INTRODUCCIN

Dentro de la Gestin de la Seguridad de la Informacin en una compaa es importante contar con un plan alternativo que asegure la continuidad de la actividad del Negocio en caso de que ocurran incidentes graves. Tradicionalmente, los Planes de Continuidad, denominados Planes de Contingencia en sus orgenes, estn asociados a grandes compaas que necesitan reaccionar de forma inmediata ante cualquier evento que interrumpa sus servicios. La realidad es que cualquier compaa puede sufrir un incidente que afecte a su continuidad y, dependiendo de la forma en que se gestione dicho incidente, las consecuencias pueden ser ms o menos graves.

PLAN DE CONTINUIDAD DE NEGOCIO Un Plan de Continuidad de Negocio se compone de varias fases que comienzan con un anlisis de los procesos que componen la organizacin. Este anlisis servir para priorizar qu procesos son crticos para el negocio y establecer una poltica de recuperacin ante un desastre. Por cada proceso se identifican los impactos potenciales que amenazan la organizacin, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupcin. Un Plan de Continuidad de Negocio, a diferencia de una Plan de Contingencia, est orientado al mantenimiento del negocio de la organizacin, con lo que priorizar las operaciones de negocio crticas necesarias para continuar en funcionamiento despus de un incidente no planificado. En el desarrollo de un Plan de Continuidad de Negocio existen dos preguntas clave: Cules son los recursos de informacin relacionados con los procesos crticos del negocio de la compaa? Cul es el perodo de tiempo de recuperacin crtico para los recursos de informacin en el cual se debe establecer el procesamiento del negocio antes de que se experimenten prdidas significativas o aceptables? Un Plan de Continuidad reducir el nmero y la magnitud de las decisiones que se toman durante un perodo en que los errores pueden resultar mayores. El Plan establecer, organizar y documentar los riesgos, responsabilidades, polticas y procedimientos, acuerdos con entidades internas y externas. La activacin de un Plan de Continuidad debera producirse solamente en situaciones de emergencia y cuando las medidas de seguridad hayan fallado. OBJETIVOS

BENEFICIOS

Identifica los diversos eventos que podran impactar sobre la continuidad de las operaciones y su impacto financiero, humano y de reputacin sobre la organizacin. Obliga a conocer los tiempos crticos de recuperacin para volver a la situacin anterior al desastre sin comprometer al negocio. Previene o minimiza las prdidas para el negocio en caso de desastre. Clasifica los activos para priorizar su proteccin en caso de desastre. Aporta una ventaja competitiva frente a la competencia. Fomenta e implica a los recursos humanos de la compaa en las actividades de continuidad.

Tipos de incidentes No slo las catstrofes ambientales, tales como incendios o inundaciones, pueden causar daos adversos a una organizacin. Otros tipos de incidentes, como los que se detallan a continuacin, pueden tener impactos adversos para una compaa:

Incidentes serios de seguridad en los sistemas, como delitos cibernticos, prdida de informacin, robo de informacin sensible o su distribucin accidental, fallos en los sistemas IT, errores de operacin en los sistemas, etc. Daos en las infraestructuras o en los servicios, fallos en el suministro elctrico, fallos en el suministro de agua, fallos en las comunicaciones, huelgas en los servicios de limpieza. Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes de alimentacin, en los equipos de refrigeracin. Daos deliberados como actos de terrorismo o de sabotaje, guerras, robos, huelgas, etc.

QUIEN DEBE TENER UN PLAN DE RECUPERACIN? Una pregunta que podemos hacernos es si el tamao de una organizacin determina la necesidad o no de tener un Plan de Continuidad. Se puede responder a esta pregunta diciendo que NO. Si una organizacin es muy grande, con beneficios millonarios, con grandes edificios y gran nmero de empleados, o si se trata de una persona trabajando en una pequea oficina con 5 empleados, ambos necesitan asegurar la disponibilidad de su negocio. De hecho, debido a los pocos recursos y a las pocas opciones de respuesta ante un desastre, en algunos casos sera ms vital desarrollar un Plan de Recuperacin de Negocio para los pequeos negocios que para las grandes corporaciones.

