COMPUTACIÓN

FOLIO 21 / AUDITORIA Y DERECHO INFORMÁTICO

Componentes de un plan de continuidad de negocio

Según (Gobierno de Colombia, 2018) BCP se enfoca en mantener las funciones

comerciales de la organización durante y después del cierre y la recuperación. BCP es un
proceso de negocio orientado.

DRP proporciona procedimientos detallados para facilitar la restauración de las

capacidades del sitio alternativo. Por lo general, se centra en la tecnología de la
información (en lo sucesivo, tecnología de la información) y se limita a los trastornos
mayores con efectos duraderos. Los planes de contingencia son un conjunto de actividades
enfocadas en mantener y restaurar los servicios críticos de TI después de una emergencia.
Dado que se deben desarrollar planes de contingencia para cada aplicación central o
sistema de soporte, se pueden desarrollar múltiples planes de contingencia en un único
plan de acción conjunto.

Norma NTC / ISO 22301

Business Continuity Management (BCM) es un proceso de gestión que identifica

posibles amenazas y riesgos operativos para una organización y proporciona una
estructura para generar confiabilidad y capacidad de respuesta Medidas efectivas para
proteger los intereses de los accionistas, la reputación, la marca y las actividades de
creación de valor, como la recuperación ante desastres y gestión de la continuidad
administre todo el programa a través de capacitación, pruebas y exámenes para actualizar
constantemente el programa BCP.
 COMPUTACIÓN

Ilustración 1: Ciclo BCP

Plan de continuidad del negocio

Se entenderá en este documento que el Plan de Continuidad del negocio (BCP) busca
sostener en niveles previamente definidos y aceptados, los procesos críticos del negocio a
través de la estructuración de procedimientos e información, los cuales son desarrollados,
compilados y mantenidos en preparación para su uso durante y después de una
interrupción o desastre. Por otra parte, el DRP y los planes de contingencia, forman parte
del BCP y están enfocados frecuentemente a recuperar los activos asociados a las
Tecnologías de la Información. Por otro lado, el Plan de Continuidad del Negocio busca
respaldar integralmente los intereses de las diferentes partes que intervienen en la
organización, así como preservar los indicadores de generación de valor (reputación,
marca, confianza, entre otros). Asimismo, se busca optimizar la capacidad de recuperación
ante pérdidas significativas en recursos productivos u operativos (personal). Para el
desarrollo del documento se utilizarán como referencia los estándares y las mejores
prácticas DRII (Disaster Recovery Institute Internacional) e ISO 22301, entre otros. En
total se consideraron 4 FASES como se puede ver a continuación:
 COMPUTACIÓN

Ilustración 2: Etapas BCP

Metodología

Según (Cobb, 2018) La metodología utilizada para desarrollar un plan de continuidad

de negocio en HSPA, propone un proceso desde el inicio del proyecto hasta el plan de
mantenimiento. Esta metodología está respaldada por las mejores prácticas internacionales
de institutos reconocidos como BCI, DRII, NIST, ISO 27001, NFPA 1600, etc.

1. Inicio del proyecto

2. Entendimiento de la organización

3. Análisis de impacto al negocio

4. Evaluación de riesgos

5. Estrategias de continuidad

6. Comité de crisis

7. Comunicaciones

8. Entrenamiento

9. Pruebas

Inicio del proyecto

 COMPUTACIÓN
Esta etapa se realiza con el objetivo de estructurar el proyecto del plan BCP ESAP, de
manera que sea debidamente organizado y controlado durante su ejecución para alcanzar
las metas planteadas. Es necesario contar con el compromiso de la alta dirección, crear
grupos de trabajo, definir planes de trabajo detallados, determinar la participación de
especialistas en el trabajo de procesos y áreas, así como detallar el alcance del proyecto.
Para ESAP se ha definido la siguiente Política de Continuidad de Negocio.

Entendimiento de la organización

Durante esta etapa se recopila información de los procesos documentados del PEES,
sus entradas, salidas y activos que requiere el proceso para lograr sus objetivos. También
se realizarán entrevistas a cada propietario de las operaciones seleccionadas como
importantes para entender mejor la organización y así obtener información suficiente para
realizar un análisis de impacto en el negocio. Esta fase se enfoca principalmente en
comprender la misión, la visión y las prioridades comerciales, realizar un análisis de
impacto comercial o BIA y realizar un análisis de riesgos.

