Beruflich Dokumente
Kultur Dokumente
E
Q U E
P A R A
O B T E N E R
E L
G R A D O
D E
A:
DIRECTOR DE TESIS:
M. en C. LEOPOLDO ALBERTO GALINDO SORIA
DICIEMBRE 2010
Agradecimientos
A Dios: Por el apoyo en tiempo y recursos.
A mi Esposa e Hijo: Por el apoyo moral.
A la Empresa: Por el apoyo econmico.
Al M. en C. Leopoldo Galindo: Por el apoyo intelectual.
Ing.IsraelFranciscoMontoyaFierros
Diciembre2010
Resumen
RESUMEN
Resumen
ABSTRACT
The present document summarizes the accomplished work and achievements obtained in
Continuity and Recovery matter before Disasters, this operational continuity vision is
reflected in the processes design, the election and implementation of infrastructure
resources, technological elements and of services, with emphasis in the redundancy and
the tolerance to defects, as well as in the selection, training and evaluation of the personal.
A threat never is going to disappear, always will be present in all the processes of an
organization. For the foregoing, seeking a permanent improvement in response and
continuity standards, it has been strengthened in perfecting and formalizing a method that
provide a defined steps sequence to elaborate of systematical way a plan for the continuity
and recovery before disasters in the Technology Systems of the Information and
Communications applied to Industry of the Manufacture, taking as base the Reference
Framework of the norms BS 25999, ISO/IEC 24762 and the methodology DRII on
continuity of the business, achieving the following methodology:
Phase 1: Knowledge of the environment of the organization and Planning of the project;
Phase 2: Analysis and risks evaluation and your impact to the business; Phase 3:
Development of continuity plan and strategies; Phase 4: Training, test and exercise; Phase
5: Audit, maintenance and update.
The methodology object of study of this work is the initial appliance with all the one which
company would have to count without importing the business initiatives that has anticipated
to launch ( entrepreneurial architectures, I redesign of processes, architecture guided to
services, automation and improvement of business processes), permits that the
organization be prepared before an interruption of their business, by means of the
definition and procedures and strategies documentation of recovery.
ndice
NDICE
ndice de Tablas y Figuras
Glosario de Trminos
iv
viii
Introduccin
0.1
0.2
0.3
Captulo 1.1.1
1.2
2.1
2.2
2.3
2.4
1
1
2
6
6
6
7
8
9
9
Introduccin.
Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio y
Recuperacin ante Desastres de TI
Justificacin del Proyecto de Tesis.
Definicin de los Objetivos del Proyecto de Tesis.
2.4.1 Objetivo General.
2.4.2 Objetivos Particulares.
Captulo 3.3.1
3.2
Marco Conceptual.
1.1.1 Elaboracin de la Pirmide Conceptual.
1.1.2 Descripcin de los trminos de la Pirmide Conceptual.
Marco Contextual.
1.2.1 Descripcin del Medio Ambiente Temporal.
1.2.1.1
Evolucin de las TIC en la Industria de la Manufactura.
1.2.1.2
Evolucin de los conceptos de Continuidad de Negocio.
1.2.2 Descripcin del Medio Ambiente Fsico.
1.2.2.1
El imperativo: asegurar la continuidad de negocio.
1.2.2.2
Estrategias y planes para la continuidad de negocio.
Captulo 2.-
xii
xiii
xiv
13
14
22
22
22
23
Metodologa Propuesta.
Introduccin.
Metodologa propuesta.
Marco metodolgico integral para el desarrollo de la metodologa propuesta
Fase 1 Conocer y planificar el medio ambiente organizacional.
Fase 2 Analizar, evaluar y diagnosticar riesgos y su impacto al negocio.
Fase 3 Desarrollar el plan de continuidad y estrategias de recuperacin ante
desastres.
Fase 4 Capacitar, probar y ejercitar.
Fase 5 Auditora, mantenimiento y actualizacin.
24
25
28
31
35
42
48
51
ndice
Introduccin.
Desarrollo de la metodologa propuesta.
Fase 1 Conocer y planificar el medio ambiente organizacional.
Actividad 1.1
Conocer el medio ambiente general.
Actividad 1.2
Identificar la estructura organizacional de la empresa.
Actividad 1.3
Definir la Arquitectura de Macroprocesos.
Actividad 1.4
Definir equipos de planificacin y sus responsabilidades.
Actividad 1.5
Definicin de objetivos, alcance y escenarios del
problema.
Actividad 1.6
Concientizacin y aprobacin por parte de los directivos.
55
56
56
56
58
60
62
65
Fase 2
67
67
66
71
74
76
84
Fase 3
Fase 4
ii
ndice
Fase 5
119
119
131
132
133
134
5.3
5.4
135
136
136
136
138
139
Bibliografa.
142
Referencias a Internet.
144
Anexos.
Anexo A.
A.1
Anexo B.
B.1
iii
ndice
Cuadro 2.1
Cuadro 2.2
Figura 2.4
ix
X
1
8
11
11
14
15
16
17
19
21
Metodologa Propuesta.
Mapa de ruta de la metodologa propuesta.
Descripcin de la metodologa propuesta.
Marco metodolgico integral para el desarrollo de la metodologa
propuesta.
Diagrama de flujo (relaciones) entre procesos de negocio.
Equipos de trabajo para respuesta a incidentes
Tiempos y puntos objetivos de recuperacin.
Probabilidad de ocurrencia de un riesgo.
Impacto potencial de un riesgo.
Matriz de nivel de riesgo.
Evaluacin y diagnstico del anlisis de impacto al negocio.
Disponibilidad de los servicios.
25
27
28
32
33
35
37
37
37
38
45
iv
ndice
57
58
59
60
61
62
63
65
66
67
71
71
71
72
73
73
74
76
80
81
82
83
83
84
85
87
87
88
89
ndice
Figura 4.8
Cuadro 4.18a
Cuadro 4.18b
Cuadro 4.18c
Cuadro 4.19
Cuadro 4.20
Cuadro 4.21
Cuadro 4.22
Cuadro 4.23a
Cuadro 4.23b
Cuadro 4.24
Cuadro 4.25
Cuadro 4.26
Figura 4.9
Cuadro 4.27
Cuadro 4.28
Cuadro 4.29
Cuadro 4.30
Cuadro 4.31
Cuadro 4.32
Cuadro 4.33
Cuadro 4.34
Cuadro 4.35
Cuadro 4.36
Cuadro 4.37
Cuadro 4.38
Cuadro 4.39
Cuadro 4.40
Cuadro 4.41
90
92
92
93
93
94
95
95
96
96
97
98
100
104
105
106
108
110
113
114
115
116
117
118
119
121
123
123
124
vi
ndice
Cuadro 4.42
Cuadro 4.43
Cuadro 4.44
Cuadro 4.45
Cuadro 4.46
Cuadro 4.47
Cuadro 4.48
Cuadro 4.49
Cuadro 4.50
Cuadro 4.51
Cuadro 4.52
124
125
125
126
126
127
128
131
132
133
134
vii
ndice
GLOSARIO DE TRMINOS
Trmino
Descripcin
Informacin.
Computacin.
Ciencias de la
Computacin.
Sistemas
Computacionales.
Informtica.
Sistema de Informacin
Informtico.
Programa Informtico.
Plan Informtico.
Estrategia Tecnolgica
viii
ndice
Trmino
Descripcin
Estrategia Institucional
de Sistemas de
Informacin Informticos
Tecnologas de la
Informacin y
Comunicaciones TICs /
TI
Gobernabilidad de TI
Arquitectura Orienta a
Servicios (por sus siglas
en ingls, SOA)
Respaldo Interno
Respaldo Externo
Recuperacin de los
Servicios del Negocio
Plan de Recuperacin
del Negocio
ix
ndice
Trmino
Descripcin
Anlisis de Impacto al
Negocio (por sus siglas
en ingls, BIA)
Riesgo
Contingencia
Desastre
Tiempo
Objetivo
de El tiempo entre el punto de interrupcin, y el punto en el cul los
Recuperacin (por sus sistemas sensibles en el tiempo deben estar funcionando nuevamente,
siglas en ingls, RTO)
con los datos actualizados.
Punto
Objetivo
de El punto en el cul fueron interrumpidas las actividades del sistema
Recuperacin (por sus debido a la ocurrencia de un determinado evento.
siglas en ingls, RPO)
Cold Site
Hot Site
Warm Site
RFP/RFQ
QoS
ndice
Trmino
Descripcin
High Availability
Fault Tolerance
Load Balancing
Downtime
xi
INTRODUCCIN
xii
Cuadro 0.1 Marco metodolgico integral para el desarrollo del proyecto de tesis (Elaboracin propia, basado en
[Galindo, 2008]).
MARCO METODOLGICO
ACTIVIDADES
(Qu hacer?)
1.
Definir el tema.
2.
3.
Desarrollar el marco
metodolgico.
4.
Definir el marco
conceptual.
5.
Identificar y analizar la
situacin actual.
Definir la justificacin.
Definir Objetivo general y
especficos.
6.
Desarrollar la
metodologa.
7.
Construccin de un
modelo.
8.
Implementar en forma
real el modelo.
9.
Redactar el documento
de tesis.
TCNICAS
(Cmo hacerlo?)
HERRAMIENTAS
(Con qu hacerlo?)
METAS
(Qu obtener en particular?)
-Observacin
-Investigacin
-Mtodo cientfico
Especificar la oportunidad
problemtica que se puede considerar
como tema de estudio.
-Libros
-Revistas
-Peridicos
-Internet.
-Procesador de
palabras.
-Observacin
-Investigacin.
-Recopilacin bibliogrfica.
-Definicin del marco
Conceptual
-Libros,
-Revistas
-Internet.
-Procesador de
palabras.
-Investigacin.
-Analizar, Identificar y definir la
metodologa de desarrollo.
-Libros
-revistas
-Internet
-peridicos
-Investigacin.
-Recopilacin bibliogrfica.
-Procesador de
palabras.
-Hoja de clculo
-Procesador de textos
-Editor de imgenes
-Hoja de clculo
-Internet
-Entrevista
xiii
xiv
Aunque nuestro pas todava se encuentra en una etapa incipiente; pero sin duda de
crecimiento, en lo que respecta a la adopcin de Planes para la continuidad y
recuperacin ante desastres por parte de las PyME; el Captulo 1, puede ayudar a
entender por qu las empresas necesitan ineludiblemente contar con un Plan de
Continuidad y Recuperacin ante Desastres.
Considerando que una interrupcin prolongada, en las operaciones de los Sistemas de
Tecnologas de la Informacin y Comunicaciones, puede suspender la continuidad de las
operaciones de una empresa y, eventualmente, llevarla incluso a la quiebra, es importante
considerar el Gobierno de TI y las mejores prcticas para asegurar la continuidad del
negocio. Para ello se tienen varios conjuntos de recomendaciones que destacan
internacionalmente, como se estudiar en el Captulo 2.
En el captulo 3, se propone una metodologa para la continuidad y recuperacin ante
desastres de TICs en la industria de la manufactura, por lo que una aproximacin
acertada es conocer con detalle la organizacin que se quiere proteger. No slo se deben
identificar los riesgos, tambin evaluarlos para posteriormente decidir sobre las medidas
que puedan mitigarlos. Para ello, se deber identificar los activos de la empresa, as como
las debilidades que puedan padecer, estimando probabilidades de ocurrencia y
asignndoles una importancia para la misin de la empresa.
En el captulo 4, se aplicar la metodologa propuesta, se estudiar la criticidad de las
TICs en el desarrollo de una actividad concreta de la empresa, o lo que es lo mismo, la
importancia que tiene el que esas TICs estn disponibles el mayor tiempo posible, que
obligue a que se reanude rpidamente su funcionamiento, so pena de que su interrupcin
perjudique o degrade los objetivos y la calidad de la actividad en concreto.
En un Plan de continuidad se invierte, no se gasta, adoptar el Plan impacta en la
organizacin, en las funciones y en las responsabilidades, ste debe ser un elemento vivo,
que se mantenga, pruebe y actualice peridicamente. Aumentar las medidas para
garantizar la disponibilidad de los servicios informticos genera confianza y acerca a los
usuarios a la informtica, como se ver en el Captulo 5.
Por ltimo, se mostrar las Referencias Bibliogrficas y a Internet, as como, los Anexos
correspondientes.
xv
Captulo 1
Marco Conceptual y Contextual
Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en
los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la
Manufactura.
Captulo 1
Marco Terico Conceptual y Contextual
CAPTULO 1.-
Administracin
de la
Continuidad del
Negocio (BCM)
Plan de
Continuidad
de Negocio
(BCP)
Plan de
Recuperacin
de Desastres
(DRP)
Arquitectura
deProceso
Arquitecturade
Informacin
ArquitecturadeDatos
ArquitecturadeSistemas
ArquitecturaTecnolgica
Pgina 1
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 2
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 3
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 4
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 5
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 6
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 7
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 8
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 9
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 10
Captulo 1
Marco Terico Conceptual y Contextual
Establecer
Requisitos y
Expectativas
Mejora
continua
Plan
Plande
Continuida
ddel
Negocio
Ventaja
competitiva
Mantenery
Mejorar
Capacidad
clave
Gestinde
Gestinde
riesgos
riesgos
Manejode
incidentes
Manejode
Manejode
incidentes
crisis
Implementar
yOperar
Recuperacin
delNegocio
Do
Act
Impulsores
decreacin
devalor
Plande
Recuperacin
ante
Desastres
Incidente
Check
Monitorear y
Revisar
Resultados
esperados
Figura 1.3 Modelo Cclico Dinmico de un Plan de Continuidad en un Modelo de Negocio [Elaboracin
propia].
Pgina 11
Captulo 1
Marco Terico Conceptual y Contextual
Pgina 12
Captulo 2
Anlisis, Evaluacin
Situacin Actual.
Diagnstico
de
la
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
CAPTULO 2.-
Pgina 13
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Figura 2.1 Relacin de los procesos de negocio con los Sistemas de Informacin [Elaboracin propia].
Sin embargo, en el afn de ingresar en el nuevo entorno, las empresas se ven enfrentadas
a mayores riesgos que son cada vez ms difciles de controlar. Por tanto, se han iniciado
planes que garantizan una adecuada gestin de la Informacin, por considerarse que sta
forma parte de los activos fundamentales de las Organizaciones, y se toma como base
para disear la estrategia comercial y de competitividad en esta sociedad globalizada.
Para garantizar el xito en la gestin de la Informacin, se toman en cuenta los referentes
que brindan los estndares para su seguridad. Con esto, se espera que la Informacin se
proteja celosamente y se garantice la implantacin de las estrategias que propician la
integridad, la confidencialidad y la disponibilidad de sta hacia los clientes.
2.2 Estndares y mejores prcticas para la Planeacin de la Continuidad del Negocio
y Recuperacin ante Desastres de TICs.
Actualmente, los servicios TICs, trascienden las fronteras de la organizacin
convirtindose en productos de la compaa, situando a la gestin de los servicios TI como
uno de los elementos clave que se debe tener en cuenta en la estrategia de negocio, tanto
en las previsiones de ingresos y crecimiento, como en las de contingencia y supervivencia
Pgina 14
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
de la compaa ante situaciones crticas. Esto es, particularmente importante para las
compaas del sector industrial, en este caso ya no basta con tener excelentes servicios
de TICs, sino que es necesario demostrar a sus accionistas y clientes que disponen de
una infraestructura tecnolgica y de servicios fiables y bien gestionados. Adicionalmente
las empresas deben tener en cuenta las implicaciones relacionadas con el cumplimiento
de las normativas y leyes locales y globales, cuyo cumplimiento es preciso demostrar.
En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y
materias relacionadas, se incluye en la figura 2.2, una seleccin de los estndares,
mtodos de referencia y regulaciones ms conocidas y relevantes:
ITIL
DefinicindeProcesos[BSI,2009].
DRII
CapacitacinyCertificacinenPlanesdeContingencia[DRII,2004].
ISO9001
Motivadores, Gobierno
Corporativo, Gobierno de
TI, Estndares y Mejores
Prcticas, Procesos y
Procedimientos, para la
Convergencia de TICs
SistemadeGestindelaCalidad[ISO,2009].
ISO20000
SistemadeGestindeServiciosdeTI[ISO,2009].
ISO27001
SistemadeGestindeSeguridaddelaInformacin[ISO,2009].
BS25999
CMMI/SSE CMM
COBIT/ISO38500
SistemadeGestindeContinuidaddelNegocio[BCI,2007].
MetodologasdeDesarrollodeSoftware[Sotelo,2008].
GobiernodeTI[ISO,2009].
COSO
SistemadeGestindelRiesgoEmpresarial[BSI,2009].
ValIT
GobiernodelasInversionesenTI[Sotelo,2008].
BSC
SistemadeGestindeEstrategiadeNegocio[SDG Consulting,2010].
PMBOK/PRINCE2
SistemadeGestindeProyectos[Sotelo,2008].
SOX,BASILEAII,PCI
ReguladoresdeNegocio[Sotelo,2008].
Pgina 15
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Adems, de los aqu resumidos, existen muchos otros estndares, guas, metodologas y
buenas prcticas dedicados a distintos aspectos de la seguridad de la informacin,
publicados por prestigiosas instituciones en todo el mundo.
En el contexto de gestin de servicios de TICs para la Continuidad del Negocio, algunos
estndares y buenas prcticas internacionales a considerar para realizar el documento de
lineamientos, se muestran en la figura 2.3:
Figura 2.3 Estndares internacionales, buenas prcticas y metodologas en general para el desarrollo del
documento de lineamientos de Continuidad del Negocio [Elaboracin propia].
Pgina 16
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Los lineamientos para los servicios de TICs, cubren aspectos como: disponibilidad,
desempeo, confidencialidad, integridad y controles de acceso fsico, administrativos y
lgicos, obteniendo un enfoque integral de acercamiento a la gestin del riesgo y al
gobierno de TI, conformando una estrategia integrada para la seguridad de la informacin
y la continuidad del negocio, basada en una estrategia efectiva de gestin de riesgos.
El cuadro 2.1, muestra los elementos constitutivos necesarios para construir una
infraestructura de TICs segura y una cultura de seguridad, comparando los estndares,
buenas prcticas y metodologas comnmente usados para la Planeacin de la
Continuidad del Negocio y Recuperacin ante Desastres de TICs, debiendo cumplir con
los
objetivos
de
negocio
y
con
los
requerimientos
legales
para
Gente/Procesos/Tecnologa:
Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con
los elementos necesarios para una infraestructura de TICs segura (Inicio) [Elaboracin propia].
Elementos
Estndares, BuenasPrcticasyMundologas.