POR DNDE EMPEZAMOS Para desarrollar un Plan de Continuidad de Negocio tenemos que empezar por obtener un conocimiento de la compaa: sus productos/servicios, sus objetivos empresariales, procesos internos, etc. El propsito general de un Plan de recuperacin es obtener un mapa de acciones que reduzcan la toma de decisiones durante las operaciones de recuperacin, restaure los servicios crticos rpidamente y permita un normal funcionamiento de los sistemas y procesos lo antes posible, minimizando costes y aumentando la efectividad. Podemos dividir un Plan de Continuidad de Negocio en cuatro Fases:

Figura 1. Diagrama de Fases del Plan de Continuidad FASE I ANLISIS DEL NEGOCIO Y EVALUACIN DE RIESGOS Se trata de obtener un conocimiento de los objetivos de negocio y de los procesos que se consideran crticos para el funcionamiento de la compaa. Una vez identificados los procesos crticos, se analizarn cules son los riesgos asociados a dichos procesos para identificar cules son las causas potenciales que pueden llegar a interrumpir un negocio. Para ello debemos empezar por responder a cuestiones tales como: Cules son las actividades ms importantes para la compaa? Cmo afectara econmicamente una interrupcin de los servicios a medida que va pasando el tiempo sin reanudar el servicio? Cul sera la capacidad operativa de la empresa a medida que pasa el tiempo? Cul es el plazo mximo para volver a la normalidad sin llegar a incurrir en graves prdidas? Para conocer cules son las necesidades de la compaa en cuanto a estrategias de continuidad, vamos a utilizar dos mecanismos de anlisis: Anlisis de Impacto (BIA Business Impact Analysis): Nos permitir identificar la urgencia de recuperacin de cada funcin de negocio, determinando el impacto en caso de interrupcin. Esta informacin nos permitir seleccionar cul es la estrategia de recuperacin ms adecuada que en principio dar continuidad a las actividades crticas y posteriormente al resto, si es posible. El nivel de criticidad de una actividad dentro de la compaa se mide en funcin de lo dependiente de ella, que es la organizacin y de lo que repercutira su indisponibilidad. En trminos econmicos esta valoracin sera responder a la pregunta de cunto perdera la organizacin si la actividad/proceso no estuviera disponible. Dentro del Anlisis de Impacto podemos distinguir las siguientes actividades: Obtencin de la Relacin de Procesos: Establecer los procesos de negocio que se realizan en la compaa. Para obtener la informacin sobre los procesos y las aplicaciones que los gestionan, es esencial la participacin de las personas

responsables de los mismos dentro de la compaa, y de aquellos trabajadores que conocen en profundidad los mismos. Para ello pueden utilizarse entrevistas personales y cuestionarios que nos acercarn a los procesos crticos del negocio. Podemos dividir los procesos en operativos y procesos de soporte. Los procesos operativos son aquellos que guardan una relacin directa con el cliente (comercial, facturacin, almacenaje, atencin al cliente, etc.). Los procesos de soporte, seran aquellos que facilitan los recursos para poder realizar los procesos operativos (recursos humanos, gestin financiera, etc.) Obtencin de la Relacin de Aplicaciones: Establecer la relacin de aplicaciones que soportan los procesos de la compaa. En este apartado debe recogerse el inventario de los recursos tecnolgicos que soportan los procesos de la compaa, a fin de identificar aquellos que den soporte directo a los servicios crticos. Los tipos de recursos que se deben analizar son: Hardware, identificando cada uno de los elementos hardware que soportan los sistemas de informacin de la compaa. Software Base, recogiendo todos aquellos componentes de software, incluido todos los asociados al sistema operativo, indispensables para el funcionamiento y optimizacin del Sistema de Informacin de la compaa. Software de Aplicaciones, inventariando las aplicaciones de gestin que son utilizadas en la empresa. Sistemas de Infraestructura, considerando aquellos elementos o componentes que sin disponer de una tecnologa enfocada propiamente al tratamiento de la informacin s son requeridos para garantizan la operatividad del servicio. Relacin de Departamentos y Usuarios: Se identifican los departamentos que hay en la empresa y el nombre de las personas que la componen y que intervienen en los procesos.

