Desarrollo de Estrategias y Plan de Recuperación Ante Desastre

Introducción

Este trabajo en general tiene el objetivo de definir el conjunto de actividades, roles y responsabilidades que permitan mantener la continuidad de la plataforma tecnológica de la entidad, en caso de la ocurrencia de un evento de desastre, interrupción mayor o un evento contingente. El diseño del Plan de Recuperación de Desastres (DRP) en la fase de la fase de análisis de impacto aportará beneficios a la empresa tales como aumentar la confianza de los clientes y proveedores generando mayor competitividad. El área de Tecnologías de la Información (IT) brinda sistemas integrados de información que sirven de instrumento para la correcta toma de decisiones y total disponibilidad de información que le permita mantener el posicionamiento corporativo en la industria del sector petrolero. Es un área de servicios al interior de la compañía por lo tanto cualquier usuario y/o área que requiera los servicios de IT se convertirte en cliente al cual se debe satisfacer respecto a la gestión realizada. Es necesario conocer que El departamento de IT está compuesto por la siguiente infraestructura: Hardware, Software y Telecomunicaciones las cuales están relacionadas entre sí para su funcionamiento y cuenta con personal especializado que administra, opera y supervisa la infraestructura a su vez también se efectúan mantenimientos y reparación de equipos, aplicaciones y mantenimiento de la estructura de comunicación que utiliza la compañía.

Si hablamos de manejo de información debemos orientarnos en lo que DRP (Plan de Recuperación) nos enseña ante la respuesta de un desastre. En la actualidad todas las empresas deben evaluar y tomar las previsiones para que su información se mantenga a salvo, debido a los acontecimientos mundiales que vulneran este aspecto tan importante en el mundo empresarial (terremotos, tsunamis, incendios, actividades volcánicas, inundaciones, ataques cibernéticos, guerras, entre otros). Se debe tomar en cuenta que el Plan de Continuidad de Negocio (BCP) y un Plan de Recuperación de Desastres (DRP) aun cuando son de vital importancia para la Contingencia no son lo mismo. En el presente artículo, profundizaremos en sus definiciones para establecer las diferencias y cómo ambos son fundamentales para la Contingencia.

Concepto de DRP

Un Plan de Recuperación de Desastres, DRP, por sus siglas en inglés, Disaster Recovery Planning, se entiende como las acciones o prácticas efectivas de medidas de seguridad, que garantizan una adecuada recuperación de la operatividad mínima de los sistemas luego de una contingencia o desastre, en la que se vean afectados los procesos y recursos informáticos que soportan un negocio Según el NIST “Un DRP es un plan enfocado en sistemas de información, diseñado para restaurar la operatividad del sistema, aplicación o la infraestructura de cómputo objetivo en un sitio alterno después de una emergencia. El DRP puede ser apoyado por múltiples planes de contingencia de sistemas de información para abordar la recuperación de cada uno de los sistemas impactados una vez las instalaciones alternas se han establecido. Un DRP puede soportar un plan BCP o COOP mediante la recuperación de los sistemas que soportan negocios, procesos o funciones misionales en una ubicación alterna. El DRP solo se refiere a interrupciones de sistemas de información que requieren reubicación”.

Otro concepto importante dentro del DRP, en especial relacionados con la administración de proyectos se refiere al diseño del proyecto el cual desde la definición dada por Accreditation Board for Engineering and Technology (ABET) establece que “el diseño en ingeniería es el proceso de idear un sistema, componente o proceso que satisfaga cierta necesidad. Es un proceso decisión-creación (a menudo iterativo), donde las ciencias básicas, matemáticas y ciencias de la ingeniería son aplicadas para convertir recursos de manera óptima para alcanzar un objetivo determinado. Entre los elementos fundamentales del proceso de diseño esta determinar los objetivos y criterios, síntesis, análisis, construcción, pruebas y evaluación”. [1]

Plan de Recuperación del Negocio, BRP

por sus siglas en inglés, Business Recovery Planning, considerado un proceso superior al DRP porque además del procesamiento de los datos se centra en recuperar las demás operaciones de una empresa incluyendo las relacionadas con los clientes y proveedores procurando que la solución a un problema se de forma integral y el Plan de Continuidad del Negocio, BCP, por sus siglas en inglés, Business Continuity Planning, herramienta administrativa que permite a una empresa continuar su funcionamiento aunque de forma mínima, durante o inmediatamente después de ocurrida una emergencia.