Análisis de impacto al negocio

El Análisis de Impacto en el Negocio, comúnmente conocido como BIA, tiene como

objetivo identificar productos y procesos críticos que garanticen la continuidad de las
operaciones de ESAP y los impactos potenciales si no están disponibles y operativos. Por
otro lado, BIA permite estimar el tiempo objetivo de recuperación de procesos críticos
para regresarlos a su operación normal luego de un desastre y el tiempo de
almacenamiento requerido para reducir la pérdida de datos.

Evaluación de riesgos

El objetivo principal de esta fase es identificar las amenazas o riesgos específicos que
enfrenta ESAP en sus productos clave y operaciones comerciales, según lo identificado
como resultado de un análisis de impacto comercial. Business Intelligence (BIA), para
determinar cómo se pueden controlar y mitigar determinados riesgos. a un nivel aceptable
de acuerdo con criterios predeterminados.

Cabe señalar que durante esta etapa (operativa) se analizarán los riesgos desde el punto
de vista de la continuidad del negocio, tomando en cuenta personas, servidores, edificios,
tecnología, etc., sin desconocer su relación directa con los procesos identificados como
importantes. Los tipos de vulnerabilidades y amenazas a las que están expuestos estos
activos varían según su naturaleza. Las amenazas y vulnerabilidades incluidas en el caso
 COMPUTACIÓN
específico del proyecto serán aquellas relacionadas con la indisponibilidad (operación) de
activos relacionados con operaciones críticas del negocio. Sin embargo, una parte
importante de tener un BCP es implementar una gestión de riesgos efectiva y así evitar la
activación frecuente de sitios alternativos, una actividad que tiene sus propios riesgos,
costos y dificultades. En este paso se analizan las amenazas y vulnerabilidades
previamente identificadas, se analiza el escenario en el que se pueden presentar los riesgos
de disrupción, su origen y los posibles impactos en el inmueble. El análisis consideró 12
escenarios de riesgo que se describen a continuación:

1. Acceso al edificio: enumere los controles, los procedimientos y las mejores

prácticas que ayudan a reducir el riesgo de que personal no autorizado ingrese a las
instalaciones y cause daños a los activos de la organización.
2. Entorno Administrativo y Tecnológico: Vinculación de buenas prácticas y prácticas
de gestión, seguridad, manejo y control de los sistemas tecnológicos para cumplir
con los estándares internacionales y la normativa nacional sobre seguridad de la
información confidencial.
3. Construcción y materiales de construcción: Lista de materiales de construcción y
alternativas para la mitigación y resistencia a los peligros naturales.
4. Información y gestión de edificios: vinculando los procedimientos de seguridad, las
responsabilidades de los empleados, la cultura y la formación para responder a los
incidentes de construcción.
5. Escritorio y estación de trabajo: enumera las políticas de seguridad de la
información definidas por la empresa y las mejores prácticas de recursos humanos
para garantizar la disponibilidad, confidencialidad, seguridad e integridad de la
información en el tiempo de inactividad comercial.
6. Perímetro y estacionamiento: enumera los controles, las políticas y los
procedimientos que ayudan a prevenir y responder a los incidentes de seguridad a
nivel de empresa.
7. Protección contra incendios: la conexión de la capacitación del personal, el equipo
de extinción de incendios y los sistemas de control permite una respuesta rápida y
eficaz a los incendios en edificios y/o centros de datos.
8. Geo-riesgos: enumere las posibles fuentes de riesgos en la organización.
9. Riesgos naturales: enumere los aspectos relacionados con la geografía, el clima y el
entorno natural que pueden afectar las operaciones comerciales.
 COMPUTACIÓN
10. Riesgos energéticos: enumere las políticas, los controles y los procedimientos que
garantizan el suministro de energía eléctrica a los edificios y equipos críticos.
11. Riesgo de comunicaciones: enumera las políticas, los controles y los
procedimientos que permiten a la organización mantener las comunicaciones (voz y
datos).
12. Centros de datos: lista de controles, infraestructura y procesos específicos para
centros de datos (principal y de respaldo)