Determinar cules son los Procesos Crticos: Pueden darse dos valoraciones, una basada en la importancia para la compaa de los procesos cuya ausencia tendra un impacto alto en la actividad de la compaa (valoracin cualitativa). La otra, se referira a las prdidas econmicas por perodo debido a la ausencia de los procesos (valoracin cuantitativa). La valoracin de prdidas no es una cuestin sencilla, ya que pueden concurrir aspectos intangibles, tales como la imagen de la organizacin ante sus clientes. Algunos criterios que pueden ayudar a valorar las eventuales prdidas pueden ser: Coste de horas de trabajo perdidas, al no poder usar las aplicaciones que no tengan alternativa manual o cuyo tratamiento manual suponga una prdida de eficiencia importante. Ingresos dejados de percibir. Penalizaciones por incumplimiento de contratos con clientes. Gastos financieros.

 Perodo Mximo de Interrupcin: Una vez que obtenemos la visin del negocio, de los procesos que lo componen y de la criticidad de cada uno de ellos, debemos establecer los tiempos de recuperacin. Teniendo en cuenta que el objetivo del Plan es dar continuidad al negocio tras un incidente o contingencia grave con las menores prdidas econmicas posibles para la compaa, deben estimarse para cada uno de los procesos que se han considerado crticos, el tiempo a partir del cual las prdidas econmicas afectaran de forma grave a la compaa (Tiempo mximo de interrupcin). Esta estimacin es importante de cara a seleccionar la estrategia de respaldo adecuada a las necesidades de recuperacin. Pueden existir procesos en los que el tiempo de recuperacin es muy pequeo (horas), por ejemplo el servicio de banca electrnica de un banco, y otros procesos como la facturacin a clientes en una empresa de servicios, pueden tener un periodo de recuperacin mayor (das o semanas).

Figura 2. Tiempos de Recuperacin Anlisis de Riesgos: El Objetivo de un anlisis de riesgos es identificar y analizar los diferentes factores de riesgo que potencialmente podrn afectar a las actividades que queremos proteger. La evaluacin de riesgos supone imaginarse lo que puede ir mal y a continuacin estimar el impacto que supondra para la organizacin. El Anlisis de Riesgo debe centrarse en los procesos/actividades del negocio que se han considerado crticos, aunque tambin puede extenderse a aquellos que no lo son. En lo fundamental, la evaluacin de riesgos que se ha de llevar a cabo ha de contestar, con la mayor fiabilidad posible, a las siguientes preguntas: Qu se intenta proteger? Cul es su valor para uno o para la organizacin? Frente a qu se intenta proteger? Cul es la probabilidad de un ataque? ESQUEMA DEL ANLISIS DE RIESGOS

Figura 3. Esquema Anlisis de Riesgos

IDENTIFICAR ACTIVOS Para cada uno de los procesos crticos de la compaa es necesario realizar un inventario de los activos involucrados en el proceso. Ejemplos de activos de una compaa pueden ser:

Informacin Equipamiento Conocimiento Sistemas

Nota: en el apartado anterior, se ha obtenido gran parte de esta informacin, sobre los activos que componen los procesos crticos. Cada activo de la compaa tendr unos costes asociados. En algunos casos estos costes pueden ser cuantificados con un valor econmico (activos tangibles) como el software o el hardware, y en otros casos es ms complicado cuantificar el activo con valores monetarios (activos intangibles) tales como el prestigio o la confianza de los clientes. El proceso de elaborar un inventario de activos es uno de los aspectos fundamentales de un correcto anlisis de riesgos. En este inventario se identificar claramente su propietario y su valor para la organizacin, as como su localizacin actual. Esquema con la relacin existente entre los diferentes elementos que intervienen en el Anlisis de Riesgos.