La implementación de un DRP representa para una empresa múltiples beneficios reflejados en la reducción de costos, disminución de tiempos de inactividad de los sistemas de información, el respaldo y control de la información existente en las diferentes aplicaciones y el entrenamiento del personal. Los desastres a los que se ven expuestos los sistemas informáticos pueden ser de diversos tipos y así mismo su impacto a nivel físico puede variar.

Desastres que afectan las organizaciones

  • Los desastres naturales son imposibles de predecir y mucho menos de contener, estos eventos normalmente presentan daños graves en edificios que impiden el acceso a los mismos, además de los efectos que causa en los trabajadores debido a las potenciales pérdidas humanas causadas por el desastre.
  • Un desastre puede afectar los sistemas de telecomunicación, lo que puede dejar a una empresa totalmente aislada de proveedores, contratistas y de sus clientes.
  • Las fallas en el trasporte, ya sea por daños en las vías o por disturbios que afecten los sistemas de transporte masivo pueden causar imposibilidad de los trabajadores para desplazarse hasta sus sitios de trabajo.
  • Incendios.
  • Inundaciones.
  • Huracanes.
  • Tormentas severas.
  • Deslizamientos de tierra.
  • Tsunamis.
  • Terremotos.
  • Volcanes.
  • Incidentes de Seguridad.
  • Falla de equipamiento.
  • Fallas de Energía.
  • Fallas de servicios públicos.
  • Pandemias.
  • Sabotaje.
  • Huelgas y paros laborales.
  • Disturbios Civiles.
  • Terrorismo.
  • Guerra.

Los eventos en la anterior lista tienen el potencial de infligir daño a edificios, equipo y sistemas de TI. Pueden matar, herir o desplazar personas, sin mencionar que pueden evitar que asistan a sus trabajos. Estos efectos pueden devastar negocios causándoles el cese de operaciones por horas, días o más. En el peor de los casos, simplemente los negocios no pueden sobrevivir después de experimentar tales interrupciones. Los negocios proveen bienes y servicios a clientes, quienes la mayor parte solo quieren esos bienes y servicios; si los clientes no pueden obtener esos bienes y servicios de un negocio ellos simplemente irán a otro que pueda proveérselos. Muchos negocios no se recuperan de un éxodo de clientes.

En este contexto es también importante considerar los conceptos sobre riesgos y amenazas como lo expone el autor Salazar Villalobos citando a autores como Toigo y Hiatt, entre otros:

Los riesgos son considerados como un evento o condición incierta que si sucede tiene un efecto positivo o negativo sobre un proyecto en aspectos como tiempo, costo, alcance o calidad. Otros autores definen el riesgo como “el potencial de que algo ocurra” Esto podría implicar cualquier tipo de evento que afecte vidas humanas. Las compañías de seguros trabajan para cuantificar la probabilidad de que un evento ocurra con el fin de fijar las tasas de seguros. Un riesgo puede ser algún fallo inesperado en el ejercicio de sus funciones de alguien que se creía como fiable. Podría ser la falla en una máquina o el derrame de un contenedor de material tóxico. Adicionalmente una crisis o desastre puede categorizarse por niveles de acuerdo con su nivel de riesgo, así nivel 1 o bajo riesgo, nivel 2 o riesgo moderado y nivel 3 o riesgo alto, lo anterior de acuerdo a los daños que se generen y su impacto en el negocio. No todos los riesgos se materializan. Cuando se ven nubes que indican el potencial de lluvia. Las nubes negras no indican la certeza de una precipitación, pero indican mayor potencial que un cielo despejado.

Principales procesos para el desarrollo en un proyecto DRP

  • Análisis de Riesgos (AR):

El proceso de Análisis de Riesgos es el que brinda los elementos base para elaborar el plan de recuperación, el cual consiste en identificar los recursos, las posibles amenazas y las vulnerabilidades que en caso de presentarse podrían ocasionar resultados negativos a una empresa, en otras palabras, puede considerarse como el proceso responsable de la identificación y valoración de riesgos que puedan generar interrupciones en los servicios de TI, partiendo de tres preguntas claves como son:

  • ¿Qué está bajo riesgo?
  • ¿Cómo se puede producir?
  • ¿Cuál es la probabilidad que suceda?