Estrategias de continuidad

Una estrategia de continuidad es un mecanismo que permite la restauración y

continuidad de importantes funciones organizacionales en caso de una catástrofe o falla
mayor. Las estrategias no solo se ven como recursos y actividades necesarias para
combatir el trastorno, sino también como necesarias para reducir la probabilidad y el
impacto del trastorno. Para identificar estrategias de continuidad viables o viables, de
manera eficaz y eficiente, es necesario comprender los siguientes aspectos:

1. Resultados del Análisis de Impacto Empresarial (BIA). 2. El objetivo es recuperar

tiempos y puntos (RTO y RPO) requeridos para operaciones críticas. 3. Operaciones
críticas para el soporte

4. La tasa aceptable de descomposición de la actividad del proceso.

5. Los aspectos legales que deben respetarse dependen de la naturaleza del proceso al
implementar la estrategia de recuperación.

6. Los resultados del análisis de riesgos y las alternativas de tratamiento de riesgos se

realizarán sobre los activos involucrados en la operación.

Siete. Amenazas potenciales a la propiedad.

8. Debilidades encontradas en los activos de la operación.

El objetivo de esta etapa es identificar estrategias de recuperación o continuidad, que

apunten a hacer más confiables los servicios, tomando en cuenta los resultados del BIA,
evaluando los riesgos, y logrando lo siguiente: lo anterior, haciendo un análisis
cuantitativo de los fundamentos de recuperación.

Comité de crisis
 La función principal del Comité de CrisisCOMPUTACIÓN
es tomar decisiones en caso de un desastre
que interrumpa los productos y servicios críticos de ESAP. Entre las principales funciones
podemos destacar las siguientes. • Analizar situaciones para responder rápidamente.

• Decidir sobre la activación del Plan de Continuidad

• Iniciar el proceso de reporte de empleados a través de varios gerentes. • Determinar un

presupuesto temporal para los costos derivados de la crisis.

• Supervisar el proceso de recuperación, en relación con el tiempo de recuperación

estimado. • Tomar decisiones de urgencia o urgencia cuando se retomen las operaciones.

• Comunicar las decisiones tomadas a los distintos comités de la organización. En el

caso de la ESAP, se propone crear un comité de crisis integrado por los siguientes grupos:

• Equipo de Gestión: Está de acuerdo con la decisión del equipo de gestión de

incidentes de activar el plan de continuidad. Observe el problema hasta que se asiente y
vuelva a la normalidad. • Equipo de gestión de incidencias: investigar la incidencia,
analizar las posibles consecuencias e impactos, decidir si activar o no el plan de
continuidad y comunicarlo al equipo de gestión.

• Equipos de apoyo: Son los grupos necesarios para apoyar la implementación del plan
de continuidad, si lo hubiere. • Equipo de comunicación: responsable de gestionar la
comunicación con todos los grupos de interés.

Comunicaciones

La función principal de la comunicación es brindar apoyo para que se pueda realizar de

manera eficaz y eficiente en caso de desastre para comunicarse con las distintas personas
que integran el comité de crisis. Comité de Crisis Equipo de Gestión Equipo de Apoyo
Equipo de Comunicación Equipo de Gestión de Incidentes

Port tanto, los team de comunicaciones perdidos al equipo responsable de crear y emitir
problemas de comunicación de la empresa hacia las Featsadas tanto externas como
internas dure y de crisis. En la ESAP, el Oficial de Comunicaciones realizará actividades
de respaldo de la siguiente manera:

• Enlace con las autoridades regulatorias: Vocero de la ESAP ante el Comité Principal.

• Comunicación con entidades externas y medios de comunicación: los elementos del

área de comunicación que utilizan estos gestores para comunicarse con las entidades. •
 COMPUTACIÓN
Comunicación con los Gerentes: Los líderes gestionan el talento humano de los
colaboradores y sus familias y lideran la gestión de contratos de contratistas. Los
elementos que este grupo debe comunicar internamente y comunicar la información en
consecuencia.

REFERENCIAS BIBLIOGRÁFICAS:

Cobb, S. (2018). Plan de Continuidad del Negocio que asegure el futuro digital de la
empresa. Obtenido de https://www.welivesecurity.com/la-es/2014/05/14/gestion-
continuidad-negocio-cuatro-pasos/

Gobierno de Colombia. (1 de junio de 2018). BCI. Obtenido de

https://www.esap.edu.co/portal/index.php/Descargas/3323/2018/61695/plan-de-
continuidad-del-negocio-2018-v1-06-11-2018.pdf