Figura 4. Componentes del Anlisis de Riesgos

IDENTIFICAR AMENAZAS Una amenaza se define como un evento que puede desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus servicios. A la hora de analizar los riesgos hay que evaluar las distintas amenazas que pueden provenir de las ms diversas fuentes. Entre stas se incluyen los agresores malintencionados, las amenazas no intencionadas y los desastres naturales. La siguiente ilustracin clasifica las distintas amenazas a los sistemas.

Figura 5. Clasificacin General de Amenazas Las amenazas tendrn una probabilidad de ocurrencia que depender de la existencia de una vulnerabilidad que pueda ser explotada, para materializarse en un incidente. Por

ejemplo una amenaza del tipo de desastre natural como es un terremoto, tendr una mayor probabilidad de ocurrencia en una empresa con oficinas en Japn, donde los terremotos ocurren con mayor frecuencia, que en Espaa. Del listado de amenazas debemos tener en cuenta aquellas que pueden afectar a la organizacin de forma grave y valorar la probabilidad de que se conviertan en un incidente real. EVALUAR VULNERABILIDADES Las vulnerabilidades son debilidades que pueden ser explotadas para convertir una amenaza en un riesgo real que puede causar daos graves en una compaa. Las vulnerabilidades en s mismas no causan dao alguno, sino que es una condicin o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo. Para identificar las vulnerabilidades que pueden afectar a una compaa debemos responder a la pregunta: Cmo puede ocurrir una amenaza? Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro de la compaa puede darse esa circunstancia. Amenaza es que nos roben datos estratgicos de la compaa, podemos establecer, entre otros, los siguientes escenarios:

Figura 6. Cuadro de Escenarios Si no se responde afirmativamente a las preguntas de la columna derecha, es que existen vulnerabilidades que podran utilizarse de forma que la amenaza se convierta en un incidente real, y causar daos importantes en la compaa. EVALUACIN DEL IMPACTO Los incidentes causan un impacto dentro de la organizacin, que tambin deber tomarse en cuenta a la hora de calcular los riesgos. La valoracin del impacto puede realizarse de forma cuantitativa, estimando las prdidas econmicas, o de forma

cualitativa, asignando un valor dentro de una escala (perdidas economicas alto, medio, bajo). Por ejemplo, el robo de informacin confidencial de la compaa puede causar un impacto alto si sta cae en malas manos. En otro caso, podemos estimar las prdidas econmicas de equipos tangibles valorando el costo de reposicin y puesta en marcha. EVALUACIN DEL RIESGO Riesgo es la posibilidad de que se produzca un impacto determinado en la organizacin. El riesgo calculado es simplemente un indicador ligado al par de valores calculados de vulnerabilidad y el impacto, ambos ligados a su vez de la relacin entre el activo y la amenaza a la que el riesgo calculado se refiere. PROBABILIDAD DE INCIDENTES= AMENAZA X VULNERABILIDAD RIESGO= PROBABILIDAD DE INCIDENTES X IMPACTO El riesgo suele expresarse en trminos cualitativos (Alto, Medio, Bajo). A continuacin se muestra un ejemplo de una matriz de probabilidad/impacto:

Figura 7. Matriz de Riesgos A modo de ejemplo se muestra la siguiente tabla:

DESCRIPCIN Terremoto en ciudades situadas fuera de fallas ssmicas Terremoto en ciudades situadas sobre fallas ssmicas Robo de informacin confidencial compaa con control de acceso lgico Robo de informacin confidencial compaa sin control de acceso lgico

PROBAB BAJA ALTA BAJA

IMPACTO MEDIO MEDIO ALTO

RIESGO BAJO ALTO MEDIO

ALTA

ALTO

ALTO

Una vez que se han evaluado los riesgos, queda decidir qu hacemos con ellos. Se pueden tomar diferentes caminos: Transferir el riesgo a travs de seguros o subcontratando la gestin del riesgo a terceras empresas. Aceptar el riesgo (posicionamiento aprobado por la direccin de la compaa). Reducir el riesgo con controles que los mitiguen. Eliminar el riesgo (eliminando la causa o el foco del riesgo).