ISO
27001
ISO
17799/27002
ISO
24762
ISO
20000
ISO
27005
BS
25999
BS
25777
COBIT
ITIL
COSO
M_o_R
Administracin
del riesgo
Continuidad
del negocio
Control de acceso
Arquitectura
segura
de red y aplicacin
Administracin de:
Configuraciones,
Actualizaciones y
Cambios
Monitoreo de la
Seguridad y
manejo
de incidentes
Auditora, rastreo
y monitoreo de
cumplimiento
Documentacin y
evidencia de
procesos
y operaciones
Entrenamiento en
seguridad
y sensibilizacin
Pgina 17
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Cuadro 2.1 Comparativo de los estndares, buenas prcticas y metodologas del Gobierno de TI, en relacin con
los elementos necesarios para una infraestructura de TICs segura (Final) [Elaboracin propia].
Elementos
Estndares, BuenasPrcticasyMundologas.
MOF
AU NZ/4360
NFPA 75
NFPA 1600
NIST SP 800-34
NIST
DRII
BCI
ISACA
ISC
Administracin
del riesgo
Continuidad
del negocio
Control de acceso
Arquitectura
segura
de red y aplicacin
Administracin de:
Configuraciones,
Actualizaciones y
Cambios
Monitoreo de la
Seguridad y
manejo
de incidentes
Auditora, rastreo
y monitoreo de
cumplimiento
Documentacin y
evidencia de
procesos
y operaciones
Entrenamiento en
seguridad
y sensibilizacin
Estos lineamientos se enfocan en ofrecer las directrices para una gestin integral de la
seguridad de la informacin, la prestacin de servicios con calidad y la continuidad de las
operaciones. El Cuadro 2.2, muestra las ventajas y desventajas de cada uno de estos
estndares, buenas prcticas y metodologas en busca de una manera de generar un
camino claro y expedito para luego poder emprender el desarrollo de un modelo de
gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres
de TICs:
Pgina 18
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un
modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del
Gobierno de TI (Inicio) [Elaboracin propia].
Estndares,BuenasPrcticasy
Metodologas
Estndares
BuenasPrcticas
Ventajas
Desventajas
ISO 27001
ContemplaparcialmenteeltemadeContinuidad
delNegocioyRecuperacinanteDesastresdeTI.
ISO 24762
Guaparalaprovisindeserviciosderecuperacin
de desastres como parte de la gestin de la
continuidaddelnegocio.
ActualmenteenDesarrollo.
ISO 20000
OrientadaalaGestindeServiciosdeTI.
BS 25999
de
NFPA 75
de
NIST SP 800-34
ContemplaparcialmenteeltemadeContinuidad
delNegocio.
ISO 17799/27002
Guadebuenaspracticasquedescribelosobjetivos
de control y controles en la Administracin de la
SeguridaddelaInformacin.
ISO 27005
BS 25777
ContemplaparcialmenteeltemadeContinuidad
del Negocio,seusael estndar BS 25999 como
complemento.
COBIT
ITIL
COSO
de
Los principales beneficios que se obtienen al usar estos estndares, buenas prcticas y
metodologas son: (1) Identificar de forma proactiva los impactos de un trastorno
operacional. (2) Proporcionar una respuesta efectiva que minimiza el impacto en la
organizacin. (3) Mantiener la capacidad para gestionar los riesgos no asegurables. (4)
Fomentar el trabajo entre equipos. (5) Mejorar la reputacin y ventajas competitivas de la
Organizacion en su capacidad para mantener, entregar y recuperarse de un desastre.
Pgina 19
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Cuadro 2.2 Ventajas y Desventajas de los estndares, buenas prcticas y metodologas para emprender un
modelo de gestin para la Planeacin de la Continuidad del Negocio y Recuperacin ante Desastres del
Gobierno de TI (Final) [Elaboracin propia].
Estndares,BuenasPrcticasy
Metodologas
BuenasPrcticas
Metodologas
Ventajas
Desventajas
M_o_R
MOF
Detallalosprocesosdegestinquedebenutilizarse
para administrar de manera eficaz los
departamentosinformticos
AU NZ/4360
NFPA 1600
ManejodeDesastres/EmergenciasyProgramasde
ContinuidaddelNegocio.
NIST
DRII
BCI
ISACA
Dedicadaalaprcticayalestudiodelaauditora,el
control, la gobernabilidad de las TI, el anlisis de
riesgosylaseguridadinformtica.
ContemplaparcialmenteeltemadeContinuidad
delNegocioyRecuperacinanteDesastresdeTI.
ISC
ContemplaparcialmenteeltemadeContinuidad
delNegocioyRecuperacinanteDesastresdeTI.
de
Pgina 20
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
La norma BS 25777, contiene una gua de buenas prcticas que establece cmo abordar
la gestin de la continuidad de servicios de TICs en una organizacin, siguiendo el marco
de referencia de la norma BS 25999, sistema de gestin de continuidad del negocio.
El anlisis y evaluacin, anteriormente, expresado ha llevado
el siguiente diagnstico de lineamientos que consideran la
Recuperacin ante Desastres de TICs, ver figura 2.4, con
estratgica que le ofrezca a las Organizaciones la capacidad
ante un entorno cambiante y de alto riesgo:
Figura 2.4 Estndares internacionales, buenas prcticas y metodologas orientadas, para realizar el documento
de lineamientos de Continuidad del Negocio propuesto [Elaboracin propia].
Pgina 21
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Pgina 22
Captulo 2
Anlisis, evaluacin y diagnstico de la situacin actual
Pgina 23
Captulo 3
Metodologa Propuesta
Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en
los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la
Manufactura.
Captulo 3
Metodologa Propuesta
CAPTULO 3. -
METODOLOGA PROPUESTA
En el captulo anterior, se estudi como en los entornos de Continuidad del Negocio y
Recuperacin ante Desastres de TICs; an no existe, un estndar que sea claramente
seguido por el mercado de la industria de la manufactura.
A continuacin, se estudiar como se debe superar esta brecha, a travs de un mtodo,
que proporcione una secuencia definida de pasos para elaborar de manera sistemtica a
travs de una metodologa propuesta, un plan para la continuidad y recuperacin ante
desastres, a travs de la seleccin de un conjunto de estndares, estableciendo la
estrategia de adopcin, por medio de un buen candidato para marco de gobierno de TI.
3.1 Introduccin.
Se puede comentar que, la mayora de los productos y servicios que son solicitados por la
sociedad son proporcionados por empresas, para ellas, es muy importante garantizar a
sus clientes un adecuado nivel de seguridad, disponibilidad y confiabilidad de los procesos
que son esenciales para su funcionamiento, asegurando la continuidad del negocio. Esta
disponibilidad se puede ver afectada por factores accidentales, incidentales y humanos.
Una de las recomendaciones para mitigar los riesgos es la necesidad de recuperar los
recursos, ya sean humanos, de infraestructura, datos vitales y de tecnologas de la
informacin requeridos, que permitan continuar con el funcionamiento normal de la
organizacin, a travs de:
Prevencin/Reduccin/Mitigacin
o Identificar y mitigar el riesgo
Respuesta y Manejo
o Reaccin planificada y manejo de un evento adverso
Recuperacin
o Recuperacin y reanudacin planificada de los servicios y operaciones
despus de una interrupcin
Restauracin
o Reparacin o reemplazo del sitio primario de operaciones normales de la
organizacin.
Pgina 24
Captulo 3
Metodologa Propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
Pgina 25
Captulo 3
Metodologa Propuesta
Pgina 26
Captulo 3
Metodologa Propuesta
FaseII.
FaseI.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
FaseIV.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
Capacitar,probary
ejercitar.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditoradel
PlandeContinuidad.
A5.2.Mantenimiento
delPlande
Continuidad.
A5.3.Mecanismode
almacenamiento.Del
PlandeContinuidad.
A5.4.Mecanismode
actualizacindelPlan
deContinuidad.
A5.5.Mecanismode
distribucindelPlande
Continuidad.
Pgina 27
Captulo 3
Metodologa Propuesta
ACTIVIDADES
(Qu hacer particular?)
Fase I.Conocer y
Planificar el
Medio Ambiente
Organizacional.
TCNICAS
(Cmo
hacerlo?)
-Observacin
-Investigacin
-Recopilacin
-Definir una visin
global del tema en
cuestin a tratar.
-Conocer
conceptos bsicos
para la definicin
de Objetivos.
-Definicin del
marco Conceptual.
- Evaluar los
efectos de las
interrupciones,
daos e impactos
al negocio
- Establecer la
metodologa BIA
(cuestionarios,
talleres,
entrevistas, ...)
- Definir y
categorizar las
funciones y
registros crticos
- Determinar las
franjas de tiempo
de recuperacin y
requerimientos de
recursos mnimos
- Identificar y
categorizar los
procesos del
negocio
HERRAMIENTAS
(Con qu
hacerlo?)
METAS
(Qu obtener en particular?)
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
- Establecer la necesidad de la
continuidad del negocio.
- Comunicar la necesidad de un Plan
para la Continuidad del Negocio.
- Comprometer la Alta Gerencia en los
procesos de Continuidad del Negocio.
- Establecer el Comit de Proyecto.
-Identificar
y
ejecutar
los
requerimientos presupuestales.
-Identificar los equipos de planificacin
y sus responsabilidades.
- Dar respuesta a los requerimientos
de la Gerencia y de documentacin de
los procesos de Continuidad del
Negocio.
- Reportar y obtener la aprobacin del
avance del proyecto.
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Hoja de clculo
- La probabilidad de ocurrencia, en la
organizacin, a un tipo especfico de
amenaza.
- Una evaluacin y anlisis de riesgos.
- Una estrategia de gestin de control
de riesgo y plan de accin.
- Inventario de los procesos crticos del
negocio.
- Secuencia de recuperacin de
procesos y sistemas crticos
- Estimacin del impacto operacional y
financiero de una interrupcin en los
procesos crticos del negocio.
- Identificacin de los tiempos de
recuperacin para cada proceso crtico
del negocio.
- Identificacin de los requerimientos
mnimos
de
los
procesos
o
aplicaciones crticas del negocio
durante
las
operaciones
de
recuperacin.
Pgina 28
Captulo 3
Metodologa Propuesta
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Continuacin).
Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de
TICs en la Industria de la Manufactura.
METODOLOGA
(Qu hacer
general?)
Fase III.Desarrollar el
plan de
continuidad y
estrategias de
recuperacin
ante desastres.
Fase IV.Capacitar,
probar y
ejercitar.
ACTIVIDADES
(Qu hacer particular?)
TCNICAS
(Cmo
hacerlo?)
- Desarrollar
alternativas de
estrategias para:
Refinar los
requerimientos
mnimos para la
recuperacin.
- Identificar las
alternativas
viables para la
recuperacin.
- Seleccionar una
estrategia de
recuperacin
eficiente.
- RFP/RFQ.
- Respuesta a
Emergencias.
- Respuesta a
emergencia y
recuperacin.
-Establecer un
programa de
ejercicios.
-Definir escenarios
de desastre
-Crear un
cronograma de
ejercicios.
-Crear un plan de
control y reporte
de los ejercicios
Retroalimentar y
monitorear los
resultados de los
ejercicios
-Definir un
cronograma de
mantenimiento de
los planes
-Formular los
procedimientos de
control de cambios
HERRAMIENTAS
(Con qu
hacerlo?)
METAS
(Qu obtener en particular?)
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Sistemas de
informacin
basados en
computadoras,
especializados en
seguimiento,
control y planes
de proyectos
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Hoja de clculo
Pgina 29
Captulo 3
Metodologa Propuesta
Cuadro 3.1 Marco metodolgico integral para el desarrollo de la metodologa propuesta (Final).
Metodologa para la creacin de un plan para la continuidad y recuperacin ante desastres en los Sistemas de
TICs en la Industria de la Manufactura.
METODOLOGA
(Qu hacer
general?)
Fase V.Auditora,
Mantenimiento y
Actualizacin.
ACTIVIDADES
(Qu hacer particular?)
TCNICAS
(Cmo
hacerlo?)
- Definicin y
documentacin
del programa de
auditoria.
- Auditar el plan
de auditoria.
- Buscar expertos
internos y
externos.
- Aplicar los
estndares de
auditoria.
- Actualizar
estrategias del
Plan, normas de
requerimientos,
legislacin,
directrices de
buenas prcticas,
estndares.
- Actualizar
anlisis de
impacto,
estrategias y
planes a ser
auditados.
HERRAMIENTAS
(Con qu
hacerlo?)
METAS
(Qu obtener en particular?)
-Mtodo cientfico.
-Procesador de
textos.
-Editor de
imgenes.
-Hoja de clculo
Pgina 30
Captulo 3
Metodologa Propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
Pgina 31
Captulo 3
Metodologa Propuesta
Gestin
Control
(Instrucciones
de ejecucin)
Ejecucin
Informacin
Cambio estado
(Transacciones)
Mantencin
estado
Informacin
estado
Recurso
Figura 3.3 Diagrama de flujo (relaciones) entre procesos de negocio [Arquitectura y diseo de procesos de
negocio, Chile 2008].
Pgina 32
Captulo 3
Metodologa Propuesta
Pgina 33
Captulo 3
Metodologa Propuesta
Pgina 34
Captulo 3
Metodologa Propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Figura 3.5 Tiempos y puntos objetivos de recuperacin [Fuente, Norma BS 25999, 2009].
Pgina 35
DRP
Captulo 3
Metodologa Propuesta
Actividad 2.1 Identificacin de las funciones, servicios y recursos crticos del rea.
En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el
rea y se priorizan de acuerdo con la razn de ser de la misma dentro de la organizacin,
determinando, a su vez, en qu recursos (computacionales o logsticos) se apoya, y de
esta manera establecer la criticidad de los recursos. Para cada prioridad se sealar el
tiempo mximo de espera para que se reanuden los servicios, as como la identificacin
de los registros de datos e informacin vital para la operacin de dichas funciones y
servicios.
Con la informacin anterior, se est en condicin para la identificacin de los riesgos por
prioridad y de esta manera iniciar el Anlisis, Evaluacin y Diagnstico de riesgos.
Pgina 36
Captulo 3
Metodologa Propuesta
Calificacin
1
2
3
4
5
Calificacin
Descriptor
1
2
Insignificante
Menor
Moderado
Mayor
Catastrfico
Impacto potencial
de ocurrencia
Pgina 37
Captulo 3
Metodologa Propuesta
Describirlosefectos
quederivandelas
causas
Describirlascausas
defallaquepuede
generarelescenario
Describirel
escenarioaanalizar
Escenario defallaoperdida
Causas
Efectos
I P
Accin
ControldeRiesgos
Calificarelimpacto,
probabilidadyriesgo
segnelanlisisde
riesgos.
Describirlaaccina
realizar,unavezquese
presenteelevento
Describirlostiposde
controlesconsiderados
paramitigarelriesgo
Figura 3.6 Evaluacin y Diagnstico del anlisis de impacto al negocio [Elaboracin propia].
Pgina 38
Captulo 3
Metodologa Propuesta
Pgina 39
Captulo 3
Metodologa Propuesta
Pgina 40
Captulo 3
Metodologa Propuesta
Estimacin del impacto operacional de una interrupcin en los procesos crticos del
negocio.
Identificacin de los tiempos de recuperacin para cada proceso crtico del negocio.
Identificacin de los requerimientos mnimos de los procesos o aplicaciones crticas
del negocio durante las operaciones de recuperacin.
Pgina 41
Captulo 3
Metodologa Propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
Pgina 42
Captulo 3
Metodologa Propuesta
Pgina 43
Captulo 3
Metodologa Propuesta
Pgina 44
Captulo 3
Metodologa Propuesta
Porcentaje de disponibilidad
90 %
99 %
99.9 %
99.99 %
99.999 %
Tiempo de Downtime
52.560 minutos/ao = 36,5 das/ao
5.256 minutos/ao = 3,65 das/ao
525,6 minutos/ao = 8,76 das/ao
52,56 minutos/ao
5,26 minutos/ao
Pgina 45
Captulo 3
Metodologa Propuesta
Pgina 46
Captulo 3
Metodologa Propuesta
Pgina 47
Captulo 3
Metodologa Propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
BCP
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
Determinar la eficacia con la que puede continuar el negocio ante la presencia de una
posible interrupcin, evaluando el equipo y personal a cargo de cada actividad crtica,
realizando una prueba al sistema demostrando competencia y capacidad de continuidad
del negocio, a travs de la revisin de los estndares y mejores prcticas, identificando
defectos y dificultades, proporcionando recomendaciones de acuerdo a estndares
predefinidos.
Actividad 4.1 Definir objetivos de entrenamiento.
Establecer las estrategias y procedimientos de los programas de entrenamiento, para
proveer de direccionamiento, soporte, metodologas y estndares para garantizar la
continuidad del negocio y servicios de TICs; con ello, se est en condicin de
implementar varios tipos de programas de entrenamiento.
Actividad 4.2 Desarrollar
entrenamiento.
implementar
varios
tipos
de
programas
de
Pgina 48
Captulo 3
Metodologa Propuesta
Con la realizacin del ejercicio se determinan varios aspectos, entre los cuales se
encuentran:
Identificar el nivel de madures del Plan de Continuidad y Recuperacin ante
Desastres de la organizacin.
Verificacin y validacin a los planes de continuidad del negocio, gestin de crisis y
estrategias son viables, efectivas, actualizadas, ajustadas al propsito y permiten la
gestin, control y coordinacin de eventos y estrategias del Plan a nivel tctico y
operacional.
Verificacin y validacin que los miembros y personal se familiarizan con el
entendimiento de roles, responsabilidades y autoridades en la operacin de la
continuidad del negocio y proceso de administracin de crisis.
La formacin de conciencia involucrando individuos usando la continuidad del
negocio y los planes de gestin de crisis.
Pgina 49
Captulo 3
Metodologa Propuesta
Pgina 50
Captulo 3
Metodologa Propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Fase4.
Capacitar,
probary
ejercitar.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
DRP
En esta fase se revisan los estndares de Continuidad del Negocio y Recuperacin ante
Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando
recomendaciones de acuerdo a los estndares predefinidos, desarrollando una lista de
medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados,
resoluciones y reuniones, entre otros.
Actividad 5.1 Auditoria al Plan de Continuidad.
Revisar los estndares de Continuidad del Negocio y Recuperacin ante Desastres de
TICs aplicados, identificando defectos y dificultades, proporcionando recomendaciones de
acuerdo a los estndares predefinidos, documentado el proceso para realizar un plan de
accin y un programa de monitoreo. Una vez efectuada la auditora, se procede a
desarrollar las polticas de mantenimiento, en base a las observaciones hechas por la
misma.
Actividad 5.2 Mantenimiento al Plan de Continuidad.
Las modificaciones al Plan de Continuidad, se basan principalmente en las observaciones
efectuadas por la Auditora, por lo que se debe hacer una lista de medidas mediante las
cuales se mantenga el plan de contingencia, incluyendo resultados, resoluciones y
reuniones, entre otros. Cada vez que se modifique el plan, se deber llevar una bitcora
en la que se indiquen las causas por las que se ha modificado, la fecha, el elemento
cambiado, la descripcin de la modificacin, quin la hizo y si ya se distribuy o no. Lo
anterior, da hincapi al desarrollo de los mecanismos de almacenamiento, actualizacin y
distribucin.
Actividad 5.3 Mecanismo de almacenamiento del Plan de Continuidad.