En este contexto el equipo consultor analizará identificará y evaluará los riesgos que comprometan la disponibilidad de los servicios de TI, los cuales serán insumo para la definición de escenarios de desastres y estrategias de recuperación partiendo del reconocimiento de todos los aspectos involucrados en el tema de riesgos desde un Sistema de Gestión de Seguridad de la Información como se aprecia en la figura 1:

El análisis de riesgos implica la identificación, evaluación, elaboración de la matriz de nivel de riesgo, controles de reducción del riesgo y documentación de los resultados.

La identificación de riesgos tiene como objetivo conocer los recursos y procesos críticos del negocio, los cuales pueden clasificarse como:

  • Software y hardware.
  • Equipo de comunicaciones.
  • Aplicaciones críticas de los sistemas.
  • Datos e información crítica.
  • Procesos críticos.
  • Personal de soporte.
  • Ambiente operacional del área (políticas y permisos a usuarios, topología de la red, Backup que protejan la confidencialidad, integridad y disponibilidad de los datos y la seguridad física y ambiental del área).
  • Análisis de Impacto del Negocio (BIA)

El BIA es considerado como el proceso que determina el efecto que cada tipo de amenaza potencial produce en las funciones de una empresa. Los tipos de criterios que pueden emplearse para evaluar el impacto son [4]:

  • Servicio al cliente.
  • Operaciones internas.
  • Asuntos legales y financieros.
  • El propósito del BIA

[image: Resultado de imagen para metodologia de analisis de impacto al negocio]Es diseñar una estrategia de recuperación que pueda facilitar el reinicio de la operación en un tiempo razonable en caso de una contingencia enfocado a los procesos críticos de tecnología para la compañía y se tendrá en consideración los aspectos de restablecer los equipos y enlaces de telecomunicaciones vitales para la operación y restablecer las aplicaciones y servidores críticos para la organización. Desde la literatura existen algunas metodologías que se recomiendan para realizar el análisis de impacto del negocio, una de ellas se refleja en la figura 2, la cual expone unos pasos lógicos.

Identificación de las funciones y procesos del negocio

  1. Se identifican los procesos y funciones que son soportes de la compañía que son parte vital para el desempeño de la compañía, que se describen a continuación:
  2. Procesos: Mantenimiento de Equipos, Instalación de Equipos, Help Desk (casos centralizados) y soporte a las diferentes divisiones.
  3. Procesos: Instalación de Programas, configuración de equipos, encriptar disco duro equipos, licenciamiento de aplicaciones y respaldo de la Información (Backup).
  4. Procesos: Configuración y Mantenimiento de redes, mantenimiento de equipos de comunicación, monitoreo de la red y presentación de Licitaciones operadoras petroleras.
  5. Proceso: Presentación de Licitaciones operadoras petroleras.
  6. Procesos: Pago de proveedores, cartera pendiente por cobrar y pagar, pago de impuestos y pago de nómina de los empleados.
  7. Procesos: Generar órdenes de compra, suministros e insumos para la operación y administrativa.
  8. Procesos: Pago de nómina de los empleados, pago de incapacidades, pago vacaciones y pago de bonos de campo.

 

Sistemas críticos

  1. Identificación de procesos críticos Utilizando los requerimientos identificados y basándose en los impactos financieros y operacionales se define una tabla de procesos críticos para la compañía.
  2. Identificación de requerimientos de recursos, establecimiento de los tiempos de recuperación, y disposición del RTO /RPO Luego de identificar los procesos críticos de la compañía las buenas prácticas establecen que “los requerimientos de los tiempos de recuperación consisten en una serie de componentes que tienen que ver con el tiempo disponible para recuperasen de una alteración”. [4]
  3. Evaluación del impacto financiero y operacional:
  4. La Valoración del Impacto financiero y operacional es conocer los riesgos y pérdidas económicas que se pueden presentar en los procesos de la compañía y el potencial tiempo de caída de las funciones del negocio. Referente al impacto operacional se definió un esquema de medida jerárquica cualitativo, tal como: MA= Muy alto A= Alto M=Medio B=Bajo N/A= Ninguno.
  5. Identificación de procesos alternos para los procesos críticos identificados se plantean los siguientes procedimientos alternos (ver Tabla I):