EVALUAR CONTRAMEDIDAS Para reducir riesgos se utilizan los denominados controles o medidas de seguridad. Podemos clasificar los controles en: Controles preventivos o Identifican potenciales problemas antes de que ocurran o Previenen errores, omisiones o actos maliciosos. Realizar copias de seguridad de los archivos. Contratar seguros para los activos. Establecer procedimientos / polticas de seguridad. Establecer control de acceso a la informacin. Establecer control de acceso fsico.

Ejemplos:

Controles detectivos o Identifican y reportan la ocurrencia de un error, omisin o acto malicioso ocurrido.

Ejemplos: Monitorizacin de eventos. Auditoras internas. Revisiones peridicas de procesos. Sensores de humo. Deteccin de virus (Antivirus). Controles Correctivos o Minimizan el impacto de una amenaza. o Solucionan errores detectados por controles detectivos.

o Identifican la causa de los problemas con el objeto de corregir errores producidos. o Modifican los procedimientos para minimizar futuras ocurrencias del problema. Ejemplos: Parches de seguridad. Correccin de daos por virus. Recuperacin de datos perdidos. Uno de los objetivos del Plan de Continuidad es evitar en la medida de lo posible que se produzcan incidentes que hagan necesaria su ejecucin. Por ello, es importante que la compaa conozca sus riesgos y ponga las medidas adecuadas para corregir el mayor nmero de vulnerabilidades que puedan provocar un incidente grave. La evaluacin de riesgos debe ser peridica y de acuerdo con el modelo de gestin de riesgos de la organizacin y en funcin de la evolucin del negocio (crecimiento), de cambios importantes en la organizacin (procesos internos), nuevas obligaciones legales, etc.

FASE II SELECCIN DE ESTRATEGIAS Esta fase tiene dos objetivos: Por un lado, valorar las diferentes alternativas y estrategias de respaldo en funcin de los resultados obtenidos en la fase anterior, para seleccionar la ms adecuada a las necesidades de la compaa. Por otro lado, corregir las vulnerabilidades detectadas en los procesos crticos de negocio identificadas en el Anlisis de Riesgos. Existen diferentes estrategias para mitigar el impacto de una interrupcin. Cada una de estas estrategias tiene unos parmetros de tiempo, disponibilidad y costes asociados que sern ms o menos apropiados dependiendo de las funciones de negocio. A continuacin se describen diferentes estrategias para reubicacin funcional: No hacer nada: Este tipo de actuacin podra utilizarse en aquellas funciones o actividades que se han clasificado como no urgentes en el Anlisis de Impacto. En este tipo de estrategia se asume el riesgo. Utilizacin de espacios propios: Espacios existentes en la compaa tales como salas de formacin, cafeteras, etc. Este tipo de estrategia requiere una planificacin minuciosa. Reutilizacin de recursos: Reubicacin de personal con funciones no urgentes en tareas que requieren una mayor prioridad. En este caso se debe poner cuidado en convertir la funcin no urgente en urgente por ser desatendida durante demasiado tiempo. Trabajo Remoto o Teletrabajo: Posibilidad de trabajar desde ubicaciones exteriores a la compaa mediante conexin remota. Acuerdos Recprocos: Acuerdos entre dos organizaciones (o dos unidades de negocio de la propia compaa diferentes) con caractersticas de equipamiento/espacio similares que permitira a cada una de las partes recuperar funciones en la otra localizacin. En este caso es importante definir las condiciones

