Deben definirse, adems, dnde residirn los
documentos de los planes y las copias de seguridad
de los mismos.
5.1 Polticas de mantenimiento
Se debe hacer una lista de medidas mediante las
cuales se mantendr el plan de contingencia. Se
Incluyen resultados, resoluciones y reuniones, entre
otros.
5.2 Bitcora
Cada vez que se modifique el plan, se deber llevar
una bitcora en la que se indiquen las causas por las
que se ha modificado, la fecha, el elemento
cambiado, la descripcin de la modificacin, quin la
hizo y si ya se distribuy o no.
5.3 Mecanismo de almacenamiento
Una vez terminado el plan de contingencia, ste se
deber almacenar en diferentes medios y
ubicaciones. Es recomendable tener copias
impresas, por si los documentos magnticos no
estn disponibles en el momento de un incidente.
Dichas copias se deben almacenar tambin en los
centros alternos.
5.4 Mecanismo de actualizacin
Cada vez que se modifique el plan es necesario
actualizar todas las copias existentes. Es de gran
importancia verificar que todas las copias contengan
la misma informacin.
5.5 Mecanismo de distribucin
Cada vez que se modifique o actualice el plan, se
debern
distribuir
y
divulgar
las
nuevas
actualizaciones para que todos los participantes
conozcan los cambios realizados. En caso de
requerir nuevas pruebas y capacitaciones al
personal involucrado en la contingencia, stas se
tendrn que realizar con la mayor brevedad posible.

Pgina B.6

Montoya Fierros Israel Francisco-Ejemplo PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Montoya Fierros Israel Francisco-Ejemplo PDF

Hochgeladen von

Copyright:

Verfügbare Formate

INSTITUTO POLITCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERA MECNICA

METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA

MAESTRO EN CIENCIAS EN INGENIERA DE SISTEMAS

ING. ISRAEL FRANCISCO MONTOYA FIERROS

METODOLOGA PARA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y RECUPERACIN

METODOLOGA PARA LA CREACIN DE UN PLAN PARA LA CONTINUIDAD Y

El presente documento resume el trabajo realizado y logros obtenidos en materia de

Metodologa para la creacin de un plan para la continuidad y recuperacin

METHODOLOGY FOR THE CREATION OF A PLAN FOR THE CONTINUITY AND

Metodologa para la creacin de un plan para la continuidad y recuperacin

Presentacin del Proyecto de Tesis.

Anlisis, Evaluacin y Diagnstico de la Situacin Actual.

Marco Conceptual y Contextual.

Metodologa para la creacin de un plan para la continuidad y recuperacin

Captulo 4.- Aplicacin de la Metodologa. Caso de Estudio: Empresa de

Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.

Desarrollar el plan de continuidad y estrategias de recuperacin ante 85

Capacitar, probar y ejercitar

Metodologa para la creacin de un plan para la continuidad y recuperacin

Auditora, Mantenimiento y Actualizacin.

Captulo 5.- Resultados Obtenidos, Valoracin de Objetivos, Trabajos Futuros y

Valoracin de los resultados obtenidos.

Metodologa para la creacin de un plan para la continuidad y recuperacin

NDICE DE TABLAS Y FIGURAS

Captulo 2.Figura 2.1

Captulo 3.Figura 3.1

Marco metodolgico integral para el desarrollo del proyecto de tesis.

Marco Contextual y Conceptual.

Anlisis, Evaluacin y Diagnstico de la Situacin Actual.

Metodologa para la creacin de un plan para la continuidad y recuperacin

Captulo 4.- Aplicacin de la Metodologa, Caso de Estudio: Empresa de

Diagrama tipo mapa mental de la Organizacin.

Metodologa para la creacin de un plan para la continuidad y recuperacin

Arquitectura del Centro de Procesamiento de Datos CPD, propuesta.

Metodologa para la creacin de un plan para la continuidad y recuperacin

Inventario de Hardware y Software, ubicados en el Centro de

Metodologa para la creacin de un plan para la continuidad y recuperacin

Conjunto de datos que estn organizados y que tienen un significado.

Es una ciencia, en particular una rama de la matemtica, que centra su

Son aquellas que abarcan el estudio de las bases tericas de la

Es un conjunto de dispositivos electrnicos (Hardware), capaz de

Es la ciencia aplicada que abarca el estudio y aplicacin del tratamiento

Entrada: Captacin de la informacin digital.

Es un conjunto de partes interrelacionadas, ordenadas y capaces de

Los Objetivos, Metas y estrategias, informticas anuales relacionadas

Los Objetivos, Metas y estrategias, informticas de mediano y largo

Son los lineamientos tcnicos, que la empresa requiere para determinar

Metodologa para la creacin de un plan para la continuidad y recuperacin

Conjunto Integrado de Sistemas de informacin Informticos, que

Son aquellas herramientas computacionales, informticas y servicios

Consiste en la capacidad para controlar la formulacin y la

Permite la creacin de sistemas altamente escalables que reflejan el

Soluciones de respaldo que tienen como objeto resolver contingencias

Tiene como objeto resolver contingencias graves (desaparicin del

Proporciona procedimientos para mantener en funcionamiento en un

Proporciona los procedimientos para recobrar la operacin del negocio,

Metodologa para la creacin de un plan para la continuidad y recuperacin

Evaluacin del Riesgo

Metodologa orientada a determinar la vulnerabilidad de la

A travs de esta metodologa se hace un anlisis de todos los procesos

El impacto y la probabilidad de que una amenaza pueda afectar

Cualquier suceso que interrumpa el normal funcionamiento de la