Una vez terminado el plan de continuidad, ste se deber almacenar en diferentes medios
y ubicaciones. Es recomendable tener copias impresas, por si los documentos magnticos
no estn disponibles en el momento de un incidente. Dichas copias se deben almacenar
tambin en los centros alternos.
Pgina 51
Captulo 3
Metodologa Propuesta
Pgina 52
Captulo 3
Metodologa Propuesta
Pgina 53
Captulo 3
Metodologa Propuesta
Por ltimo, se deben tener en cuenta los elementos mnimos en las revisiones del plan:
Requerimientos operacionales
Requerimientos de seguridad
Procedimientos tcnicos
Hardware, software y otros equipos (tipos, especificaciones y cantidad)
Nombres e informacin de contacto de los miembros de los equipos de
recuperacin
Nombres e informacin de contacto de los proveedores
Archivos vitales (impresos y electrnicos).
Pgina 54
Captulo 4
Aplicacin de la Metodologa. Caso de Estudio:
Empresa de Manufactura de Empaques de
Cartn.
Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en
los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la
Manufactura.
Captulo 4
Aplicacin de la metodologa propuesta
Pgina 55
Captulo 4
Aplicacin de la metodologa propuesta
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Conocer el supra o macro sistema: Empresa. Es necesario conocer su visin, misin, polticas, sus
planes y estrategias correspondientes, los objetivos a cumplir para esos fines, las funciones que
definen lo que se hace y sus correspondientes actividades y/o procesos que permiten hacerlo.
La empresa objeto de estudio, est considerada como una de las principales convertidoras
de empaques en las Artes Grficas dentro de Amrica Latina, dedicada a la produccin de
papeles liner, mdium y cartoncillo para caja plegadiza, as como a la manufactura de
cajas corrugadas, plegadizas y pre-impresas.
Inici sus actividades como un productor de cartn que abasteca un pequeo volumen al
mercado, pero a travs de los aos sus actividades crecieron y la calidad del cartn
domin el mercado mexicano. Ahora abastecen cartn y empaque a los principales
consumidores a lo largo de la Repblica Mexicana.
Cuenta con dos plantas de conversin y tres molinos de papel, en el ltimo de ellos, se
concentr la mayor tecnologa en la produccin de papel y cartn que actualmente
compite con las empresas ms desarrolladas del ramo a nivel mundial y la ms avanzada
de Latinoamrica.
Pgina 56
Captulo 4
Aplicacin de la metodologa propuesta
Visin:
Consolidacin
como una
excelente opcin,
competitiva en el
mercado
nacional, con
reconocimiento a
nivel internacional
Misin:
Proporcionar
soluciones de
empaque y
embalaje de
papel y cartn
con calidad y
servicio.
Ecologa:
Planta recuperadora
de solventes, planta
de tratamiento de
aguas, manejo y
control de residuos,
generacin de
energa elctrica.
Valores:
Calidad,
comunicacin,
congruencia,
honestidad,
lealtad, respeto,
responsabilidad,
trabajo en equipo.
Poltica de
Calidad:
Asegurar que los
productos
fabricados
cumplan los
requisitos de
calidad
Empresaobjetode
estudio.
Papel:
Fabricamos
varios tipos de
papeles y
cartoncillos
reciclados, en
mayor porcentaje
para
autoconsumo.
Plegadizo:
Impresin,
Rotograbado,
Suaje, Engomado
Corrugado y
Preimpreso:
Corrugar y
laminar flautas
tipo F, E, B, C,
CB y Single-Face.
Manufactura de
cajas especiales y
estndar,
terminaciones
especiales.
Aseguramiento
de Calidad:
El sistema de
calidad adoptado
cumple con la
norma ISO
9001:2000
Preprensa:
Diseo estructura,
preprensa,
transporte,
Tecnologa:
Integracin
vertical, la
mayora de
nuestros
procesos son
controlados y
operados por
nosotros
directamente.
Pgina 57
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
ISO
COMIT
EJECUTIVO
SECRETARIA
DE COMIT
Septiembre/2008
DIRECTOR
GENERAL
DIRECTOR DE
CONVERSIN
GERENTE DE
ROTOGRABADO
GERENTE DE
LOGSTICA
GERENTE DE
INGENIERA
GERENTE
DE CALIDAD
CONVERSIN
DIRECTOR CORP.
DE AUDITORIA
DIRECTOR CORP.
DE RECURSOS
HUMANOS
GERENTE
GENERAL
GERENTE
CORPORATIVO
ISO 9000
GERENTE CORP. DE
PLANTA DE
FUERZA
GERENTE DE
MANTENIMIENTO
ELCTRICO
GERENTE
COMPRAS Y
ALMACENES
DIRECTOR
DE PLANTA
TIZAYUCA
DIRECTOR CORP.
DE ADMON.
Y FINANZAS
CONTRALOR
DIRECTOR
COMERCIAL
VALLEJO
GTE. DE VTAS.
PLEGADIZO Y
PRE-IMPRESO Y
CORRUGADO
GERENTE
DE VENTAS
CARTONCILLO
PAPEL
GERENTE DE
TALLER MECNICO
GERENTE
TESORERA
COORDINADOR
DE MATERIAS
PRIMAS
COORDINADOR
DE MATERIAS
PRIMAS
GERENTE DE
PRODUCCIN
CARTONCILLO
GERENTE
SERVICIO A
CLIENTES
LEGAL
GERENTE
CORPORATIVO
DE SISTEMAS
Pgina 58
Captulo 4
Aplicacin de la metodologa propuesta
Una vez ubicada el rea o reas principales ahora, se debe de ubicar el rea particular
donde se desarrollar el Plan de Continuidad y Recuperacin ante desastres, ello ayuda a
conocer el medio ambiente ms cercano al desarrollo del proyecto: para tal fin, en la figura
4.3, se presenta el organigrama particular del rea funcional de apoyo:
ISO
COMIT
EJECUTIVO
SECRETARIA
DE COMIT
Septiembre/2008
DIRECTOR
GENERAL
DIRECTOR CORP.
DE RECURSOS
HUMANOS
GERENTE
GENERAL
DIRECTOR DE
CONVERSIN
GERENTE DE
INGENIERA
GERENTE DE
ROTOGRABADO
GERENTE
DE CALIDAD
CONVERSIN
DIRECTOR CORP.
DE AUDITORIA
GERENTE
CORPORATIVO
ISO 9000
GERENTE CORP. DE
PLANTA DE
FUERZA
GERENTE DE
MANTENIMIENTO
ELCTRICO
GERENTE
COMPRAS Y
ALMACENES
DIRECTOR
DE PLANTA
TIZAYUCA
DIRECTOR CORP.
DE ADMON.
Y FINANZAS
DIRECTOR
COMERCIAL
VALLEJO
GTE. DE VTAS.
PLEGADIZO Y
PRE-IMPRESO Y
CORRUGADO
GERENTE
DE VENTAS
CARTONCILLO
PAPEL
GERENTE DE
LOGSTICA
GERENTE
SERVICIO A
CLIENTES
GERENTE DE
TALLER MECNICO
LEGAL
CONTRALOR
GERENTE
TESORERA
COORDINADOR
DE MATERIAS
PRIMAS
GERENTE DE
PRODUCCIN
CARTONCILLO
COORDINADOR
DE MATERIAS
PRIMAS
GERENTE
CORPORATIVO
DE SISTEMAS
ISO
Septiembre/2008
GERENTE CORP.
DE SISTEMAS
GERENTE SOPORTE
TCNICO
GERENTE DE
DESARROLLO
DE SISTEMAS
LDER DE
PROYECTO
MANUFACTURA
LDER DE
PROYECTO
DISTRIBUCIN
LDER DE
PROYECTO
NOMINA Y RH
LDER DE
PROYECTO
FINANZAS
LDER
TELECOMUNICACIONES
LDER
ADMINISTRACIN
DE SISTEMAS
PLANEACIN Y
DESARROLLO
LDER
SOPORTE
TCNICO
PLANEACIN,
EVALUACIN Y
SEGUIMIENTO
DESARROLLO
TECNOLGICO
Figura 4.3 Organigrama del rea funcional de apoyo TI, de la empresa objeto de estudio.
Pgina 59
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
A1.3. Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez ubicada el rea o reas principales se debe, identificar una coleccin de procesos
interrelacionados que generan un resultado bien definido dentro del funcionamiento de la empresa
(macroproceso).
Existen procesos de negocios bien definidos y diseados que ejecutan las actividades de
la organizacin, stos se pueden tipificar en cuatro grandes grupos o macro procesos, As,
la estructura de procesos de la empresa objeto de estudio, se muestra en la Figura 4.4,
donde tiene los siguientes macro procesos: Diseo de productos que equivale a Macro2;
Desarrollo del negocio, a Macro3; Procesos Habilitadores, a Macro4; y Cadena con el
cliente y Cadena de suministros, que juntos equivalen a Macro1:
Procesoshabilitadores
Nivel0:Divisin
organizacionalen
cuatrodominios
principales
Diseode
productos
Recursos
Desarrollodel
negocio
Cadenaconel
cliente
Clientes
Cadenade
suministros
Planificacin
Planificacin
Planificacin
Planificacin
Investigacin
Abastecimiento
Estudiodemercado
Contacto
Diseo
Produccin
Anlisisdelnegocio
Venta
Integracin
Distribucin
Diseodelnegocio
Soporte
Correccin
Devolucin
Revisindelnegocio
Relacin
Nivel1:Procesos
Nivel2:Variaciones
3.1
Nivel3:
Subprocesos
Nivel4:Actividades
especficasparala
empresayproceso
enparticular
Recepcin,
validaciny
aprobacin
3.2
3.3
3.4
3.5
3.6
Definirmtodo
decontacto
Capturar
necesidadesdel
cliente
Determinar
perfildel
cliente
Informarreglas
delnegocio
Liberacinpara
venta
Tablasparacada
procesoysubproceso
Mtricas
Mejoresprcticas
Pgina 60
Captulo 4
Aplicacin de la metodologa propuesta
Planes
Requerimientos e
informacin de
mercado
Cliente e
informacin
Informacion al
mercado
Administracin
relacin con
el cliente
Respuesta
requerimientos
Cliente a proceso
y antecedentes
producto o
servicio
Mensaje
requerimientos
productos y
servicios
Cambios de estado
Administracin
relacin con
proveedores
Informacin
proveedores
Informacion y
rdenes a proveedores
2
Ideas cambio
Gestin
produccin y
entrega
productos y
procesos produccin
Mensaje plan e
instrucciones
Producto o servicio
al cliente
Produccin y
entrega bien
o servicio
Cliente procesado
Necesidades e
informacin control
Estado 1
Estado 2
Estado 3
Estado 4
Mantencin
estado
Informacin a
otros procesos
5
Informacin estado
Otros recursos
Figura 4.5 Diagrama de flujo (relaciones) tipo IDEF0, entre procesos, de la empresa objeto de estudio.
Pgina 61
Captulo 4
Aplicacin de la metodologa propuesta
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
A1.4.Definir
equiposde
planificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Los equipos de planificacin propuestos se detallan en la figura 4.6, los cuales se obtienen
a partir de la estructura organizacional de la empresa y la arquitectura de macroprocesos
identificadas anteriormente, donde esta ltima nos detalla los procesos crticos a
considerar en la fabricacin del producto:
ISO
EQUIPO DE
RESPUESTA
A INCIDENTES
Septiembre/2008
DIRECTOR CORP.
DE RECURSOS
HUMANOS
DIRECTOR
GENERAL
EQUIPO
ADMINISTRADOR
DE LA
EMERGENCIA
EQUIPO DE
ACCIN DE
EMERGENCIA
EQUIPO
DE EVALUACIN
DE DAOS
GERENTE
GENERAL
LDER DE
PROYECTO
MANUFACTURA
LDER
TELECOMUNICACIONES
GERENTE DE
COMPRAS Y
ALMACENES
LDER DE
PROYECTO
DISTRIBUCIN
LDER
ADMINISTRACIN
DE SISTEMAS
DIRECTOR CORP.
DE ADMON.
Y FINANZAS
LDER DE
PROYECTO
FINANZAS
LDER
SOPORTE
TCNICO
GERENTE DE
MANTENIMIENTO
ELCTRICO
GERENTE DE
TALLER
MECNICO
reas Funcionales de
Manufactura, Distribucin y
Finanzas.
Subreas
Tcnicas.
Pgina 62
Captulo 4
Aplicacin de la metodologa propuesta
El cuadro 4.1, detalla las funciones de los diferentes elementos que integran los equipos
de respuesta a incidentes de la estructura anterior:
Cuadro 4.1 Funciones de los equipos de respuesta a incidentes (Inicio).
Equipo
Empleado
Funcin
Equipo de Accin
de Emergencia
Coordinador
Gerente General
(Manufactura)
Gerente de Compras y
Almacenes
(Distribucin)
Director de Finanzas
(Finanzas)
Coordinador
Gerente de
Mantenimiento
Elctrico
Gerente de Taller
Mecnico
Equipo de
Evaluacin de
Daos
Funcin Importante
Pgina 63
Captulo 4
Aplicacin de la metodologa propuesta
Empleado
Funcin
Coordinador
Lder de proyecto
Manufactura.
Lder de proyecto
Distribucin.
Lder de Proyecto
Finanzas.
Equipo
Administrador de la
Emergencia
Lder de proyecto
Telecomunicaciones.
Lder de proyecto
Administracin de
Sistemas.
Lder de proyecto
Soporte Tcnico.
Funcin Importante
Pgina 64
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Los equipos definirn los objetivos, el alcance y los escenarios que se abarcarn con el plan que se
est construyendo.
El cuadro 4.2, define para cada equipo de respuesta a incidentes, el objetivo, alcance y
escenarios de interrupcin de servicios, como disipador del Plan de Continuidad:
Cuadro 4.2 Definicin de objetivos, alcance y escenarios de los equipos de respuesta a incidentes.
Equipo
Accin ante
emergencias.
Evaluacin de
daos
Administracin de
la emergencia.
Objetivo
Coordinar
la
primera
respuesta
ante
una
emergencia para evitar la
interrupcin
de
los
servicios crticos de la
organizacin.
Determinar el dao en la
red de servicios de la
organizacin identificando
causas
e
impactos,
estimando el tiempo de
recuperacin
para
asegurar la provisin de
los equipos de reemplazo.
Atender
y
ejecutar
eficiente y oportunamente
las
labores
de
recuperacin de datos
crticos y vitales para el
restablecimiento de la red
de usuarios y sistemas de
informacin
de
la
organizacin.
Alcance
Escenarios
Despus
de
un
escenario
de
interrupcin de servicios o de desastre.
Incendios.
Terremotos.
Inundaciones.
Tornados.
Huracanes.
Hundimientos.
Exhalaciones volcnicas.
Huelgas.
Plantones.
Disturbios Sociales.
Fallas en el Equipo de Cmputo o
algn Perifrico
Fallas en Equipo de
Telecomunicaciones o algn
componente de la red
Fallas en el Enlace
Pgina 65
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
A1.6.
Concientizaciny
aprobacinpor
partedelos
directivos.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
FaseV.
Auditora,
mantenimientoy
actualizacin.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez terminadas estas tareas, el grupo debe presentar un informe a los directivos, quienes
despus de revisarlo deciden si dan su aprobacin para que el proyecto siga adelante o, en caso
contrario, solicitan revisin de alguno de los puntos expuestos.
A
L
C
ACTIVIDADES
Qu hacer
para hacer?
A
N
OBJETIVOS
Hasta dnde?
-Conocer el medio
ambiente
organizacional.
-Definir los equipos
de planificacin.
-Analizar y evaluar
riesgos
operacionales.
-Anlisis de Impacto
al Negocio.
Identificar el medio
ambiente de ejecucin
del sistema.
Obtener la
probabilidad de
ocurrencia, a un tipo
especfico de
amenaza.
Estimacin del
impacto financiero de
una interrupcin en
los procesos crticos
del negocio.
C
E
S
METAS
Qu obtener?
- Establecer la
necesidad de la
continuidad del
negocio.
- Identificar los
equipos de
planificacin y sus
responsabilidades.
Fase III.-Desarrollar el
plan de continuidad y
estrategias de
recuperacin ante
desastres.
-Disear las
estrategias de
continuidad.
-Definir los
procedimientos de
recuperacin.
Definir requerimientos
de control y
administracin de la
continuidad.
Desarrollar la
documentacin de los
equipos de
recuperacin de
tecnologa de
informacin.
-Auditora.
-Polticas de
mantenimiento.
La formacin de
conciencia involucrando
individuos usando la
continuidad del negocio
y los planes de gestin
de crisis.
Identificacin e
inclusin de cambios
en los sistemas y
proceso de la
organizacin.
Verificacin y
validacin que las
estrategias y planes
son actualizados,
precisos y completos.
RECURSOS REQUERIDOS:
T
E
C
N
O
L
O
G
I
C
O
S
B
A
S
I
C
O
S
H
U
M
A
N
O
S
TCNICA
Cmo hacerlo?
HERRAMIENTAS
Con qu
hacerlo?
TIEMPOS
Cundo hacer?
COSTOS
Cunto cuesta
hacer?
LUGARES
Dnde hacer?
MOTIVACIN
Por qu y para
qu hacer?
EQUIPO DE
TRABAJO
Quin lo har?
LDER
Quin lo
dirigir?
SUPERVISOR
Quin lo
evaluar?
-Observacin
-Investigacin
-Recopilacin
-Definir una visin
global del tema en
cuestin a tratar.
- Determinar las
franjas de tiempo de
recuperacin y
requerimientos de
recursos mnimos de
operacin.
- Seleccionar una
estrategia de
recuperacin
eficiente.
-Establecer un
programa de
capacitacin, ejercicios
y prueba.
-Mtodo cientfico.
-Procesador de
textos.
-Editor de imgenes.
-Procesador de
textos.
-Editor de imgenes.
-Hoja de clculo.
-Mtodo cientfico.
-Procesador de textos.
-Editor de imgenes
-Procesador de textos.
-Editor de imgenes.
-Hoja de clculo.
-Procesador de textos.
-Editor de imgenes.
-Hoja de clculo.
10 das hbiles.
15 das hbiles.
20 das hbiles
25 das hbiles
15 das hbiles
Da normal de los
implicados.
Da normal de los
implicados.
Capacitacin externa de
los implicados.
Capacitacin externa
de los implicados.
Organizacin interna.
Organizacin interna.
Comprometer la Alta
Gerencia en los
procesos de
Continuidad del
Negocio.
Director del proyecto.
Estimar el impacto
operacional de una
interrupcin en los
procesos crticos del
negocio.
Director/Equipos de
planificacin.
Equipos de TI, en la
estrategia de
continuidad.
Organizacin/sitio
alterno.
Respuesta a
emergencia y
recuperacin.
Organizacin/sitio
alterno.
- El ensayo de la
disponibilidad y
traslado del personal.
Director/Equipos de
planificacin.
Director/Equipos y
personal.
Organizacin/sitio
alterno.