 

Componentes fundamentales para la metodología del DRP

MTD: Representa el periodo máximo de tiempo de inactividad que la organización puede tolerar. Las buenas prácticas definen ciertos parámetros para cada componente. Entre estos están que la suma de los tiempos del RTO y el WRT son iguales o menores a los del MTD. En el MTD se debe jerarquizar las prioridades de recuperación definiendo criterios donde un proceso crítico tiene que tener un menor tiempo de recuperación comparado con otro que tenga un mayor tiempo.

RTO: Tiempo disponible para recuperar sistemas o recursos que han sufrido una alteración.

RPO: Hace referencia a la magnitud de la pérdida de datos medida en tiempo que un proceso pueda tolerar.

WRT: Tiempo disponible para recuperar datos perdidos una vez los sistemas estén reparados dentro del MDT. Juntos a estos componentes se establecen los sistemas críticos y no críticos de tecnología de la información y aplicaciones que apoyan los procesos identificados y los procedimientos alternos que permitan que los procesos de negocio puedan continuar al momento que se presenten interrupciones.

Recursos no críticos de la tecnología:

  • Muebles y enseres.
  • Edificación.
  • Útiles de Oficina y papelería.
  • Materiales de uso y consumo.
  • Producto Final
  • Equipos de seguridad.
  • Maquinarias.
  • Herramientas de trabajo y mantenimiento

 

DRP conforme a la inteligencia artificial (IA)

El único sistema seguro es aquel que está en una fortaleza, protegido por los mejores guerreros de la tierra, sin ninguna conexión a una Net. Y lo más importante que no se use. Sabiendo esto tenemos la idea que no hay forma perfecta de preservar nuestro dato, aunque hay forma de reducir el riesgo un de esta forma es tener un buen DRP.

En los siguientes puntos hablaremos de niveles de seguridad para preservar nuestra información y comentaremos de manera breve su seguridad: Archivar la información es la forma menos segura por los posibles, desastres naturales, robo de información, ingeniería social y perdida de datos.

  • Virtualización y almacén local de la información:

En esta opción se avanza poco en seguridad ya que disminuye un poco en robo de información porque solo los usuarios con acceso a donde se almacenan los datos puede acceder a estos, pero hay factores que influyen como la gestión de usuario, cierre de la puerta trasera y destrucción de información física”. Para nuestro equipo no está bien solo pesar que se puede confiar en un disco duro ya que es finito y se roban este o se avería adiós empresa y aun en un desastre se pierde la información”.

  • Centro de datos:

Este entra en seguridad media ni muy buena ni muy mala la empresa usa una división que se encargue del manejo y almacenamiento de los datos con servidores asimétricos para en caso de que se caiga uno el otro siga en funcionamiento, alta disponibilidad tanto Online como Offline. “Es una opción es muy caro mantener un Cetro de datos, pero tiene ventajas, sin embargo, no es 100% efectivo ya que anual hay que actualizar los servidores tanto en hardware como en software según el sistema y el almacenamiento lo cual es muy caro se suman muchos costos al hacer un Centro de Datos y si ocurre un destre natura podemos perder una buena parte de los datos como el caso del Supermercado Bravo”.

  • Servidores de terceros:

Pasar la problemática del manejo de los datos es mejor si la empresa contratada se dedica a esto de manera que ya su personal se especializa en esto por tanto puede ser una opción óptima a la hora de almacenar”. Es casi perfecto, pero hay compañías que no le gusta que toquen sus datos privado estos peligran si la empresa externa recibe un ataque”.

  • Computación en la Nube:

La contrata de servicio en la nube es la mejor opción a nivel de seguridad hay estudios que catalogan como la 99.99% segura por la necesidad de alta disponibilidad tu decide quien ve que como y cuando hay varias empresas como Amazon que te da la nube infinita de espacio si algo les pasa a los computadores la información se mantiene segura.

Entrenar personal:

Esto provocará que haya menos ingeniería social en la empresa y que el personal haga que la información se preserve esto incluye a los técnicos para que esté preparado en caso de cualquier desastre natural.