de uso y la realizacin de pruebas peridicas para asegurar las condiciones pactadas. Sitio alternativo subcontratado a terceros: Contratacin con compaas especializadas de espacios alternativos para la recuperacin de la actividad. En este caso hay que asegurar que estas compaas pueden proporcionar unos tiempos de recuperacin acordes con las necesidades de la organizacin. Este tipo de compaas pueden proporcionar diferentes de soluciones: o Espacio dedicado: Se garantiza la disponibilidad inmediata del espacio. En contrapartida este servicio es ms caro que otras alternativas. o Espacio compartido: Se comparte el espacio con otras compaas. Es ms barato que un centro dedicado. o Espacios mviles: Se pueden utilizar rpidamente, pero tienen un espacio limitado. o Mdulos prefabricados: Pueden tardar unos das en estar disponibles para su uso. Localizaciones diversas: Se traslada la operacin pero no el personal. Centro replicado: Solucin que permite trasladar de forma inmediata la operacin y continuar la actividad de forma inmediata. Tambin puede denominarse centro espejo. Esta solucin es normalmente la ms cara, pero tambin la mejor solucin en el caso de que se necesite una recuperacin muy rpida de la operacin.

De todas las alternativas existentes hay que elegir la ms adecuada en cada caso. Depender de las necesidades de cada compaa, en cuanto a tiempos de recuperacin, costes econmicos, recursos, etc. Adems deber considerarse otros factores como: Ubicacin y superficie requerida o Espacio suficiente o Zonas acondicionadas para acoger a personal Recursos tcnicos necesarios: o Hardware o Software o Comunicaciones o Datos de respaldo Recursos humanos requeridos o Recursos materiales y de infraestructura o Servicios auxiliares necesarios o Tiempos de activacin o Costo Suele ocurrir que cuanto menor sea el tiempo de recuperacin objetivo, mayor ser el coste de la solucin. Por ello es conveniente realizar un anlisis con tiempos de recuperacin adecuados y adaptados a la realidad de la compaa.

FASE III- DESARROLLO DEL PLAN Una vez que se ha seleccionado la estrategia de respaldo hay que desarrollarla e implantarla dentro de la compaa. Para ello se define: Los equipos necesarios para el desarrollo del Plan. Las responsabilidades y funciones de cada uno de los equipos. Las dependencias orgnicas entre los diferentes equipos. El desarrollo de los procedimientos de alerta y actuacin ante eventos que puedan activar el Plan. Los procedimientos de actuacin ante incidentes. La estrategia de vuelta a la normalidad.

ORGANIZACIN DE LOS EQUIPOS Los equipos de emergencia estn formados por el personal clave necesario en la activacin y desarrollo del Plan de Continuidad. Cada equipo tiene unas funciones y procedimientos que tendrn que desarrollar en las distintas fases del Plan, a continuacin se muestran algunos ejemplos de los equipos que pueden formar parte del Plan: Comit de Crisis: Encargado de dirigir las acciones durante la contingencia y recuperacin. Equipo de Recuperacin: Su funcin es restablecer todos los sistemas necesarios (voz, datos, comunicaciones, etc.). Equipo Logstico: Responsable de toda la logstica necesaria en el esfuerzo de recuperacin. Equipo de las Unidades de Negocio: Encargados de la realizacin de pruebas que verifiquen la recuperacin de los sistemas crticos. Equipo de Relaciones Pblicas: Encargado de las comunicaciones a los medios de comunicacin y clientes.

DESARROLLO DE PROCEDIMIENTOS Una vez que hemos definido los equipos y se han establecido las funciones que debe desempear cada equipo, tenemos que desarrollar los procedimientos que van a seguir, y su actuacin en cada una de las fases de activacin del Plan de Continuidad. En el siguiente esquema podemos ver las fases que componen el Plan de Continuidad de Negocio:

Figura 8. Fases y Actividades del Plan de Continuidad

GENERACIN DE INFORMES Y EVALUACIN Una vez solventado el incidente y vuelto a la normalidad, cada equipo deber realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con las que se encontraron, etc. Toda esta informacin servir para valorar si el Plan ha funcionado segn lo planeado, as como conocer los posibles fallos, y en su caso, tenerlos en cuenta para la adecuacin del mismo. FASE IV PRUEBAS Y MANTENIMIENTO Una parte importante del Plan de Continuidad, es conocer que realmente funciona y es efectivo. Para ello se define la estrategia de pruebas y se realiza la prueba del Plan, para afinarlo segn los resultados. Adems, en esta ltima fase se definirn los procedimientos de mantenimiento del Plan.
OBJETIVOS DEL PLAN DE PRUEBAS
El Plan de Continuidad no se considerar vlido hasta que no se haya superado satisfactoriamente el Plan de Pruebas que asegure la viabilidad de las soluciones adoptadas. El Plan de Pruebas diseado tiene como objetivos: Evaluar la capacidad de respuesta ante una situacin de desastre que afecte a los recursos de la compaa. Probar la efectividad y los tiempos de respuesta del Plan para comprobar que estn alineados con la definicin realizada en el diseo.

 Identificar las reas de mejora en el diseo y ejecucin del Plan. Comprobar si los procedimientos desarrollados son adecuados para soportar la recuperacin de las operaciones de negocio. Evaluar si los participantes del ejercicio estn suficientemente familiarizados con la operativa en situacin de contingencia. Concienciacin y formacin para los empleados a travs de la realizacin de pruebas.

TIPOS DE PRUEBAS Las pruebas de un Plan de Continuidad deben tener dos caractersticas principales: Realismo: La utilidad de las pruebas se reduce con la seleccin de escenarios irreales. Por ello es importante reproducir escenarios que proporcionen un nivel de entrenamiento adecuado a las situaciones de riesgo. Exposicin Mnima: Las pruebas deben disearse de forma que impacten lo menos posible en el negocio, es decir, que si se programa una prueba suponga una parada de los sistemas de informacin, debe realizarse una ventana de tiempo que impacte lo menos posible para el negocio. En algunos casos puede resultar complicado realizar una prueba completa del Plan de Continuidad de Negocio. Por ello, es necesario desarrollar un programa de pruebas planificado para garantizar que todos los aspectos de los planes y personal se han ensayado durante un perodo de tiempo.

EJERCICIOS TCNICOS
Este tipo de ejercicio requerir la ejecucin de procedimientos de notificacin y operativos, el uso de equipos de hardware, software y posibles centros y mtodos alternativos para asegurar un rendimiento adecuado. Ejemplos de elementos verificados durante un ejercicio de simulacin son: - Procedimientos de emergencia. - Mtodos alternativos. - Lneas de telecomunicaciones de backup. - Procedimientos de notificacin Vendedores / Clientes. - Capacidad y rendimiento del hardware. - Portabilidad del software. - Accesibilidad al centro de respaldo. - Movilizacin de los equipos de trabajo. - Recuperacin de ficheros y documentacin almacenados en lugar externo. - Recuperacin de datos.

TEST COMPLETO
Los ejercicios de test son ejercicios planificados que implican la restauracin real de la capacidad de proceso en un centro alternativo. Generalmente, los procesos en produccin no son interrumpidos, pero puede planificarse su restauracin y validacin en el centro alternativo. Normalmente, este tipo de prueba requiere la participacin de toda la organizacin de continuidad del negocio, incluyendo usuarios, personal tcnico y de operaciones.

MANTENIMIENTO DEL PLAN DE CONTINUIDAD

Por la propia dinmica de negocio, se van incorporando nuevas soluciones a los Sistemas de Informacin y los activos informticos van evolucionando para dar respuesta a las necesidades planteadas. La correcta planificacin del mantenimiento del Plan de Continuidad evitar que quede en poco tiempo obsoleto y que en caso de contingencia no pueda dar respuesta a las necesidades.

Conclusiones:
Los desastres e interrupciones imprevistas ocurren y no se pueden evitar Estar preparados no es p p un gasto, es evitar que el negocio pierda ingresos Un BCP es un conjunto de planes especficos BCP no es un proyecto, BCP es parte de la organizacin No slo debe ser por exigencias regulatorias o de auditora