Validacin que el Plan
de continuidad siguen
una secuencia lgica,
formato y estructura
definidos.
Director/Equipos y
personal.
Socio comercial
externo.
Socio comercial
externo.
Socio comercial
externo.
Socio comercial
externo.
Socio comercial
externo.
Pgina 66
Captulo 4
Aplicacin de la metodologa propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
Conoceryplanificarel
medioambiente
organizacional.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
FaseII.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A2.1.
Identificacindelas
funciones,servicios
yrecursoscrticos
delrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
En esta actividad se deben enumerar todas las funciones y servicios que se realizan en el rea y se
priorizan de acuerdo con la razn de ser de la misma dentro de la organizacin, determinando, a su
vez, en qu recursos (computacionales o logsticos) se apoya, y de esta manera establecer la
criticidad de los recursos. Para cada prioridad se sealar el tiempo mximo de espera para que se
reanuden los servicios, as como la identificacin de los registros de datos e informacin vital para la
operacin de dichas funciones y servicios.
El cuadro 4.4, detalla las funciones por rea de la organizacin objeto de estudio y sus
correspondientes recursos crticos (Prioridad, Recursos de apoyo, Tiempo mximo de
reanudacin y Registros de datos vitales):
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Inicio).
rea Funcional: GERENCIA GENERAL
Sub-rea:
Recursos crticos.
Funciones.
1
Prioridad
Recursos
de apoyo
1.1
1.2
1.3
SIBC
SIBC
MP
1.4
MP
Tiempo mximo
de reanudacin
1 da
1 da
2 das
7 das
Registros de
datos vitales
SIBC
SIBC
MP
MP
MP = Manual de Procedimientos
Pgina 67
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL
Sub-rea: DIRECCIN DE CONVERSIN Y ROTO GRABADO
Recursos crticos
Funciones
1
Programacin de la produccin.
Fechas de entrega
Inventarios
Anlisis de costo de operacin
Revisin y entrega de resultados
Reportes de indicadores, Planes y esquemas de
trabajo.
Desarrollo, especificaciones y productos nuevos.
Liberacin de Producto y producto no conforma
Requerimientos de refacciones e insumos
Rechazos, resultados y quejas de clientes internos y
externos.
Proyectos y viabilidad
Aspectos relacionados con el personal
Requisicin de compra
Requerimientos y mantenimiento de Software y
Hardware
Toma de decisiones en la elaboracin de
herramentales
Proyectos y asistencia tcnica
Asistencia Tcnica
Intercambio de informacin tcnica
Prioridad
Recursos
de apoyo
Tiempo mximo
de reanudacin
Registros de
datos vitales
2.1
SIBC
1 hora
SIBC
2.2
2.3
2.4
2.5
2.6
SIBC
SIBC
SIBC
SIBC/MP
MP
1 da
2 horas
1 da
2 das
2 horas
SIBC
SIBC
SIBC
SIBC
MP
2.7
2.8
2.9
2.10
SIBC
SIBC
SIBC
SIBC
7 das
1 hora
1 hora
1 hora
SIBC
SIBC
SIBC
SIBC
2.11
2.12
2.13
2.14
SIBC
SIBC
SIBC
SIBC
2 das
1 horas
2 horas
2 das
SIBC
SIBC
SIBC
SIBC
2.15
SIBC
1 hora
SIBC
2.16
2.17
2.18
SIBC
MP
MP
1 da
2 horas
1 da
SIBC
MP
MP
3.1
SIBC
2 horas
SIBC
3.2
3.3
SIBC
SIBC
2 horas
1 hora
SIBC
SIBC
3.4
SIBC
1 hora
SIBC
3.5
SIBC/MP
1 hora
SIBC
3.6
MP
2 das
MP
3.7
3.8
3.9
3.10
SIBC
SIBC
MP
SIBC/MP
2 horas
2 horas
1 hora
1 hora
SIBC
SIBC
MP
SIBC
3.11
3.12
3.13
SIBC/MP
SIBC
SIBC/MP
1 hora
2 das
2 horas
SIBC
SIBC
MP
MP = Manual de Procedimientos
Pgina 68
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL
Sub-rea: GERENCIA DE CALIDAD CONVERSIN
Recursos crticos
Funciones
1
Prioridad
Recursos
de apoyo
Tiempo mximo
de reanudacin
Registros de
datos vitales
4.1
SIBC
1 hora
SIBC
4.2
4.3
SIBC
SIBC
3 horas
2 das
SIBC
SIBC
5.1
SIBC
2 horas
SIBC
6.1
MP
1 da
MP
6.2
6.3
6.4
SIBC
SIBC
SIBC
2 das
1 da
1 da
SIBC
SIBC
SIBC
6.5
6.6
SIBC
MP
2 das
3 das
SIBC
MP
6.7
SIBC
2 das
SIBC
7.1
SIBC
1 hora
SIBC
7.2
7.3
7.4
7.5
7.6
7.7
7.8
SIBC
SIBC
SIBC/MP
SIBC
SIBC/MP
SIBC
MP
1 hora
1 hora
2 horas
2 horas
1 da
1 da
7 das
SIBC
SIBC
SIBC
SIBC
SIBC
SIBC
MP
Compras
Pago de proveedores
Supervisar el material terminado
Traslado de materiales
Entrega de producto terminado
Materiales o servicios que soliciten
Liberacin de mercancas
Legislacin
MP = Manual de Procedimientos
Pgina 69
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.4 Identificacin de las funciones, servicios y recursos crticos por rea (Final).
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS
Sub-rea:
Recursos crticos
Funciones
1
Prioridad
Recursos
de apoyo
Tiempo mximo
de reanudacin
Registros de
datos vitales
8.1
SIBC
1 da
SIBC
8.2
8.3
SIBC/MP
SIBC/MP
3 das
7 das
SIBC
SIBC
8.4
8.5
SIBC
SIBC
2 das
2 das
SIBC
SIBC
8.6
SIBC
1 da
SIBC
8.7
SIBC
2 das
SIBC
9.1
SIBC
1 hora
SIBC
9.2
9.3
9.4
SIBC
SIBC
SIBC
4 horas
8 horas
1 da
SIBC
SIBC
SIBC
9.5
9.6
9.7
9.8
SIBC
SIBC
MP
MP
2 das
1 da
4 das
2 das
SIBC
SIBC
MP
MP
10.1
SIBC
2 horas
SIBC
10.2
10.3
SIBC
SIBC
1 da
2 das
SIBC
SIBC
MP = Manual de Procedimientos
Pgina 70
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2. Anlisis,
evaluaciny
diagnsticode
riesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Los cuadros 4.5a, 4.5b y 4.5c, muestran las categoras de probabilidad de ocurrencia, el
impacto potencial de un riesgo y la matriz del nivel de riesgo, respectivamente:
Cuadro 4.5a Probabilidad de Ocurrencia de un riesgo [Elaboracin propia].
Calificacin
1
2
3
4
5
Calificacin
Descriptor
1
2
Insignificante
Menor
Moderado
Mayor
Catastrfico
Impacto potencial
de ocurrencia
Pgina 71
Captulo 4
Aplicacin de la metodologa propuesta
Basndose en los cuadros 4.5a y 4.5b anteriores, el cuadro 4.6, analiza y evala para
cada categora de riesgo, la probabilidad de ocurrencia y su impacto potencial, en la
organizacin objeto de estudio:
Cuadro 4.6 Anlisis y evaluacin de la probabilidad ocurrencia y el impacto potencial de un riesgo.
Categora
Probabilidad
de ocurrencia
Impacto
potencial
3
3
4
3
4
1
1
1
3
1
1
4
3
5
3
5
3
3
3
4
3
3
4
3
3
4
3
1
4
2
4
2
5
2
2
1
1
3
5
5
5
4
5
4
2
3
5
3
4
4
4
3
2
2
Amenazas Naturales:
1.Inundaciones internas
2. Inundaciones externas
3. Fuego interno
4. Fuego externo
5. Terremoto
6. Volcanes
7. Huracanes
8. Tornado
9. Rayos
10. Nevada
11. Avalancha
Amenazas Humanas:
12. Explosin
13. Vandalismo
14. Huelga
15. Robo obstruccin para ir al trabajo
16. Desechos txicos
17. Cadas de aviones
18. Accidentes
19. Terrorismo
Amenazas Tcnicas:
20. Fallas de energa
21. Fallas en las comunicaciones de datos
22. Fallos del aire acondicionado
23. Fallos del CPU y Hardware
24. Fallos del Software del Sistema Operativo
25. Fallos del Software aplicativo
26. Interferencia electromagntica
27. Otro
Pgina 72
Captulo 4
Aplicacin de la metodologa propuesta
El siguiente cuadro, muestra el diagnstico de las categoras de nivel de riesgo del cuadro
anterior, a travs de la matriz del nivel de riesgo:
Cuadro 4.7a Diagnstico del nivel de riesgo.
Matriz de nivel de riesgo
Probabilidad
Impacto potencial
de ocurrencia
17
6, 7, 8, 10, 11
26
19
13, 16, 27
2, 4
1, 9
14
15
25
12, 23
3, 5
21
22, 24
20
18
Medio
Alto
Catastrfico
Calificacin
Bajo
17,26
Sin perjuicios.
Medio
6,7,8,10,11,13,
Tratamiento
16,18,19,27
Alto
2,4,15,25
Requiere
de
primeros
tratamiento
auxilios,
mdico,
liberado
liberado
Catastrfico
1,3,5,9,12,14,20,
21,22,23,24
nocivos.
De acuerdo a las tablas 4.7a y 4.7b, se debe poner especial inters en los riesgos: 20.
Fallas de energa, 3. Fuego interno, 5. Terremoto, 22. Fallas del aire acondicionado y 24.
Falla del software del Sistema Operativo.
Pgina 73
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
El cuadro 4.8, muestra las estrategias a implementar, dependiendo del tipo de riesgo, para
que cada proceso tenga condiciones mnimas de operacin:
Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mnimas de operacin (Inicio).
Riesgo
Interrupcin elctrica.
Fallos en Hardware.
Fallas en Software.
Fallas en
Comunicaciones.
Desastres naturales.
Pgina 74
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.8 Estrategias a implementar, para reanudar los procesos en condiciones mnimas de operacin (Final).
Riesgo
Intrusin (hackeo).
Recurso Humano.
Dependencia en el personal;
Capacitacin;
Documentacin de las funciones del personal.
Incendio.
Fallas en Respaldos.
Virus
Violaciones a la Seguridad
fsica.
Los aspectos a considerar anteriores, proporcionan una proteccin ante los riesgos
descritos, cuya ocurrencia se puede atenuar instrumentando controles adecuados.
Pgina 75
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
FaseV.
Auditora,
mantenimientoy
actualizacin.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Las actividades 2.2. y 2.3, nos ayudaron a determinar las categoras de riesgos, su
probabilidad e impacto al negocio, as como el nivel de riesgo y el conjunto de estrategias
a implementar para que cada proceso tenga condiciones mnimas para poder reanudarse .
Ahora, con ayuda de la actividad 2.1, se procede a la identificacin de actividades de
misin crtica, sus dependencias y puntos de falla, para determinar impactos y efectos
financieros y no financieros como resultado de una interrupcin.
El cuadro 4.9, detalla el nivel de riesgo y su impacto en el negocio, para cada funcin
identificada en el cuadro 4.4, apoyndonos desde luego, de los cuadros 4.5b y 4.7b del
impacto potencial de un riesgo y nivel de riesgo, respectivamente:
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones,
servicios y recursos crticos por rea (Inicio).
rea Funcional: GERENCIA GENERAL
Sub-rea:
Recursos crticos.
Funciones.
1
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
1.1
1.2
1.3
SIBC
SIBC
MP
2
2
3
2
5
3
1.4
MP
MP = Manual de Procedimientos
Pgina 76
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones,
servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL
Sub-rea: DIRECCIN DE CONVERSIN Y ROTO GRABADO
Recursos crticos
Funciones
1
Programacin de la produccin.
Fechas de entrega
Inventarios
Anlisis de costo de operacin
Revisin y entrega de resultados
Reportes de indicadores, Planes y esquemas de
trabajo.
Desarrollo, especificaciones y productos nuevos.
Liberacin de Producto y producto no conforma
Requerimientos de refacciones e insumos
Rechazos, resultados y quejas de clientes internos y
externos.
Proyectos y viabilidad
Aspectos relacionados con el personal
Requisicin de compra
Requerimientos y mantenimiento de Software y
Hardware
Toma de decisiones en la elaboracin de
herramentales
Proyectos y asistencia tcnica
Asistencia Tcnica
Intercambio de informacin tcnica
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
2.1
SIBC
2.2
2.3
2.4
2.5
2.6
SIBC
SIBC
SIBC
SIBC/MP
MP
2
1
2
3
1
5
5
4
4
3
2.7
2.8
2.9
2.10
SIBC
SIBC
SIBC
SIBC
5
1
1
1
3
2
2
4
2.11
2.12
2.13
2.14
SIBC
SIBC
SIBC
SIBC
3
1
1
3
4
1
2
3
2.15
SIBC
2.16
2.17
2.18
SIBC
MP
MP
2
1
2
3
1
1
3.1
SIBC
3.2
3.3
SIBC
SIBC
1
1
4
4
3.4
SIBC
3.5
SIBC/MP
3.6
MP
3.7
3.8
3.9
3.10
SIBC
SIBC
MP
SIBC/MP
1
1
1
1
3
1
1
2
3.11
3.12
3.13
SIBC/MP
SIBC
SIBC/MP
1
3
1
1
3
2
MP = Manual de Procedimientos
Pgina 77
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones,
servicios y recursos crticos por rea (Continuacin).
rea Funcional: GERENCIA GENERAL
Sub-rea: GERENCIA DE CALIDAD CONVERSIN
Recursos crticos
Funciones
1
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
4.1
SIBC
4.2
4.3
SIBC
SIBC
2
3
4
3
5.1
SIBC
6.1
MP
6.2
6.3
6.4
SIBC
SIBC
SIBC
3
2
2
4
3
4
6.5
6.6
SIBC
MP
3
4
3
4
6.7
SIBC
Compras
Pago de proveedores
Supervisar el material terminado
Traslado de materiales
Entrega de producto terminado
Materiales o servicios que soliciten
Liberacin de mercancas
Legislacin
7.1
SIBC
7.2
7.3
7.4
7.5
7.6
7.7
7.8
SIBC
SIBC
SIBC/MP
SIBC
SIBC/MP
SIBC
MP
1
1
1
1
2
2
5
5
4
4
4
3
2
1
MP = Manual de Procedimientos
Pgina 78
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.9 Identificacin del tiempo objetivo de recuperacin y su impacto al negocio, en las funciones,
servicios y recursos crticos por rea (Final).
rea Funcional: DIRECCIN DE ADMINISTRACIN Y FINANZAS
Sub-rea:
Recursos crticos
Funciones
1
Prioridad
Recursos
de apoyo
Tiempo objetivo
de recuperacin
Impacto
potencial
8.1
SIBC
8.2
8.3
SIBC/MP
SIBC/MP
4
5
5
4
8.4
8.5
SIBC
SIBC
3
3
4
3
8.6
SIBC
8.7
SIBC
9.1
SIBC
9.2
9.3
9.4
SIBC
SIBC
SIBC
2
2
2
5
5
4
9.5
9.6
9.7
9.8
SIBC
SIBC
MP
MP
3
2
4
3
3
3
1
1
10.1
SIBC
10.2
10.3
SIBC
SIBC
2
3
4
4
MP = Manual de Procedimientos
Pgina 79
Captulo 4
Aplicacin de la metodologa propuesta
Impacto potencial
1
2.12,2.17,3.8,3.9,
3.11
2.8,2.9,2.13,2.15,
3.10,3.13
2.6,3.4,3.5,3.7
2.10,3.2,3.3,7.3,
7.4,7.5
2.18
1.1,7.7
2.16,6.3,7.6,8.6,
9.6
2.4,4.2,6.4,9.4,
10.2
2.1,2.3,3.1,4.1,
5.1,7.1,7.2,9.1,
10.1
1.2,2.2,6.1,8.1,
9.2,9.3
6.7,9.8
3.6,8.7
1.3,2.14,3.12,4.3,
6.5,8.5,9.5
2.5,2.11,6.2,
8.4,10.3
9.7
7.8
6.6
2.7
8.2
1.4,8.3
Medio
Alto
Catastrfico
Pgina 80
Captulo 4
Aplicacin de la metodologa propuesta
Formulas y Procesos
X
X
X
X
Inspeccin en Proceso
Plan de Recursos
X
X
X
X
Compras
Inventario Cclico
X
Presupuestos y proyectos
Report Writer
Grupo de Costos
X
X
X
X
Contabilidad General
X
X
Programacin de Proveedores.
X
X
Liberacin de mercancas
Legislacin
Compras
Pago de proveedores
Programacin de Clientes
Direccin de
Administracin y Finanzas
Gerencia de Compras y
Almacenes
precios,
nacional,
Cumplimiento a reglamentacin.
Sistema de Informacin
Acontecimientos,
entorno
convenios internacionales
Apoyo a la Funcin
Funcin
Gerencia General
X
X
X
X
X
X
X
Pgina 81
Captulo 4
Aplicacin de la metodologa propuesta
El cuadro 4.12, detalla el cruce de informacin de los Sistemas de Informacin contra los
Sistemas de Informacin Basados en Computadora [Galindo, 2007] existentes, ahora con
el objetivo de encontrar el apoyo entre Sistemas:
Cuadro 4.12 Cruz de informacin Sistemas vs Sistemas [Basado en Galindo, 2007]
Produccin repetitiva
X
X
X
X
X
Plan de Recursos
X
X
X
Inspeccin en Proceso
Grupo de Costos
Report Writer
Presupuestos y proyectos
Formulas y Procesos
Contabilidad General
Inventario Cclico
Compras
X
X
Programacin de Proveedores
Programacin de Clientes
Inventarios
Plan de Recursos
Inspeccin en Proceso
Produccin repetitiva
Formulas y Procesos
Sistema de Informacin
Programacin de Clientes
Sistema de Informacin
de materiales.
X
Inventarios
Compras
Planeacin de Requerimientos de Distribucin
X
X
X
X
Contabilidad General
X
X
X
X
X
Report Writer
Cuentas por Cobrar
Inventario Cclico
Presupuestos y proyectos
X
X
Programacin de Proveedores.
X
X
X
X
Grupo de Costos
X
X
Los cuadros anteriores, nos ayudan a obtener los sistemas que apoyan a las funciones y
su correspondiente interaccin para priorizar la recuperacin y restauracin de los
Sistemas de Informacin Basado en Computadoras.