  • Tener una conjunción de Sistema asimétrico en los servidores:

Si los servidores están en locales diferentes mejor de esta manera se cae un local el otro sigue en funciones, si lo pasa a una empresa de terceros verifica que contenga el ISO 9001 se seguridad de la información.

  • Pólizas de seguro costrada en desastres naturales:

Para recuperar parte la inversión hecha de manera que podemos pagar para recuperar toda la información que se pueda.

  • Enumerar los problemas para buscarle solución:

Conocer los problemas para buscarle solución rápida si se puede solucionar es una buena práctica, pasar y mitigar problema también es una buena práctica.

  • Como preservar la información en un desastre natural:

Temporada ciclónica: Si el país en el que se ubica tu empres tiene a que haya huracanes la edificación debe de estar preparado para este si su servicio de internet es por antena repetidoras es mejor revisar su equipo para ver si está activo.

  • Terremotos:

Como es caso de chile que sus edificaciones está preparado y los tendidos eléctricos está preparado para los sismos y los alambres de fibra óptica esta reforzados y la respuesta de los servicios en de 30 minutos.

  • Incendios: 

Tener estridores de espuma para que no afecte a los equipos tecnológicos y orar para que no tener que usarlos o si ocurre que sea en momento laborar.

  • Información en la Nube:

Google es unas de las pocas empresas que tiene respaldo de su big-data y un respaldo del respaldo aun la cualquiera locación que te encuentre podrá acceder a tus datos, aunque todo en la presa que trabajes sea destruido.

¿Cómo se genera el desarrolo de estrategias de recupaeración y continuidad de negocio?

Existen diferentes maneras de abordar el desarrollo de un plan de recuperación, pero éste siempre debe estar alineado con el plan de continuidad, por lo que debe considerar los elementos que definen la razón de ser de una organización. Además, el DRP debe incluir los criterios para determinar cuándo un incidente de seguridad no se puede resolver mediante los procedimientos comunes de atención y se considera como un desastre, es decir, cuando se presenta un evento catastrófico y repentino que nulifica la capacidad de las organizaciones para llevar a cabo los procesos esenciales.

Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida total de una instalación o la incapacidad de los empleados para acceder a las instalaciones, generado por algún tipo de desastre natural, una contingencia sanitaria o una huelga, por ejemplo.

Una propuesta para el desarrollo y aplicación del DRP se considera en los siguientes 6 puntos:

  1. Desarrollar una política de continuidad del negocio. Todas las actividades deben estar alineadas con los objetivos de continuidad del negocio, por lo que un punto de partida puede ser el desarrollo de una política encargada de establecer el marco de operación de los planes, así como la clasificación de los sistemas o aplicaciones para identificar aquellos que sean considerados como críticos.
  2. Realizar una evaluación de riesgos. Llevar a cabo una evaluación de riesgos permite identificar, analizar y evaluar las amenazas que podrían afectar a la organización, especialmente aquellos que puedan provocar un evento que se incluya en la categoría de desastre.
  3. Realizar un análisis de impacto al negocio (BIA). En este paso se definen principalmente los objetivos de recuperación para los sistemas que soportan los procesos de negocio. Se define el Tiempo Objetivo de Recuperación (RTO por sus siglas en inglés), que es el período permitido para la recuperación de una función o recurso de negocio a un nivel aceptable luego de un desastre, y el Punto Objetivo de Recuperación (RPO) que describe la antigüedad máxima de los datos para su restauración, con base en los requisitos del negocio.
  4. Desarrollar estrategias de recuperación y continuidad del negocio. En este paso se busca dejar en claro todas las medidas a poner en práctica para regresar a la operación tan pronto como sea posible, con base en una priorización derivada de la clasificación del primer punto.
  5. Concientizar, capacitar y probar los planes. Un elemento necesario con relación a los planes consiste en realizar su difusión entre los miembros de la organización, especialmente entre aquellos que serán los encargados de ponerlo en ejecución en caso de ser requerido. Además, es necesario que se lleven a cabo pruebas del mismo, para ello, se puede hacer uso de diferentes opciones, desde una revisión de la lista de verificación (checklist) de la recuperación hasta una prueba de interrupción completa (full interruption test) donde las operaciones se interrumpen en el sitio primario y se transfieren a un sitio de recuperación.
  6. Mantener y mejorar el plan de recuperación ante desastres. A partir de los resultados de la prueba de los planes se deben llevar los ajustes correspondientes para contar con documentación actualizada y apropiada a los intereses de la organización, una vez que han sido consideradas las situaciones de desastre que podrían afectarla, las actividades y recursos necesarias para restablecer las operaciones críticas. De manera general, las organizaciones que desarrollan los planes de recuperación deberán considerar los recursos a su alcance, los servicios previamente identificados y que se desean recuperar tan pronto como sea posible, así como los tipos y severidad de las amenazas que enfrenta la organización y pueden llegar a convertirse en un problema de mayor magnitud para la misma. Otro elemento necesario es la propensión al riesgo de la organización, ya que de ello también dependerán los esfuerzos.

Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:

  • Catástrofes.
  • Fuego.
  • Fallos en el suministro eléctrico.
  • Ataques terroristas.
  • Interrupciones organizadas o deliberadas.
  • Sistema y/o fallos del equipo.
  • Error humano.
  • Virus, amenazas y ataques informáticos.
  • Cuestiones legales.
  • Huelgas de empleados.
  • Conmoción social o disturbios.

 

Prevención ante los desastres

  • Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda más que los datos de una semana.
  • Incluir el software, así como toda la información de datos, para facilitar la recuperación.
  • Si es posible, usar una instalación remota de reserva para reducir al mínimo la pérdida de datos.
  • Redes de Área de Almacenamiento (SANs) en múltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos.
  • Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo electrónico.
  • El suministro de energía ininterrumpido (SAI).
  • La prevención de incendios – más alarmas, extintores accesibles.
  • El software del antivirus.
  • El seguro en el hardware.

 

Diferencias entre DRP  BCPD

Cuando se piensa en la posibilidad de un desastre o tener alguna contingencia, las empresas suelen confundir el Plan de Continuidad de Negocio (BCP) y el Plan de Recuperación de Desastres (DRP) o en el mejor de los casos, utilizan los términos de manera ambigua, como si fueran lo mismo.

Lo cierto es que existen diferencias fundamentales entre estos dos Planes, pero la principal es su alcance, ya que el Plan de Continuidad de Negocio (BCP) son las acciones que garantizan que las operaciones continúen a pesar de una contingencia, recuperando los procesos críticos para ello; mientras que el Plan de Recuperación de Desastres (DRP) se encarga sólo de la recuperación y restablecimiento de los procesos e infraestructura IT, que sirven de soporte para estos procesos críticos. Es decir, que el DRP, se encuentra contemplado dentro del BCP. Sin embargo, ambos son indispensables y contribuyen con los sistemas esenciales para el funcionamiento del negocio cuando sea requerido.

Por lo tanto, las organizaciones deben considerar la propensión a riesgos, como base para desarrollar sus Planes ante Contingencia, tanto el Plan de Recuperación de Desastres (DRP) encargado de reestablecer la plataforma IT y el Plan de Continuidad de Negocio (BCP) encargada de continuar los procesos críticos indispensable para no detener el negocio a pesar de un desastre.  Esto, para no desperdiciar recursos, tiempo y esfuerzo.

Asimismo, deben tener en cuenta con cuales recursos se cuenta, cuáles son los servicios y procesos indispensables para restablecer en el menor tiempo posible ante una emergencia, por supuesto amenazas y nuevos riesgos que pueden darse mientras se lleva el proceso de recuperación.

El plan

Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: ‘Siempre desear lo mejor y planear para lo peor’. En un buen plan existen diferentes factores que hay que tomar en cuenta. Los más importantes son:

  • El árbol telefónico:

Para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperación.

  • Reservas de memoria:

Si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la posición remota de reserva (o Internet).

  • Clientes:

La notificación de clientes sobre el problema reduce al mínimo el pánico.

  • Instalaciones:

Teniendo sitios calientes o sitios fríos para empresas más grandes. Instalaciones de recuperación móviles están también disponibles en muchos proveedores.

BCP

Un plan de continuidad del negocio (o sus siglas en inglés BCP, por Business Continuity Plan) es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. En los Estados Unidos, las entidades gubernamentales se refieren al proceso como planificación de continuación de operaciones (en inglés Continuity Of Operations Planning, o sus siglas COOP).