Pgina 82
Captulo 4
Aplicacin de la metodologa propuesta
El siguiente cuadro, muestra la prioridad y nivel de riesgo (ver cuadro 4.7b), por Sistema
de Informacin Basado en Computadora visto en los cuadros anteriores:
Cuadro 4.13 Prioridad y nivel de riesgo de los Sistemas de Informacin Basados en Computadora.
rea
Funcional
Gerencia
General
Gerencia de
Compras y
Almacenes
Sistema de Informacin
Prioridad
Alta
Baja
17
18
Direccin de 19
Administracin 20
y Finanzas
21
22
23
Nivel de Riesgo
Alta
Baja
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Contabilidad General
Presupuestos y proyectos
Report Writer
Cuentas por Cobrar
Cuentas por Pagar
Grupo de Costos
Control de Activos Fijos
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
1, 2, 4, 8, 9, 11, 12,
13, 20, 21
3, 5, 14, 17,
Bajo
Alto
Alto
Bajo
Nivel de Riesgo
Prioridad
Categora de Prioridad
Alta
Media
Baja
Ultimo
Pgina 83
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodel
anlisisdeimpacto
alnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Identificar y categorizar los escenarios de falla, determinando las causas y efectos, para determinar
las acciones a seguir y el control de riesgos a desarrollar.
Naturales
Humanos
Causas
- Incendios;
- Terremotos;
- Inundaciones;
- Tornados;
- Huracanes;
- Hundimientos;
- Exhalaciones
volcnicas.
- Amenazas de
Bomba;
- Huelgas;
- Plantones;
- Empleados
Inconformes;
- Empleados mal
Capacitados;
- Disturbios sociales;
- Incendios.
Efectos
Prdida total
de la
operacin en
sitio.
5,4
1,2
4,3
Accin
Control de Riesgos
-Plizas de seguro
vigentes.
en ubicacin alterna.
Prdida
total/parcial de
la operacin
en sitio.
4,3
2,3
3,2
- Plizas de seguro
vigentes;
- Seguridad fsica para
el ingreso al edificio,
oficinas y cuartos de
servidores y equipos
de comunicacin.
- Capacitacin;
- Documentacin de las funciones del
personal.
- Capacitacin al personal para
detectar situaciones que puedan
representar riesgo o cuestionar la
presencia de personas desconocidas
o sin identificacin;
- Sistemas de seguridad: circuitos
cerrados de televisin, sensores de
movimiento, alarmas;
- Recuperacin de operaciones
en ubicacin alterna/local.
Tcnicos
- Fallas en el Equipo
de Cmputo o algn
Perifrico;
- Fallas en el Equipo
de Soporte del Centro
de Cmputo;
- Fallas en Equipo de
Telecomunicaciones o
algn componente de
la red;
- Fallas en el Enlace;
- Infeccin de Virus;
- Falla de
aplicaciones.
Prdida
parcial de la
operacin en
sitio.
3,2,1
4,5
2,1
- Plizas de seguro
vigentes;
- Fuentes alternas de
generacin elctrica:
UPS y plantas
elctricas;
- Procedimientos para
respaldo y
recuperacin de
informacin, fuentes,
objetos,
documentacin, y
configuracin de los
sistemas.
- Recuperacin de operaciones
en ubicacin local.
Pgina 84
Captulo 4
Aplicacin de la metodologa propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
Actividad 3.1
organizacin.
Disear
las
estrategias
de
continuidad
de
la
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisis
costo/beneficiodelas
estrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Detalle
Aplicacin
Servidor
Servidor
Arreglo de Discos
Unidad de cinta
Planeador
de
Recursos
Empresariales (ERP), nmina y
recursos humanos.
Servidor espejo del Planeador de
Recursos Empresariales (ERP),
nmina y recursos humanos.
Almacenamiento, virtualizacin y
balanceo de carga de las Bases de
Datos.
Respaldo de las Bases de Datos y
ambiente operativo.
Firewall.
Hardware:
Servidor
Servidor
Servidor
Enrutador
Correo electrnico.
Web, fax, anti-spam, anti-virus.
Enrutador principal red LAN y WAN
para voz y datos
Pgina 85
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.16 Recursos del Centro de Procesamiento de Datos CPD, actuales de la empresa en estudio (Final).
Recurso
Detalle
Aplicacin
Software:
Sistema Operativo
HP UX 11 i V 3
Base de Datos
ERP
Arreglo de discos
Arreglo de discos
Unidad de cinta
HP TapeAssure
Firewall
Sistema Operativo
Sistema Operativo
Web
Anti-spam
Anti-virus
Enrutador
Telecomunicaciones:
Enlaces de voz y datos
Enlaces de voz y datos
Respaldo parcial y total de las bases de datos a las 13:00 y 22:00 horas
respectivamente; respaldo total del equipo los fines de semana; 5 juegos de
6 cintas; resguardo de las cintas de fin de mes.
Respaldo
Pgina 86
Captulo 4
Aplicacin de la metodologa propuesta
La siguiente figura representa las aplicaciones del negocio dentro de la arquitectura del
Sistema de Informacin actual, de la empresa objeto de estudio:
La figura 4.7b, describe la arquitectura del cluster de alta disponibilidad actual, del CPD
de la empresa objeto de estudio:
Figura 4.7b Arquitectura del Centro de Procesamiento de Datos CPD, de la empresa objeto de estudio.
Pgina 87
Captulo 4
Aplicacin de la metodologa propuesta
Pgina 88
Captulo 4
Aplicacin de la metodologa propuesta
Consideraciones para seleccionar el proveedor de servicios del CPD, ver cuadro 4.17:
Cuadro 4.17 Solicitud de Propuestas/Solicitud de Calificaciones RFP/RFQ.
Solicitud de Propuestas RFP:
Contiene la informacin necesaria de la organizacin colegial, de su entorno, del sector y de la necesidad que justifica el servicio solicitado, as
como de las acciones previas en este mbito, del servicio previsto y sus objetivos generales, dentro de un calendario y con una estimacin de
econmica.
Resumen Ejecutivo
Descripcin breve del objeto del proyecto
Lugar y plazo de presentacin de ofertas
Informacin General
Introduccin
Antecedentes
Objetivo del proyecto
Aspectos contractuales
Alcance del proyecto
Objetivos a cubrir
Requerimientos funcionales
o
Configuraciones de los Sistemas de Informacin hospedados.
o
Plan de Recuperacin ante Desastres del sitio alterno.
o
Velocidad de disponibilidad de los Sistemas de Informacin hospedados.
o
Abonados por sitio.
o
Abonados por rea.
o
Preferencia en la disponibilidad de servicios.
o
Pliza de seguros.
o
Perodo de uso del sitio alterno.
o
Comunicaciones del sitio alterno.
o
Garantas por prdida parcial o total de informacin y/o equipos.
o
Auditora de los servicios ofrecidos.
o
Pruebas de seguridad y disponibilidad.
o
Confiabilidad de servicios.
Condicionantes tcnicos
Entregables
Fechas objetivo de implantacin
RELACIN DE REQUISITOS
Generales
Presentacin de la Compaa
Referencias
Tcnicos
Caractersticas tcnicas generales de la solucin y equipos ofertados.
Medios especficos que se destinan para la prestacin del servicio
Equipo de trabajo
Otros medios
Metodologa que pretende emplearse para la prestacin del servicio
Calendario de trabajo propuesto, incluyendo actividades e hitos principales
Planes de control de calidad
Las propuestas de mejora que se estimen convenientes
Detalle de componentes de la oferta:
Hardware
Software
Servicios
Pgina 89
Captulo 4
Aplicacin de la metodologa propuesta
Pgina 90
Captulo 4
Aplicacin de la metodologa propuesta
Pgina 91
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
FaseIII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
A3.2.Presentarel
anlisis
costo/beneficiode
lasestrategiasde
continuidad.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Determinada la estrategia de continuidad, se analizar el impacto de sta sobre la operacin del rea
funcional, tomando los costos tanto de nivel cualitativo como cuantitativo e incluyendo un anlisis
costo/beneficio de la implantacin de un control.
Los siguientes cuadros: 4.18a y 4.18b, detallan los costos de compra y arrendamiento
respectivamente del hardware requerido para el CPD Local y CPD Duplicado:
Cuadro 4.18a Compra de Hardware requerido para la estrategia de continuidad propuesta.
Dependencia
Servidores
Arreglo de discos
Equipos
Costo
Compra
Costo
Mantto
Anual
CORPORATIVO
152306
PLANTAS
35067
SUCURSALES
TOTAL
Equipos
Costo
Compra
Costo
Mantto
Anual
Equipos
Costo
Compra
16862
12600
1130
3600
9750
187373
20462
12600
1130
9570
Costo
Mantto
Anual
Totales
Equipos
Costo
Compra
Costo
Mantto
Anual
164906
17992
650
44817
4250
650
209723
22242
209723
22242
GRAN TOTAL
Mantenimiento
Segundo Ao
Mantenimiento
Tercer Ao
Inversin Inicial:
Inversin a 3 aos
23354
24521
231,965 Dolares
279,840 Dolares
Servidores
Equipos
Arreglo de discos
Costo
Arrenda
miento
Costo
Mantto
Anual
Equipos
Costo
Arrenda
miento
Costo
Mantto
Anual
Costo
Arrenda
miento
Costo
Mantto
Anual
Totales
Equipos
Costo
Arrendami
ento
Costo
Mantto
Anual
CORPORATIVO
50768
16862
3550
1130
54318
17992
PLANTAS
10830
3600
3100
650
13930
4250
SUCURSALES
TOTAL
61598
20462
3550
1130
3100
650
68248
22242
68248
22242
GRAN TOTAL
Mantenimiento
Segundo Ao
Mantenimiento
Tercer Ao
Inversin Inicial:
Inversin a 3 aos
23354
24521
87,490 Dolares
135,365 Dolares
Pgina 92
Captulo 4
Aplicacin de la metodologa propuesta
Software
Licencia
s
Costo
Arrenda
miento
Costo
Mantto
Anual
CORPORATIVO
10
14780
PLANTAS
4320
SUCURSALES
TOTAL
14
Totales
Cantida
d
Costo
Arrenda
miento
Costo
Mantto
Anual
Licencia
s
Costo
Arrendami
ento
Costo
Mantto
Anual
1265
2150
205
11
16930
1470
410
4320
410
19100
1675
2150
205
15
21250
1880
15
21250
1880
GRAN TOTAL
Mantenimiento
Segundo Ao
Mantenimiento
Tercer Ao
1974
2072
Inversin Inicial:
Inversin a 3 aos
23,130 Dolares
27,176 Dolares
El siguiente cuadro, detalla los costos de los cursos de capacitacin requeridos, para la
administracin de los recursos crticos del Centro de Procesamiento de Datos CPD:
Cuadro 4.19 Cursos de capacitacin requeridos para la estrategia de continuidad propuesta.
Curso
Lder
Personal
Analista
Programador
No.
Personas
Costo /
Persona
Total
HP UX 11 i V 3
369
1107
409
1227
306
918
Software
HP StorageWorks Storage Mirroring
Software
HP Integrity NonStop NS2000 Server
240
720
157
471
Total
$ 4,443 Dolares
Pgina 93
Captulo 4
Aplicacin de la metodologa propuesta
Beneficio
Incremento de la
produccin del orden
$ 30,769
del 1.2%
Incremento en la
capacidad de
Cuantificacin
$ 20,512
almacenaje y
distribucin del 0.8%
Recuperacin de
$ 25,641
Organizacin
$ 14,102
0.55%
Total
$ 91,024 Dolares
Pgina 94
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.21 Parmetros para el anlisis de rentabilidad (TMAR), de la estrategia de continuidad propuesta.
Flujo
Concepto
Valor
$115,063
$91,024
$24,122
$25,328
$26,593
Impuestos (%)
25
Depreciacin (%)
8,10
5
Los parmetros anteriores, proporcionan la base del clculo del anlisis de sensibilidad,
cuyo resultado se expresa en el siguiente cuadro:
Cuadro 4.22 Resumen de resultados del anlisis de sensibilidad, de la estrategia de continuidad propuesta.
Concepto
Anlisis de Sensibilidad
Valor en Dolares
Inversin
115,063
115,063
8%
10%
T.M.A.R. (%)
30%
30%
138,480
132,968
1.91
1.89
Pgina 95
Captulo 4
Aplicacin de la metodologa propuesta
Los cuadros 4.23a y 4.23b, detallan el anlisis de rentabilidad a tasas del 8% y 10%
respectivamente, proporcionando un tiempo estimado de recuperacin de la inversin de
la estrategia de continuidad propuesta:
Cuadro 4.23a Anlisis de rentabilidad a tasa del 8%, de la estrategia de continuidad propuesta.
-1
Aos
-2
Invers.
Flujo de Costos
-3
-4
Mantto
Total
-5
Valor
Pres.
Costos
(8%)
Flujo de Beneficios
-6
-7
-8
Ingresos
SalvaValor Pres.
(5%)
mento
Beneficios
(8%)
-9
Depreciacin
-10
Utilidad
Bruta
(6)-(4)(9)
-11
Impuesto
s
25%(10)
-12
Flujo
Neto
Efectivo
(10)(11)+(9)
Flujos de Efectivo
-13
Flujo
Descon
(8%)
-14
Flujo
Acum
2010
115,063
115,063
115,063
-115,063
-115,063
2011
24,122
24,122
22,192
91,024
83,742
1,156
65,746
16,436
50,466
46,428
-68,635
2012
25,328
25,328
23,301
95,575
87,929
1,098
69,151
17,287
52,960
48,723
-19,912
2013
26,953
26,953
24,796
100,353
92,324
1,043
72,357
18,089
55,311
50,886
30,974
2014
28,300
28,300
26,036
105,370
96,940
991
76,079
19,019
58,051
53,406
84,380
2015
101,786
941
77,152
19,288
58,805
54,100
138,480
32,545
32,545
29,941
110,638
115,063
140,349
255,412
241,329
502,960
941
462,721
241,329
1.91
462,721
138,480
Ao de Recuperacin de la Inversin
-1
Aos
-2
Invers.
Flujo de Costos
-3
-4
Mantto
Total
-5
Valor
Pres.
Costos
(10%)
Flujo de Beneficios
-6
-7
-8
Ingresos
SalvaValor Pres.
(5%)
mento
Beneficios
(10%)
-9
Depreciacin
-10
Utilidad
Bruta
(6)-(4)(9)
-11
Impuesto
s
25%(10)
-12
Flujo
Neto
Efectivo
(10)(11)+(9)
Flujos de Efectivo
-13
Flujo
Descon
(10%)
-14
Flujo
Acum
2010
115,063
115,063
115,063
-115,063
-115,063
2011
24,122
24,122
21,709
91,024
81,921
1,156
65,746
16,436
50,466
45,419
-69,644
2012
25,328
25,328
22,795
95,575
86,017
1,098
69,151
17,287
52,960
47,664
-21,980
2013
26,953
26,953
24,257
100,353
90,517
1,043
72,357
18,089
55,311
49,779
27,799
2014
28,300
28,300
25,470
105,370
94,833
991
76,079
19,019
58,051
52,245
80,044
2015
99,574
941
77,152
19,288
58,805
52,924
132,968
32,545
32,545
29,290
110,638
115,063
140,349
489,307
238,584
502,960
941
452,862
238,584
1.89
132,968
452,862
Pgina 96
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociacin
yfirmadecontratos
conlosproveedores
deservicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
El cuadro 4.24, muestra los trminos contractuales generales a que debe estar sujeto el
contrato de prestacin de servicios del proveedor del Centro de Procesamiento de Datos:
Cuadro 4.24 Contrato de prestacin de servicios informticos para el proveedor del CPD externo.
Contrato de prestacin de servicios informticos
DEFINICIN: Contrato en virtud del cual una de la partes se compromete a prestar a la otra una serie de servicios informticos a cambio de un
precio.
Desarrollo:
PARTES CONTRATANTES: Empresa prestadora de servicios informticos y cliente.
CLUSULAS GENERALES:
Definiciones.
Objeto.
Duracin.
Confidencialidad.
Servicios a prestar.
Plazos.
Pgina 97
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicin
delainfraestructura
deTICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Concluida la negociacin y firma de los contratos con los proveedores de servicios, se est en
condicin de: adquirir y dar mantenimiento a la infraestructura tecnolgica que satisface el requisito
del negocio, para adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI
enfocndose en proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo
con la arquitectura definida de TI y estndares de tecnologa en continuidad del negocio.
Del sistema
De instalacin
Generales
CONVERSIN
Facilidad
Capacitacin de personal
Apoyo al sistema
Facilidades para pruebas de las aplicaciones del cliente
SOPORTE DE LA FIRMA
Organizacin
Plazos de entrega
Mantenimiento y servicio
Actitud de la oferta
Posibilidad de utilizar otros equipos de cmputo
HARDWARE
Seguridad funcional
Tiempo total de mquina
Posibilidades de comprobacin
Rendimientos y caractersticas
Asesoramiento comparado
Posibilidades de crecimiento
Compatibilidad
Pgina 98
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.25 Parmetros a considerar en la seleccin y adquisicin de hardware y software del CPD (Final).
Parmetros a considerar en la seleccin y adquisicin de hardware y software del Centro de
Procesamiento de Datos CPD
SOFTWARE
Lenguajes
Simulacin emulacin
Sistemas operativos
Soporte de programacin para tiempo real
Programas de computacin
MATRIZ DE SELECCIN
MTODOS DE EVALUACIN TCNICA
Muestras
Fachas para la entrega de los bienes y para la iniciacin de la prestacin del servicio
Lugar para la entrega de los bienes y para la iniciacin de la prestacin de los servicios.
Periodo de garanta de los bienes
INFORMACIN ADICIONAL
Equipamiento
Pruebas de desempeo
Procedimientos para la inspeccin de los bienes
Patentes marcas y derechos de autor
DESCALIFICACIN DE PROVEEDORES
ANEXOS QUE DEBER LLENAR EL PROVEEDOR
Pgina 99
Captulo 4
Aplicacin de la metodologa propuesta
Desarrollo:
PARTES CONTRATANTES: Empresa prestadora de servicios informticos y cliente.
CLUSULAS GENERALES:
Definiciones.
Objeto.
Duracin.
Confidencialidad.
Servicios a prestar.
Del sistema
De instalacin
Generales
o
CONVERSIN
Capacitacin de personal
Apoyo al sistema
Plazos de entrega
Mantenimiento y servicio
Seguridad funcional
Posibilidades de comprobacin
Rendimientos y caractersticas
Asesoramiento comparado
Posibilidades de crecimiento
Compatibilidad
o
SOFTWARE
Lenguajes
Simulacin emulacin
Sistemas operativos
Programas de computacin
Plazos.
Pgina 100
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5. Preparacin
delsitioalterno.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A3.6.Definirlos
procedimientosde
recuperacin.
Una vez adquirida la infraestructura de TI necesaria, se consolida la informacin del centro alterno,
su ubicacin, el mapa de los elementos que estn en el sitio, la funcionalidad de cada puesto de
trabajo y el responsable de los elementos que all se encuentran, as como, el procedimiento para
ingresar, teniendo en cuenta consideraciones de horario (hbil o no hbil).
Pgina 101
Captulo 4
Aplicacin de la metodologa propuesta
Suministro ininterrumpido de
energa
Piso Falso.