Mantenimiento de BCP

Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectar de forma crítica. No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda organización necesita un Plan de continuidad de negocio ya que tarde o temprano se encontrará con una incidencia de seguridad.

Aplicación

El plan de continuidad de negocio abarca todos los sectores de negocio, dado con más énfasis en aquellos donde la disponibilidad de la información es su mayor activo. A partir del 11 de septiembre de 2001, los planes de continuidad de negocio cobraron importancia abarcando con mayor cobertura a compañías del sector financiero y sus asociados, donde hoy en día tiene su mayor aplicación. No hay importancia del tamaño de la empresa o institución, un plan de continuidad puede ser aplicado tanto a empresas grandes, medianas, pequeñas e incluso microempresas. Como todo proceso, la aplicación de un plan de continuidad involucra determinados pasos obligatorios para garantizar la funcionalidad de este, estas fases son:

  • Fase de análisis y evaluación de riesgos
  • Selección de estrategias
  • Desarrollo del plan
  • Pruebas y mantenimiento del plan.

El BCP detalla las responsabilidades de cada empleado ante cada desastre cualquiera sea su naturaleza, y la manera de mantener la comunicación entre ellos.  Para elaborar el Plan debe tomarse en cuenta los siguientes aspectos:

  • Flexibilidad, para adaptarse a cualquier riesgo que pueda ocurrir en la organización, para ello se deben identificar las posibles situaciones de riesgos, internos y externos que afecten la Continuidad del Negocio, destacando las posibles consecuencias que se generarán de cada situación.
  • Asertividad, para dar respuesta a cada situación, detallando la forma de responder la organización con acciones específicas, recursos y responsables de llevarlas a cabo.
  • Listado de contactos actualizados: Resguardar en una base de datos, preferiblemente externa: datos de clientes, empleados, proveedores, inversionistas. Identificar los empleados claves que puedan dar continuidad al negocio, capacitados para el Plan de Emergencia.
  • Organización, establecer el organigrama para la toma de decisiones durante el tiempo de la Contingencia.

 

Conclusión

En conclusión, Tomar medidas para la Contingencia, es de vital importancia para toda organización tanto para garantizar la estabilidad de esta internamente como para su conexión con los clientes. Manteniendo la satisfacción de este y su competitividad en el mercado a pesar de la Contingencia. El Plan de Continuidad de Negocio (BCP) que incluye el Plan de Recuperación de Desastres (DRP) son claves para la Contingencia. La forma más óptima de proteger nuestro dato actualmente es la nube eso siempre dependerá el presupuesto y la empresa que va orientada en este trabajo se ve cual método de preservar información son lo más óptimos    para que sirva como idea a los DRP en su arduo trabajo en preservar la información ante cualquier catástrofe.

Acorde a todas las investigaciones realizadas el hecho de que las compañías se sometan a gestiones de informes desde 0 hacen que los niveles financieros bajen a causa de estos desastres por lo cual tenemos aquí la ayuda indicada para cierta situación. No todas las empresas son capaces de adquirir algunas pólizas de seguro

Bibliografía

  1. Y. Haik y T. M. Shalin , Engineering design process, Stamford: Cengage Learning, 2011.
  2. A. López Neira y J. Ruiz Spohr, ISO27000.es, 2012.
  3. MINTIC, Guía para realizar el Análisis de Impacto de Negocios BIA: seguridad y privacidad de la información, Bogotá: El Ministerio, 2015.
  4. A. G. Alexander, Diseño de un sistema de gestión de seguridad de la información, México: Alfaomega, 2007.
  5.  A. G. Alexander, Diseño de un sistema de gestión de seguridad de la información, México: Alfaomega, 2007.
05 January 2023
close
Tu email

Haciendo clic en “Enviar”, estás de acuerdo con nuestros Términos de Servicio y  Estatutos de Privacidad. Te enviaremos ocasionalmente emails relacionados con tu cuenta.

close thanks-icon
¡Gracias!

Su muestra de ensayo ha sido enviada.

Ordenar ahora

Utilizamos cookies para brindarte la mejor experiencia posible. Al continuar, asumiremos que estás de acuerdo con nuestra política de cookies.