Adems, cuenta con flexibilidad para adaptar el servicio a los cambios de configuracin
que se produzcan en el futuro en la arquitectura de sistemas, cubriendo la necesidad de
recuperacin del servicio en caso de desastre en el centro de produccin.
Pgina 102
Captulo 4
Aplicacin de la metodologa propuesta
El proveedor del sitio externo, cuenta con recursos que estn totalmente dedicados a la
Recuperacin y Continuidad de los Sistemas mediante la externalizacin de servicios para
evitar usos indebidos, logrando un rigor en la seguridad.
1500
m2
dedicados
a
soluciones de Continuidad de
Negocio.
240 m2 de rea tcnica
divididos en 4 salas.
125 puestos de respaldo para
usuarios.
Horario 7x24.
Red elctrica redundante:
UPS y generador elctrico.
Red
diversificada
de
telecomunicaciones:
Telefnica,
COLT,
BT,
NeoSky.
Facilidad de acceso:
o Transporte privado.
o Transporte colectivo.
o Autobs.
Pgina 103
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
FaseIV.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
Capacitar,probary
ejercitar.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A3.6.Definirlos
procedimientosde
recuperacin.
Pgina 104
Captulo 4
Aplicacin de la metodologa propuesta
Prevencin
Respuesta
Lugar
Reanudacin
Recuperacin
Restauracin
Interrupcin
elctrica
Fuentes alternas de
generacin elctrica:
UPS y plantas
elctricas.
CPD Local
Cambio de
suministro al
proveedor elctrico.
Interrupcin
elctrica total
Fuentes alternas de
generacin elctrica:
UPS y plantas
elctricas.
CPD Local
Cambio de
suministro al
proveedor elctrico.
Interrupcin
elctrica total /
tiempo mximo de
espera en CPD
Local
Interrupcin
elctrica total /
tiempo mximo de
espera en CPD
Local y CPD
Duplicao
Falla de hardware
de disco
Brigadas de atencin
ante situaciones de
emergencia
Cambio de suministro
del proveedor elctrico a
planta de fuerza, en
lnea.
Suministro de la fuente
alterna de
almacenamiento
elctrico UPS, en lnea.
Cambio al CPD
duplicado y
redireccionamiento del
trfico de red.
CDP Local,
CPD
Duplicado
Brigadas de atencin
ante situaciones de
emergencia
CPD Local,
CPD
Duplicado,
CPD
Externo.
Contratos de
mantenimiento
preventivo y correctivo
CPD Local
Dems servicios
del servidor
principal
CPD Local
Dems servicios
del servidor
principal
CPD Local
Dems servicios
del servidor
principal
Tarjeta de red y
Segmento de red
primario en lnea
CPD Local
Segmento de red
primario en lnea
CPD Local
Dems servicios
del servidor
principal
CPD Local
Dems servicios
del servidor
principal
CPD Local
ERP y Bases de
Datos.
CPD Local
ERP y Bases de
Datos.
Falla de hardware
del servidor
principal
Contratos de
mantenimiento
preventivo y correctivo
Falla de hardware
de las tarjetas de
red
Capacidad de
redundancia entre
servidores
Mantenimiento
preventivo y correctivo
de los equipos de
comunicacin.
Fallas en software
Procedimientos para
respaldo y
recuperacin de
informacin, fuentes,
objetos,
documentacin, y
configuracin de los
sistemas
Cambios y
configuracin en
aplicaciones
Fallas de respaldos
de informacin
Intrusin (hackeo)
Violaciones de
seguridad fsica
Procedimientos para el
acceso a los recursos
tecnolgicos (redes y
aplicaciones).
Circuitos cerrados de
televisin, sensores de
movimiento, alarmas
Restauracin del
histrico duplicado para
Bases de Datos, ERP o
Sistema Operativo.
Cierre automtico de
todos los puertos de
servicio de la red y
servidor principal.
Cierre automtico de
emergencia de acceso al
CPD
Pgina 105
Captulo 4
Aplicacin de la metodologa propuesta
Aplicacin
Aplica a cualquier prdida inesperada de capacidad de produccin o inventario de producto terminado, el cual resulte en imposibilidad
para producir y/o despachar producto en un perodo de tiempo significativo. Ejemplos de una interrupcin importante de la produccin
son:
Dao de planta o equipo causado por fuego, explosin, inundacin, tornado, falla del equipo, etc., los cuales resultan en
incapacidad para producir/distribuir producto.
Falla del proveedor para suministrar una materia prima crtica necesaria para la produccin del producto.
Paro de autotransportes que resulte en incapacidad para entrega de materias primas y/o distribucin de productos
terminados.
Accin legal, paro, o resultado de una decisin para discontinuar las operaciones.
Este procedimiento no pretende cubrir reparaciones menores por fallas en equipo, interrupcin de la produccin por paro de
trabajadores cuyo plan de contingencia ha sido desarrollado, o faltantes temporales de la produccin resultantes de calidad, salud o
seguridad.
Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa de la interrupcin (muerte accidental, medio
ambiente, amenaza de bomba, etc.). Adems, este procedimiento no intenta reemplazar los procedimientos de emergencia
desarrollados para fuego, terremoto, inundacin u otro desastre natural.
Acciones a tomar:
Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupcin importante en la produccin
1.
2.
Implementar todos los procedimientos de seguridad de emergencia aplicables para fuego, terremoto, inundacin
u otro desastre natural, como sea apropiado.
Determinar los procedimientos de administracin de crisis adicionales que deben ser implementados tales cmo
muerte accidental o heridas graves, medio ambiente, amenaza de bomba, etc.
Establecer la seguridad de los empleados y de la comunidad local, tomar todas las acciones apropiadas para
resolver todas las condiciones de inseguridad.
Pgina 106
Captulo 4
Aplicacin de la metodologa propuesta
Definir la crisis:
Una vez que la situacin inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Accin de
Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva para
determinar la causa del accidente, la naturaleza y extensin de las heridas sufridas y algn dao relacionado con la
propiedad y algn otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar
resmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigacin, se deber:
A.
B.
C.
D.
E.
F.
G.
H.
I.
J.
4.
5.
Comunicar y considerar reprogramar nuevamente todas las Materias Primas y Productos Terminados.
Comunicar la prdida de produccin y/o capacidad de despacho a transportistas y ventas, e indicar las
comunicaciones a ser seguidas de distribucin.
Considerar las alternativas de fuentes estratgicas.
Considerar estrategias de distribucin de productos.
Revisar con el Departamento Legal para ver si los contratos con el vendedor o cliente pueden ser violados.
Coordinar la estrategia de distribucin del producto con Mercadeo, Publicidad y Ventas.
Considerar temporalmente la alternativa de planes de espacio para continuar la produccin hasta que la
reparacin o construccin se lleve a cabo.
Coordinar el flujo de los servicios pblicos con las compaas de servicios para coincidir con la salida de
produccin.
Si es apropiado, desarrollar estrategias para regresar la planta y equipo a su operacin normal.
Considerar opciones para modificar y convertir equipos alternos que renan las demandas de produccin.
Considerar la identificacin y cancelacin de activos.
Si es apropiado, coordinar la terminacin y presentacin de los papeles de trabajo del reclamo de seguros.
Revisin de la crisis:
Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar
cambios que se deben efectuar y otras acciones correctivas:
A.
B.
C.
Pgina 107
Captulo 4
Aplicacin de la metodologa propuesta
El cuadro 4.29, detalla los procedimientos de manejo de crisis ante una interrupcin
importante de la produccin: Relaciones con empleados (Desastres Humanos):
Cuadro 4.29 Relaciones con empleados: Desastres Humanos (Inicio).
Propsito
El propsito de este procedimiento de respuesta es facilitar a los Gerentes de la Unidad intervenir pronta y efectivamente con un evento de crisis
de relacin con empleados.
Aplicacin
Este procedimiento de respuesta aplica a cualquier problema de relacin con empleados que pueden afectar seriamente a la compaa
para cumplir sus objetivos de seguridad de los activos y empleados, financieros, produccin y servicio al cliente. Ejemplos de eventos
de crisis de relaciones con empleados son:
Una huelga iniciada en una unidad sindicalizada en conjunto con el convenio normal de obligaciones.
Un paro en la unidad sindicalizada o no iniciada por empleados en protesta por algunas acciones administrativas o en un
intento por forzar un punto de vista.
La potencial seriedad de tales eventos debe ser evaluada en trminos de potenciales efectos adversos sobre la seguridad de los
empleados, produccin, servicio al cliente, finanzas corporativas, presiones y reacciones pblicas.
Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento (interrupcin importante
de la produccin, publicidad adversa, etc.). Adems, este procedimiento no intenta reemplazar los planes detallados para huelgas que
hayan sido desarrollados por la administracin del sindicato de la unidad, con guas del Departamento de Recursos Humanos y
Departamento Legal. Ms bien este procedimiento intenta establecer esfuerzos para respuestas iniciales para todos los eventos de
crisis en relacin con empleados.
Acciones a tomar:
Las siguientes acciones deben ser tomadas inmediatamente en el evento de una interrupcin importante en la produccin:
1.
2.
Determinar si procedimientos adicionales de administracin de crisis deben ser implementados tal cmo
interrupcin importante de la produccin, publicidad adversa, etc.
Instituir las condiciones del plan de huelga de la unidad, si es aplicable
Contactar todos los empleados y motivarlos/persuadirlos para que continen trabajando, si es pertinente.
Empezar una investigacin para conocer las causas de la crisis de relacin con empleados, y averiguar
soluciones que sern necesarias para disminuir el impacto econmico, tanto como sea posible.
Notificar al equipo de Administracin de la Emergencia.
Notificar al equipo de Evaluacin de Daos.
Notificar al Departamento de Recursos Humanos Corporativo.
Notificar al Departamento Legal
Notificar a seguridad corporativa, discutir y desarrollar planes que pueden ser la mejor proteccin para los
empleados, equipo e instalaciones de la Compaa.
Notificar al Departamento de Polica local, de la situacin y una posible necesidad de asistencia.
Pgina 108
Captulo 4
Aplicacin de la metodologa propuesta
Definir la crisis:
Una vez que la situacin inmediata ha sido estabilizada, y pendiente de instrucciones adicionales del equipo de Accin de
Emergencias, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva
para determinar la causa del problema, la naturaleza y extensin de las heridas sufridas y algn dao relacionado con la
propiedad y algn otro hecho que se considere material para un entendimiento del incidente. Estar preparado para efectuar
resmenes de las investigaciones, al equipo de Respuesta a Incidentes. Como parte de su investigacin, se debe:
A.
B.
C.
D.
E.
4.
5.
Determinar la naturaleza, extensin y causa de la crisis de relacin con empleados, compilar y actualizar
continuamente un registro o resumen objetivo y cronolgico del evento de crisis, incluyendo todas las
respuestas de la compaa a la crisis.
Si es aplicable preparar listas identificando todos los empleados envueltos en la huelga o paro de labores,
tambin como aquellos empleados no envueltos en la crisis de relacin con empleados.
Si es aplicable, compilar una lista de los nombres y direcciones de todos los lderes sindicales locales.
Si es posible, averiguar la lista prioridad de demandas de los lderes de los empleados envueltos en el evento
(lderes del sindicato, si es aplicable).
Determinar el impacto potencial sobre la fuerza de trabajo (reduccin de la programacin, hacer asignaciones
nuevas, plan temporal, fuentes alternas de produccin etc.)
Establecer un comando central y comunicaciones continuas entre el personal del equipo de Accin de
Emergencias y el equipo Administrador de la Emergencia.
Si es apropiado, desarrollar y suministrar toda la informacin necesaria para Recursos Humanos, para una
posible emisin de pronunciamientos.
Mantener un archivo central de todos los papeles de trabajo y otros registros relacionados con los eventos de la
crisis.
Desarrollar un plan para salvar los ingresos y egresos de la localidad, acomodando empleados temporalmente,
proveedores, contratistas externos, empleados no comprometidos y administracin.
Considerar que la produccin y servicio al cliente son los ms esenciales y hacer recomendaciones para el Jefe
de sector/unidad de servicio, en cuanto tales productos y servicios deben continuar sin interrupcin.
Comunicar prdida potencial de la produccin y/o capacidad de despachos para transporte y ventas.
Trabajar con el Departamento Legal, Considerar la necesidad de identificar y contactar consejeros legales locales
externos.
Reportes de progreso sobre todas las investigaciones de los equipos de Accin de Emergencia y Evaluacin de
Daos.
Revisin de la crisis:
Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar
cambios que se deben efectuar y otras acciones correctivas:
A.
B.
C.
Pgina 109
Captulo 4
Aplicacin de la metodologa propuesta
Aplicacin
Este procedimiento de respuesta aplica a cualquier situacin que pueda originar daos fsicos o prdida del procesamiento
computarizado en algn perodo determinado. La falla puede resultar de una prdida del funcionamiento del procesamiento, la
inhabilidad para obtener acceso a la computadora o una falla externa resultante de la inhabilidad para procesar informacin en un
perodo de tiempo. Los siguientes ejemplos son eventos de fallas en el Centro de procesamiento de Datos:
Una explosin en las instalaciones del Centro de procesamiento de Datos que impiden las operaciones de la unidad.
Se daan las Telecomunicaciones que suministran servicio a una porcin importante de la red de datos.
Los archivos de datos son saboteados por un hacker dando informacin no confiable.
Procedimientos adicionales de respuesta pueden ser aplicables dependiendo de la causa o efecto del evento. Cada instalacin
computarizada debe mantener un plan de continuidad de negocios, incorporando procedimientos de recuperacin de emergencias para
restaurar las funciones de procesamiento del Centro de Procesamiento de Datos, Adems, este procedimiento no intenta reemplazar
los procedimientos o planes desarrollados para restaurar el proceso del CPD, en el evento de una falla menor.
Acciones a tomar:
Las siguientes acciones deben ser tomadas en el evento de un sabotaje o falla en el Centro de Procesamiento de Datos:
1.
2.
Establecer la seguridad de los empleados y de la comunidad local y tomar las acciones apropiadas para resolver
las condiciones inseguras.
Llamar a los equipos de rescate y agencias de administracin de emergencias (Departamento de Bomberos,
Polica, etc.) si es apropiado.
Seguridad en las instalaciones computarizadas daadas.
Determinar si procedimientos adicionales de administracin de crisis necesitan ser implementados tales como
muerte accidental o heridos graves, interrupcin importante de la produccin, amenaza de bomba, etc.
Notificar a Recursos Humanos para desarrollar un plan de comunicaciones, referir alguna averiguacin de los
medios a Recursos Humanos.
Notificar al equipo de Accin de Emergencia.
Notificar al Equipo de Evaluacin de Daos, para que establezca el dao en las instalaciones del CPD.
Notificar al Equipo de Administracin de la Emergencia.
Pgina 110
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.30 Avera del Centro de Procesamiento de Datos CPD: Desastres Tecnolgicos (Final).
Aplicacin
3.
Definir la crisis:
Una vez que la situacin inmediata ha sido estabilizada y pendiente de instrucciones adicionales del equipo de Accin de
Emergencia, continuar recolectando hechos en un esfuerzo para definir la crisis. Comenzar una investigacin objetiva para
determinar la causa del evento, la naturaleza de algn dao en la propiedad y algn otro hecho que se considere material
para un entendimiento del incidente. Estar preparado para efectuar resmenes de sus investigaciones al equipo de
Respuesta a Incidentes. Como parte de la investigacin, se debe:
A.
B.
C.
D.
E.
F.
G.
H.
I.
4.
5.
Revisin de la crisis:
Revisar la efectividad de este procedimiento y todos los sistemas y recursos utilizados en el manejo de la crisis. Identificar
cambios que se deben efectuar y otras acciones correctivas:
A.
B.
C.
D.
E.
F.
Los procedimientos anteriores, son una respuesta a la crisis generada por una interrupcin
importante de la produccin ante desastres naturales, humanos y tecnolgicos,
proporcionado una gua para la activacin del Plan de Continuidad y sus correspondientes
procedimientos de emergencia definidos.
Pgina 111
Captulo 4
Aplicacin de la metodologa propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
Determinar la eficacia con la que puede continuar el negocio ante la presencia de una
posible interrupcin, evaluando el equipo y personal a cargo de cada actividad crtica,
realizando una prueba al sistema demostrando competencia y capacidad de continuidad
del negocio, a travs de la revisin de los estndares y mejores prcticas, identificando
defectos y dificultades, proporcionando recomendaciones de acuerdo a estndares
predefinidos.
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
FaseIV.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
Capacitar,probary
ejercitar.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
A4.1.Definir
objetivosde
entrenamiento.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Objetivo:
Garantizar la adecuada capacitacin del personal en el entendimiento de la
documentacin del Plan de Continuidad, y de todo documento que est relacionado con el
escenario de y el alcance del mismo.
Para esto se debe considerar el plan de pruebas, sugirindose los siguientes aspectos:
Las presentaciones incluyen los siguientes temas:
o Los componentes del plan de continuidad,
o Porqu es importante el plan de continuidad,
o Lderes y coordinadores,
o Dnde el plan de continuidad puede tener lugar,
o Presentacin del plan de pruebas,
o Cmo el plan es activado.
En lo referente al tipo de audiencias son: Gerencial, Miembros del equipo de
planificacin y empleados.
En temas de concientizacin, se podran utilizar videos, noticias, pster, Memo de la
administracin, artculos promocionales. Etc.
En cuanto a temas de concientizacin es importante revisar desastres recientes y
lecciones aprendidas, por medio de forum de discusin, artculos en la intranet, etc.
Pgina 112
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramas
deentrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Definidos los objetivos de entrenamiento, se desarrollan los programas de capacitacin en todos los
niveles de la organizacin en lo referente a los planes de continuidad de los procesos del negocio y
servicios de TIC, incluyendo las definiciones de los trminos usados, los objetivos del plan, los
supuestos y limitaciones, el anlisis de riesgos y su impacto al negocio realizado y los escenarios
contemplados, as como las estrategias y procedimientos definidos, asignando a cada uno de los
participantes su rol dentro de dichos planes.
rea
Funcional
Gerencial
Desarrollo del
Plan de
Adiestramiento,
Miembros del
equipo de
planificacin
Empleados
Pruebas y
ejercitacin
Mantenimiento
Actividad
1
Duracin Meses
5 6 7 8 9
10 11 12
Gerencia
Pruebas y ejercitacin del plan de continuidad
Correspondiente
Gerencia
de Sistemas
Pgina 113
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificar
otrasoportunidades
deeducacin.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
Los gerentes y el personal de Recursos Humanos deben permanecer alerta a los tipos de
capacitacin que se requieren, cundo se necesitan, quin lo precisa y qu mtodos son mejores
para dar a los empleados el conocimiento, habilidades y capacidades necesarias. Para asegurar que
la capacitacin sea oportuna y est enfocada en los aspectos prioritarios los gerentes deben abordar
la evaluacin de necesidades en forma sistemtica.
EVALUACIN DE DESEMPEO: Mediante la evaluacin de desempeo es posible descubrir no slo a los empleados que
vienen efectuando sus tareas por debajo de un nivel satisfactorio, sino tambin averiguar qu sectores de la empresa
reclaman una atencin inmediata de los responsables del entrenamiento.
B.
OBSERVACIN: Verificar donde haya evidencia de trabajo ineficiente, como excesivo dao de equipo, atraso con relacin
al cronograma, perdida excesiva de materia prima, nmero acentuado de problemas disciplinarios, alto ndice de
ausentismo, etc.
C.
CUESTIONARIOS: Investigaciones mediante cuestionarios y listas de verificacin (check list) que pongan en evidencia las
necesidades de entrenamiento.
D.
SOLICITUD DE SUPERVISORES Y GERENTES: Cuando la necesidad de entrenamiento apunta a un nivel muy alto, los
propios gerentes y supervisores se hacen propensos a solicitar entrenamiento para su personal.
E.
ENTREVISTAS CON SUPERVISORES Y GERENTES: Contactos directos con supervisores y gerentes, con respecto a
posibles problemas solucionables mediante entrenamiento, por lo general se descubren en las entrevistas con los
responsables de diversos sectores.
F.
REUNIONES NTER DEPARTAMENTALES: Discusiones nter departamentales acerca de asuntos concernientes a objetivos
empresariales, problemas operacionales, planes para determinados objetivos y otros asuntos administrativos.
G.
EXAMEN DE EMPLEADOS: Prueba de conocimiento del trabajo de los empleados que ejecutan determinadas funciones o
tareas.
H.
MODIFICACIN DE TRABAJO: Siempre que se introduzcan modificaciones totales o parciales de la rutina de trabajo, se
hace necesario el entrenamiento previo de los empleados en los nuevos mtodos y procesos de trabajo.
I.
ENTREVISTA DE SALIDA: Cuando el empleado va a retirarse de la empresa es el momento ms apropiado para conocer no
solo su opinin sincera acerca de la empresa, sino tambin las razones que motivaron su salida. Es posible que salgan a
relucir varias diferencias de la organizacin, susceptibles de correcciones.
J.
Pgina 114
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
FaseV.
Capacitar,probary
ejercitar.
Auditora,
mantenimientoy
actualizacin.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.4.Descripcin
delaspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
Esta etapa se orienta a probar con antelacin y coordinar ejercicios, documentando y evaluando los
resultados de ellos. Desarrollar procesos para mantener vigentes las capacidades para lograr una
adecuada recuperacin de las operaciones de TI, de acuerdo con la direccin estratgica del
negocio, y de sta manera iniciar con la planificacin de los escenarios de prueba y su periodicidad.
El siguiente cuadro, detalla el contenido del documento para la descripcin de las pruebas
aplicadas a cada uno de los escenarios de falla, y lograr los objetivos de sta fase:
Establecer y ejercitar el Plan, Determinar los requerimientos de ejercitacin, Desarrollar
escenarios realistas para las pruebas, Preparar reportes y procedimientos de control de
los ejercicios, Ejecutar ejercicios, Obtener retroalimentacin de los resultados de las
pruebas e implementar las mejoras requeridas:
Cuadro 4.33 Descripcin de las pruebas.
Descripcin de las pruebas
Tipo de prueba:
Fecha\hora de inicio:
Equipo:
Riesgo Tecnolgico
18-08-10; 17:00
Administrador de la emergencia
Sitio de ejecucin:
Fecha\hora de fin:
Involucrados:
CPD Local
18-08-10; 18:43
Lder y equipo
Objetivos:
Probar y ejercitar el Plan de Continuidad y Recuperacin ante Desastres, ante un escenario de falla tecnolgica, para determinar la eficacia de los
procedimientos correspondientes.
Criterios de medicin:
Criterio
Tiempo de atencin
Tiempo de respuesta
Volumen de transacciones
Tiempo de espera
Medio de validacin
45 minutos
2 minutos
1.2 miles
3 minutos
Resultado
BD y ERP en lnea
Equipo secundario en lnea
Sin prdida de informacin
Inicio de secuencia de cambio
Prueba\transaccin
Equipo servidor fuera de lnea
Equipo servidor fuera de lnea
Equipo servidor fuera de lnea
Resultado esperado
ERP y BD en lnea
ERP y BD en lnea
ERP y BD en lnea
Resultado obtenido
ERP y BD en lnea y lento
ERP y BD en lnea y lento
ERP y BD en lnea y lento
Escenario:
Falla del hardware del equipo servidor principal.
Resultado:
Servidor secundario en lnea
Recomendaciones:
Afinacin del Sistema Operativo y Software de Administracin del arreglo de discos, para que la transicin de equipos sea ms rpida.
Pgina 115
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.5.Planificarlos
escenariosde
pruebaysu
periodicidad.
A4.6.Ejercitacinde
laspruebas.
Utilizar el documento del cuadro 4.33, para el planeamiento de los ejercicios a realizar. Este documento incorpora elementos que
con su definicin, establecen un escenario claro y preciso para la realizacin de cada ejercicio. Los escenarios sobre los cuales
se puede desarrollar un ejercicio pueden ser mltiples, desde problemas bsicos, como un respaldo de datos o un componente
de un equipo de cmputo, hasta un evento de desastre que afecte la totalidad de las instalaciones de TICs. El escenario bajo el
cual se har el ejercicio debe ser definido con anterioridad. El plan est preparado para reaccionar y dirigir las acciones de
recuperacin en cualquiera de los casos descritos.
2.
Garantizar la adecuada capacitacin del personal en el entendimiento de la documentacin del Plan de Continuidad, y de todo
documento que est relacionado con el tipo de ejercicio y el alcance del mismo.
3.
Documentar los procedimientos que se seguirn para la planeacin del escenario, para lo cual se considera al menos lo
siguiente:
A.
B.
C.
D.
E.
F.
4.
Luego de la finalizacin del ejercicio, se debern obtener las conclusiones al respecto de:
A.
B.
C.
D.
E.
F.
Informacin que debiera ser corregida en el Plan de Continuidad por deficiencias o errores encontrados durante el
ejercicio;
Informacin que debiera ampliarse para mejorar su claridad en el Plan al momento de ser utilizada;
Informacin sobre elementos de riesgo que fueron identificados durante el ejercicio, como puede ser personal no
encontrado, documentacin no identificada, etc.;
Obtener conclusiones sobre si la documentacin de los procedimientos definidos es prctica, o bien, si los procedimientos
pueden afinarse para obtener mejores resultados considerando variables como tiempo, costo y esfuerzo.
La documentacin y revisin de todos los resultados generados durante el ejercicio, si es trascendental para el proceso de
mejora continua.
Periodicidad de los ejercicios, stos deben ser realizados al menos una vez al ao como se muestra en el cuadro 4.27 (Plan
de adiestramiento, pruebas y ejercitacin del plan de continuidad), o en su defecto, de los cambios en el ambiente en las
operaciones. No obstante, dependiendo del riesgo, es conveniente elaborar un calendario de ejercicios ms frecuente y
riguroso. Es conveniente tener en cuenta que los resultados de los ejercicios deben ser formalmente reportados.
Pgina 116
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
A4.6.Ejercitacin
delaspruebas.
Descrito y planificado el escenario de prueba, se debe realizar una bitcora de ejecucin con los
resultados obtenidos y las mejoras hechas al plan, incluyendo fecha de ejecucin, resultado y
responsables, para su posterior anlisis y evaluacin con el objetivo de tenerlos en cuenta en
pruebas posteriores junto con sus recomendaciones.
Equipo
administrador
emergencia
30-09-10
de
Objetivos:
Ordenar y controlar las pruebas efectuadas en los diferentes escenarios de falla, para la administracin eficiente de las mismas.
Control de pruebas:
Responsable
Eq. Administrador de emergencia
Eq. Administrador de emergencia
Eq. Administrador de emergencia
Eq. Administrador de emergencia
Eq. Administrador de emergencia
Resultado
Interrupcin elctrica: satisfactorio
Falla de hardware: satisfactorio
Falla de software: con observaciones
Falla de respaldos: satisfactoria
Falla telecomunicaciones: con observaciones
Fecha
23-08-10
24-08-10
25-08-10
26-08-10
29-08-10
Escenario:
Interrupcin importante de la produccin
Recomendaciones:
Afinacin de los componentes de software para una mayor efectividad de los procedimientos de emergencia.
Pgina 117
Captulo 4
Aplicacin de la metodologa propuesta
2.
3.
4.
En caso necesario, estimar el tiempo total del ejercicio en el sitio alterno. Considerar el tiempo de desplazamiento del personal.
5.
6.
Verificar el inventario de los archivos de respaldo mantenidos en el sitio de almacenamiento, y el control que se tiene del mismo,
con el objetivo de verificar los procedimientos de actualizacin de respaldos.
7.
8.
9.
Obtener permiso del proveedor del software para usar los productos con licencia en el sitio alterno, tanto en los ensayos como
durante un posible desastre.
10.
Obtener y transportar los respaldos, formularios, suministros y documentacin requerida para el ejercicio.
11.
Realizar los arreglos de transporte, hospedaje y comidas para el equipo del ejercicio, si es necesario.
12.
Ejecutar el ejercicio.
13.
Comparar los resultados del ejercicio con los resultados esperados y escribir un informe.
14.
Pgina 118
Captulo 4
Aplicacin de la metodologa propuesta
Fase1.
Conocery
planificarel
medioambiente
organizacional.
Fase2.
Fase5.
Auditora,
mantenimiento
yactualizacin.
Analizary
evaluarriesgos
ysuimpactoal
negocio.
Metodologaparala
creacindeunPlan
paralaContinuidady
Recuperacinante
Desastresenlos
SistemasdeTICsen
laindustriadela
manufactura.
BCP
Fase3.
Desarrollarel
plande
continuidady
estrategiasde
recuperacin
antedesastres.
Fase4.
Capacitar,
probary
ejercitar.
DRP
En esta fase se revisan los estndares de Continuidad del Negocio y Recuperacin ante
Desastres de TICs aplicados, identificando defectos y dificultades, proporcionando
recomendaciones de acuerdo a los estndares predefinidos, desarrollando una lista de
medidas mediante las cuales se mantenga el plan de contingencia, incluyendo resultados,
resoluciones y reuniones, entre otros.
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Revisar los estndares de Continuidad del Negocio y Recuperacin ante Desastres de TICs
aplicados, identificando defectos y dificultades, proporcionando recomendaciones de acuerdo a los
estndares predefinidos, documentado el proceso para realizar un plan de accin y un programa de
monitoreo.
La metodologa a seguir por parte del auditor es la descripcin secuencial del trabajo que
realizar. Considerando las mejores prcticas para realizar auditora de sistemas de
informacin (ISACA, COBIT, ISO 17799, ITIL y MOF), en el cuadro 4.37, se presenta de
forma secuencial la forma de realizar un trabajo de auditora de sistemas, dividido en tres
fases que son: planeacin, ejecucin y dictamen:
Cuadro 4.37 Metodologa para realizar una auditora de Sistemas de Informacin (inicio).
Metodologa para realizar una auditora de Sistemas de Informacin.
PRIMERA FASE, PLANEACIN DE UNA AUDITORA DE SISTEMAS DE INFORMACIN:
Pgina 119
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.37 Metodologa para realizar una auditora de Sistemas de Informacin (Final).
Metodologa para realizar una auditora de Sistemas de Informacin.
SEGUNDA FASE, EJECUCIN DE LA AUDITORA DE SISTEMAS DE INFORMACIN:
Informe.
Presentacin del Informe Final.
Seguimiento de recomendaciones.
Cuando el auditor tiene claros los objetivos, los mtodos y las tcnicas a utilizar, as como
los recursos con que podr contar, deber elaborar un plan de trabajo, en el cual deber
integrar los recursos descritos anteriormente.
Es importante que para realizar cada actividad se cuente con un programa de trabajo, que
en ste se indiquen los objetivos de la revisin a realizar, el alcance, la documentacin a
requerir, la forma de revisarla, el personal a contactar y los procedimientos a seguir por
parte del Auditor.
Pgina 120
Captulo 4
Aplicacin de la metodologa propuesta
El siguiente cuadro, presenta el programa de auditora interna para realizar la revisin del
control interno y operaciones en el Centro de Procesamiento de Datos:
Cuadro 4.38 Programa de auditora para realizar la revisin del control interno y operaciones en el CPD (Inicio).
Programa de Auditora Interna
El departamento de Sistemas deber contar con un espacio dentro de sus instalaciones, dedicado al Centro de Procesamiento de Datos que
rena las condiciones mnimas de seguridad que protejan los equipos y al personal asignado a ste.
1.
OBJETIVO
Verificar el cumplimiento de los controles internos y polticas establecidas, para salvaguardar los equipos asignados al Centro de
Procesamiento de Datos.
2.
ALCANCE
Los resultados sern referidos al 05 de Agosto de 2010 e incluirn los siguientes procedimientos:
3.
PROCEDIMIENTO
Claves de acceso
Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta electrnica, se deber verificar lo
siguiente:
Fecha de habilitacin.
Estatus de la clave.
Verificar que la clave administrador est siendo custodiada en sobre lacrado en bveda de seguridad del
banco.
Inventario de equipos
Se deber solicitar el registro del inventario de equipos, verificando su existencia fsica en el Centro de
Procesamiento, as como si se est efectuando la amortizacin del valor de los mismos.
No. de inventario.
Pgina 121
Captulo 4
Aplicacin de la metodologa propuesta
Cuadro 4.38 Programa de auditora para realizar la revisin del control interno y operaciones en el CPD (Final).
OPERACIONES Y PROCESOS
4.
Alarmas detectoras de `humo y temperatura. Verificar que se realicen las pruebas peridicamente.
Contratos de mantenimiento
El mantenimiento peridico a los equipos es necesario para mantenerlos en ptimas condiciones, se deber verificar
el cumplimiento y actualizacin de estos contratos. As mismo verificar la suficiencia de los mismos.
Plizas de seguro
Para proteger los equipos, se deben de contratar seguros que cubran el equipo y su instalacin, as mismo se deber
verificar la actualizacin de los nuevos equipos y la fecha de vencimiento.
Plan de continuidad
Un plan de contingencia deber contemplar todo los procesos crticos de la organizacin, para restablecer sus
operaciones y deber ser eficaz y eficiente, los aspectos legales, el impacto en el servicio del cliente.
Deber verificarse la actualizacin de los procesos, misma que se deber realizar por lo menos una vez al ao, las
pruebas para verificar su funcionalidad y la distribucin al personal responsable.
INFORME
Elaboracin de informe
Se deber preparar el informe de los hallazgos, indicando las recomendaciones que se considere subsanarn las
debilidades de control interno.
Normativa
Circular normativa Control de accesos al Centro de Procesamiento de Informacin.
Bibliografa
Para apoyar la presente revisin se recomienda la lectura del libro Auditora en Informtica del autor Jos Antonio
Echenique Garca.
Cronograma
Para realizar esta revisin se asignan 5 das para la recoleccin de informacin, entrevistas y elaboracin del informe.
La revisin deber iniciarse el 4 de Agosto de 2010 y se deber entregar informe el 31 de Agosto, con el resultado del
trabajo realizado.
Envo de informe
Luego de que se presenten los resultados se deber enviar el informe dirigido al Jefe del Departamento de Sistemas.
Se deber copiar el informe a los siguientes puestos: Director general y al equipo de Respuesta a Incidentes.
Pgina 122
Captulo 4
Aplicacin de la metodologa propuesta
El cuadro 4.39, muestra y describe las marcas de auditora que se emplearn para el
desarrollo de la presente actividad:
Cuadro 4.39 ndice de las marcas de Auditora.
Marca de Auditora
Descripcin de la Marca
Verificado contra documento original.
Revisado.
Se observ el cumplimiento del procedimiento.
Existe procedimiento formal.
Confirmado con el usuario final.
Revisado y confirmado con el usuario.
Revisado y cuadrado contra informe original.
Confirmado con el proveedor del servicio.
Se revis la copia fsica de la copia de respaldo.
Se revis el funcionamiento del equipo en presencia del encargado.
Nombre de la
persona que ingresa
03-08-10
03-08-10
04-08-10
05-08-10
06-08-10
06-08-10
07-08-10
08-08-10
09-08-10
10-08-10
Olga C *
Cesar V
Cesar V *
Olga C *
Olga C
Martn de la R
Cesar V *
Olga C
Cesar V *
Olga C
Nombre de la
persona que
acompaa
Olga C
Cesar V
Cesar V
Cesar V
Hora de
ingreso
Hora de
egreso
Marca de
auditora
9:20
15:16
7:20
10:14
10:33
7:56
12:00
11:09
9:01
8:56
9:25
16:20
7:25
10:28
10:48
8:47
12:23
11:14
9:22
9:13
* Personal del departamento de Sistemas que no present autorizacin para el ingreso al Centro de Procesamiento de Datos.
Pgina 123
Captulo 4
Aplicacin de la metodologa propuesta
Conforme al plan de trabajo se procedi a verificar las claves de acceso utilizadas por el
personal para el ingreso a las instalaciones del Centro de Procesamiento de Datos, los
resultados se presentan a continuacin:
Cuadro 4.41 Revisin de las claves utilizadas para el acceso al centro de procesamiento de informacin.
Fecha de
habilitacin
Fecha de ltimo
acceso
Funcionario que
autoriz
Estatus de la
clave
Marca de
auditora
03-08-06
17-02-10
09-08-10
22-11-09
Administrador /1
Cesar V
Martn de la R
Olga C /2
Indefinida
17-02-11
09-08-11
22-11-10
17-08-10
17-08-10
19-08-10
29-08-10
Gerente de Sistemas
Gerente de Sistemas
Gerente de Sistemas
Gerente de Sistemas
9:25
16:20
7:25
10:28
/1 Se observ que la contrasea del administrador no est siendo custodiado en un sobre lacrado en bveda de seguridad del banco.
/2 La clave corresponde a ex-empleado, misma que no se ha dado de baja del sistema.
Responsable del
equipo
Observaciones
Marca de
auditora
09-02-07
09-02-07
31-01-07
18-02-07
11-11-05
12-09-08
23-10-08
17-03-05
20-01-07
14-12-08
22-03-07
24-07-09
30-06-08
06-04-07
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
Cesar V
/1 Este equipo fue sustituido el 10-05-2009, ya fue dado de baja en libros, sin embargo no se ha trasladado del CPD.
/2 Este servidor corresponde a equipo de prueba perteneciente a la empresa HP.
Pgina 124
Captulo 4
Aplicacin de la metodologa propuesta
Informacin almacenada
Nombre de la
persona que
realiz la copia
Fecha de
verificacin de la
funcionalidad
Nombre de quien
revis la
funcionalidad
Marca de
auditora
12-01-09
Olga C
13-01-09
Cesar V
Olga C
22-04-08
Cesar V
Olga C
18-11-07
Cesar V
Israel M
3-08-06
Agustn L
Israel M
10-09-05
Agustn L
21-04-08
17-11-07
31-07-06
08-09-05
Se comprob que, no se incluye la periodicidad con la que se deber comprobar la utilidad de las cintas de respaldo.
Conforme al plan de trabajo se procedi a verificar los equipos utilizados para proporcionar
la seguridad fsica, a las instalaciones del Centro de Procesamiento de Datos, los
resultados se presentan a continuacin:
Cuadro 4.44 Revisin de la seguridad fsica de las instalaciones del Centro de Procesamiento de Datos.
Fecha de revisin
por parte del
proveedor
Equipo
Observaciones
Marca de
auditora
13-09-10
Cmara de vigilancia
13-09-10
Software y hardware de
cmara de vigilancia
Extintores de Incendios*
Aire Acondicionado
Dispositivo para evitar
inundaciones
Alarmas detectoras de humo*
Alarmas detectoras de
temperatura y humedad
Reguladores de voltaje y
UPS
Software y hardware control
ingreso al CPD
23-06-10
02-10-10
16-05-10
09-08-10
24-08-10
31-01-10
09-09-10
* Segn especificaciones del fabricante la carga de los extintores de incendios y las alarmas detectoras de humo, debern de ser
revisados una vez al ao.
Pgina 125
Captulo 4
Aplicacin de la metodologa propuesta
Contrato
Empresa
31-12-10
Mantenimiento a equipo
central
Mantenimiento a equipo de
Telecomunicaciones
Mantenimiento a equipo de
cmputo
Servicio de
Telecomunicaciones
Mantenimiento ERP y BD
HP
20-02-11
15-01-11
20-12-10
31-12-10
31-12-10
10-01-11
Mantenimiento Software de
Replicacin ERP, BD y SO.
Mantenimiento Sitio alterno
Getronics
Gpo. Helix
Telmex
QAD
HP, QAD
HP
Observaciones
Marca de
auditora
preventivo y
preventivo y
preventivo y
preventivo y
preventivo y
preventivo y
preventivo y
Se estableci que no existe un procedimiento escrito para la negociacin y control de los contratos de mantenimiento.
Seguro
31-12-10
Responsabilidad civil
31-12-10
Equipo de cmputo
*
*
Empresa
Observaciones
Marca de
auditora
GNP
HP
* Se estableci que no existe un procedimiento escrito para la negociacin y control de los seguros.
Pgina 126
Captulo 4
Aplicacin de la metodologa propuesta
Conforme al plan de trabajo se procedi a verificar el plan de continuidad del negocio, los
resultados se presentan a continuacin:
Cuadro 4.47 Verificacin del plan de continuidad del negocio.
No.
Proceso
10
Pruebas al Plan
2
3
4
7
8
Observaciones
Marca de
auditora
Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se actualice el plan, debern de
distribuirse las copias al personal involucrado.
Pgina 127
Captulo 4
Aplicacin de la metodologa propuesta
Continuidad y
recuperacin
ante desastres
Controles
Activos de
informacin
Dependencia de
activos
Dependencia de
personal interno
Fiabilidad de
sistemas
Amarillo
Amarillo
Amarillo
Amarillo
Verde
Amarillo
Amarillo
Rojo
Amarillo
Verde
Verde
Verde
Verde
Amarillo
Verde
Verde
Verde
Rojo
Verde
Amarillo
Riesgo medio
Riesgo alto
Riesgo leve
Riesgo medio
Resultado de la evaluacin:
Pgina 128
Captulo 4
Aplicacin de la metodologa propuesta
Pgina 129
Captulo 4
Aplicacin de la metodologa propuesta
Pgina 130
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Administrador de emergencia
Gerencia de Sistemas
13-08-10; 15:17 hrs
Justificacin:
Establecer por escrito la periodicidad con la que se debern realizar las pruebas a las cintas de respaldo de informacin, para verificar su funcionalidad.
Control de modificaciones:
Elemento a cambiar
Respaldo de informacin
Descripcin de la modificacin
Distribuida
(S\No):
S
Modificacin
solicitada por:
Auditora
Observaciones:
Solicitud de modificacin, a partir de las recomendaciones de la auditora efectuada al Plan de Continuidad.
Pgina 131
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismo
dealmacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismode
distribucin.
Una vez terminado el plan de continuidad, ste se deber almacenar en diferentes medios y
ubicaciones. Es recomendable tener copias impresas, por si los documentos magnticos no estn
disponibles en el momento de un incidente. Dichas copias se deben almacenar tambin en los
centros alternos.
Para el control del almacenamiento y asignacin de las copias del plan, se utiliza el
formulario del cuadro 4.50, adicionalmente, es conveniente que se entregue el documento
en forma electrnica para facilitar su incorporacin al Plan:
Cuadro 4.50 Formulario de almacenamiento del Plan de Continuidad.
Almacenamiento del Plan de Continuidad
Realiz:
Autoriz:
Fecha\hora:
Justificacin:
Establecer por escrito los medios de almacenamiento del Plan de Continuidad para asegurar su disponibilidad ante cualquier contingencia.
Impreso
Impreso
Impreso
Magntico (CD)
Web
Ubicacin
Fecha de
almacenamiento
12-08-10
07-08-10
14-08-10
03-08-10
05-08-10
Fecha de
actualizacin
Fecha de
distribucin
01-08-10
01-08-10
01-08-10
30-07-10
28-07-10
11-08-10
06-08-10
13-08-10
02-08-10
04-08-10
Observaciones:
Las ubicaciones en detalle se encuentran a la mano para todo el personal.
Pgina 132
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismo
deactualizacin.
A5.5.Mecanismode
distribucin.
Cada vez que se modifique el plan es necesario actualizar todas las copias existentes. Es de gran
importancia verificar que todas las copias contengan la misma informacin.
Versin
Descripcin
Autor
Mayo 2009
0.1
Versin inicial
Gerencia de Sistemas
Septiembre 2009
0.2
KPMG
Abril 2010
0.3
Gerencia General
Octubre 2010
1.0
Direccin General
1.0
Pricewaterhose
Registro aprobacin
Pgina 133
Captulo 4
Aplicacin de la metodologa propuesta
FaseI.
FaseII.
Conoceryplanificarel
medioambiente
organizacional.
Analizar,evaluary
diagnosticarriesgosysu
impactoalnegocio.
A1.1.Conocerel
medioambiente
general.
A1.2.Identificarla
estructura
organizacional.dela
empresa.
A1.3.Definirla
arquitecturade
macroprocesos.
A1.4.Definirequipos
deplanificacinysus
responsabilidades.
A1.5.Definicinde
objetivos,alcancey
escenariosdel
problema.
A1.6.Concientizacin
yaprobacinporparte
delosdirectivos.
A2.1.Identificacin
delasfunciones,
serviciosyrecursos
crticosdelrea.
A2.2.Anlisis,
evaluaciny
diagnsticoderiesgos.
A2.3.Controlde
riesgos.
A2.4.Anlisisde
impactoalnegocio.
A2.5.Evaluaciny
diagnsticodelanlisis
deimpactoalnegocio.
FaseIII.
Desarrollarelplande
continuidadyestrategias
derecuperacinante
desastres.
A3.1.Disearlas
estrategiasde
continuidaddela
organizacin.
A3.2.Presentarel
anlisiscosto/beneficio
delasestrategiasde
continuidad.
A3.3.Negociaciny
firmadecontratoscon
losproveedoresde
servicios.
A3.4.Adquisicinde
lainfraestructurade
TICs.
A3.5.Preparacindel
sitioalterno.
A3.6.Definirlos
procedimientosde
recuperacin.
FaseIV.
Capacitar,probary
ejercitar.
A4.1.Definir
objetivosde
entrenamiento.
A4.2.Desarrollare
implementarvarios
tiposdeprogramasde
entrenamiento.
A4.3.Identificarotras
oportunidadesde
educacin.
A4.4.Descripcinde
laspruebas.
A4.5.Planificarlos
escenariosdepruebay
superiodicidad.
A4.6.Ejercitacinde
laspruebas.
FaseV.
Auditora,
mantenimientoy
actualizacin.
A5.1.Auditora.
A5.2.Polticasde
mantenimiento.
A5.3.Mecanismode
almacenamiento.
A5.4.Mecanismode
actualizacin.
A5.5.Mecanismo
dedistribucin.
Cada vez que se modifique o actualice el plan, se debern distribuir y divulgar las nuevas
actualizaciones para que todos los participantes conozcan los cambios realizados. En caso de
requerir nuevas pruebas y capacitaciones al personal involucrado en la contingencia, stas se
tendrn que realizar con la mayor brevedad posible.
Enviar secciones completas para reemplazar aquellas con cambios, en lugar de enviar slo las hojas que
han cambiado.
Asegurar que los lderes provean algn tipo de recibo para verificar que recibieron las nuevas versiones del
plan. El regresar las hojas reemplazadas podra ser considerado como un recibo.
Mantener el control de los planes de recuperacin para propsitos de seguridad.
Con lo anterior, se verifica la actualizacin de los procesos, por lo menos una vez al ao,
las pruebas para auditar su funcionalidad y la distribucin al personal responsable.
Este Plan de Continuidad contempla todos los procesos crticos de la organizacin, para
restablecer sus operaciones eficaz y eficientemente, considerando los aspectos legales y
el impacto en el servicio del cliente.
Pgina 134
Captulo 5
Resultados Obtenidos, Valoracin de Objetivos,
Trabajos Futuros y Conclusiones del Proyecto
de Tesis.
Metodologa para la Creacin de un Plan para la Continuidad y Recuperacin ante Desastres en
los Sistemas de Tecnologas de la Informacin y Telecomunicaciones en la Industria de la
Manufactura.
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
CAPTULO 5. -
Pgina 135
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
Pgina 136
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
Disear y proponer una metodologa para la creacin de un plan para la Continuidad y Recuperacin
ante Desastres en los Sistemas de Tecnologas de Informacin y Comunicaciones.
Pgina 137
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
Pgina 138
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
Pgina 139
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
desarrollo del Plan analiz todos los recursos (humanos, tecnolgicos, datos vitales,
infraestructura, etc.), a travs del conocimiento del negocio como un todo, mas no como
procesos, actividades o funciones individuales.
Permiti a la empresa identificar, analizar, evaluar y diagnosticar amenazas internas y
externas que representan riesgos a las actividades crticas de la organizacin, se calific
el impacto que genera una interrupcin y cuantifico, permitiendo que la empresa se
prepare econmica y operacionalmente brindando estabilidad a su negocio, por medio de
la definicin y documentacin de procedimientos y estrategias de recuperacin.
Desarroll planes de concientizacin a los empleados, proporcionando seguridad ante una
situacin que requiera el uso del Plan.
Se asegur la funcionalidad del Plan a travs del desarrollo de pruebas, mantenimiento y
actualizaciones, para que este pueda ser usado en cualquier momento cuando se
presenten cambios en la organizacin.
Minimizo costos derivados de la cada de los Sistemas de Informacin Basados en
Computadoras y maximiz las utilidades, al apoyar al desarrollo de nuevos Sistemas de
Informacin que impactan al negocio.
En lo particular, el desarrollo del presente trabajo de tesis, me ha dejado en claro, las
diferentes competencias profesionales que requiere la industria de la manufactura para el
personal de TICs, las cuales representan oportunidades y amenazas importantes:
Sistema de Gestin de la calidad de desarrollo de software (CMMI / SSE / CMM).
Sistema de Gestin de la calidad del producto (ISO 9001).
Sistema de Gestin de servicios de TI (ITIL / ISO 20000).
Sistema de Gestin de la Seguridad de la informacin (ISO 27001 / 27005).
Sistema de Gestin de la Continuidad del Negocio (BS25999 / ISO 27005).
Sistema de Gestin de Proyectos (PMBOK / PRINCE2).
Gobierno de TI (COBIT / ISO 38500).
Sistema de Gestin de estrategias de negocio (BSC).
Gobierno de las inversiones en TI (ValIT).
Sistema de Gestin de riesgo empresarial (COSO).
Reguladores de negocio (SOX / BASILEAII / PCI).
Pgina 140
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
Pgina 141
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
BIBLIOGRAFA
[Barnes, 2001]
Barnes C.J., A Guide to Business Continuity Planning, John Wiley & Sons, 1a.
edicin (May 2001), Pp. 55-86.
[Barros, 2001]
[Chase, 2000]
[CISA, 2006]
[Galindo, 2006]
[Galindo, 2006]
[Galindo, 2007]
[Galindo, 2008]
[Garca, 2004]
[Hiles, 2000]
Hiles A., Business Continuity: Best Practices, Rothstein Associates, Junio 2000,
Pp. 88-102.
Pgina 142
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
[Rodrguez, 2005]
Pgina 143
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
REFERENCIAS A INTERNET
[BCI, 2002]
BCI, Exercising, maintenance and audit, Versin BCI DJS 1.0 01/11/02, [Artculo
en lnea], Fecha de consulta: [16/06/2010].
http://www.auckland.ac.nz/security/images/BCI%20GPG%20-%20Stage%205.pdf
[BCI, 2007]
[BSI, 2009]
[DRI, 2004]
DRI, Risk evaluation & control, 2004, [Artculo en lnea], Fecha de consulta:
[29/04/2010].
http://www.drii.org/DRII/ProfessionalPractices/Pro_02.aspx
[DRI, 2004]
[DRI, 2004]
[ISO, 2009]
[Lesmes, 2009]
[Macau, 2004]
[SDG Consulting,
2010]
Pgina 144
Captulo 5
Valoracin de objetivos, trabajos futuros y conclusiones del
Proyecto de Tesis.
http://www.sdggroup.com/file/c-spain/2009%20Focus%20Q4%20%20la%20Organizacion%20orientada%20a%20la%20estrategia.pdf
[Sotelo, 2008]
Pgina 145
Anexo A
Estndar BS25999
B.
C.
Identificar riesgos
Anlisis/Evaluacin de riesgos
Pgina A.1
Anexo A
Estndar BS25999
.
Para cumplir con este propsito es necesario que:
Listas de comprobacin.
Una Matriz de Anlisis de Impacto del Negocio.
D.
DESARROLLO
DE
ESTRATEGIAS
CONTINUIDAD DEL NEGOCIO.
PARA
F.
LA
E.
G.
PROGRAMA
DE
CONCIENTIZACIN
ENTRENAMIENTO DEL BCM
Pgina A.2
Anexo A
Estndar BS25999
H.
Pgina A.3
Anexo A
Estndar BS25999
Pgina A.4
Anexo A
Estndar BS25999
El alcance
Declaracin del contenido de las polticas
Objetivos
Roles, responsabilidades
Detalles de otro material pertinente.
COMUNICACIN DE CRISIS
Pgina A.5
Anexo A
Estndar BS25999
Pgina A.6
Anexo B
Metodologa DRII
INICIO Y ADMINISTRACIN
1.1 Presentacin del proyecto
1.1.1 Participantes
Se definirn claramente las personas del rea que
elaborarn el plan de contingencia.
1.1.2 Fecha de inicio y fecha de terminacin
Se fijar una fecha de inicio especfica y una fecha
tentativa de terminacin.
1.1.3 Mecanismo de reporte y seguimiento
Se especificar(n) el (los) mecanismo(s) de reporte y
seguimiento acordado(s)
con los directivos del
rea.
1.2 Objetivos y Alcance
1.2.1 Objetivos
Pgina B.1
Anexo B
Metodologa DRII
Pgina B.2
Anexo B
Metodologa DRII
Identificacin de amenazas
Probabilidad de ocurrencia
Pgina B.3
Anexo B
Metodologa DRII
la
informacin
DISEO E IMPLEMENTACIN
En esta etapa se determinan los recursos mnimos para
trabajar en un centro alterno, se describen las estrategias y se
formalizan los procedimientos de reanudacin y recuperacin
correspondientes a las estrategias alternas de contingencia
identificadas en la etapa anterior. As mismo, deben definirse
los procedimientos de notificacin y escalamiento de
emergencias, los criterios y procedimientos de activacin de
los planes de contingencia, al igual que los equipos de
reanudacin y recuperacin, encargados de coordinar las
actividades de recuperacin en el evento de activacin del
plan. A continuacin se detallan an ms algunas actividades
de la etapa.
Requerimientos mnimos.
o
Identificar
recursos
de
personal,
computacionales, de comunicaciones,
implementos de oficina y espacio fsico y
amoblado para operar en centros alternos
a corto, mediano y largo plazos.
Pgina B.4
Anexo B
Metodologa DRII
Pgina B.5
Anexo B
Metodologa DRII
Ttulo
Participantes
Criterios de evaluacin
4.2.2.3 Ejecucin, resultados y mejoras
Se debe realizar una bitcora de ejecucin con los
resultados obtenidos y las mejoras hechas al plan,
incluyendo fecha de ejecucin, resultados y
responsables.
MANTENIMIENTO
El objetivo de esta etapa es desarrollar
procedimientos y mecanismos de mantenimiento y
actualizacin de los planes definidos, con el fin de
garantizar que stos se podrn utilizar efectivamente
en una emergencia, velando porque su informacin
se encuentre actualizada, completa y precisa.
As mismo, en esta etapa se busca implementar
mecanismos que aseguren que el plan es
consistente con los procedimientos actuales de la
organizacin o rea, que los mecanismos de
comunicacin y procesamiento de datos se prueban
peridicamente y que los miembros de la
organizacin conocen todos los cambios realizados
a los planes. Adems, se velar por establecer los
procedimientos de revisiones peridicas de los
mismos.
Igualmente, en esta etapa deben definirse los
mecanismos de divulgacin y distribucin de los
planes, as como las estrategias de actualizacin,
cuando se hagan modificaciones a los mismos.
Deben definirse, adems, dnde residirn los
documentos de los planes y las copias de seguridad
de los mismos.
5.1 Polticas de mantenimiento
Se debe hacer una lista de medidas mediante las
cuales se mantendr el plan de contingencia. Se
Incluyen resultados, resoluciones y reuniones, entre
otros.
5.2 Bitcora
Cada vez que se modifique el plan, se deber llevar
una bitcora en la que se indiquen las causas por las
que se ha modificado, la fecha, el elemento
cambiado, la descripcin de la modificacin, quin la
hizo y si ya se distribuy o no.
5.3 Mecanismo de almacenamiento
Una vez terminado el plan de contingencia, ste se
deber almacenar en diferentes medios y
ubicaciones. Es recomendable tener copias
impresas, por si los documentos magnticos no
estn disponibles en el momento de un incidente.
Dichas copias se deben almacenar tambin en los
centros alternos.
5.4 Mecanismo de actualizacin
Cada vez que se modifique el plan es necesario
actualizar todas las copias existentes. Es de gran
importancia verificar que todas las copias contengan
la misma informacin.
5.5 Mecanismo de distribucin
Cada vez que se modifique o actualice el plan, se
debern
distribuir
y
divulgar
las
nuevas
actualizaciones para que todos los participantes
conozcan los cambios realizados. En caso de
requerir nuevas pruebas y capacitaciones al
personal involucrado en la contingencia, stas se
tendrn que realizar con la mayor brevedad posible.
Pgina B.6