Agosto 2012 - Universidad Anáhuac México Sur
Agosto 2012 - Universidad Anáhuac México Sur
Agosto 2012 - Universidad Anáhuac México Sur
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
dimientos para la<br />
restauración de<br />
la empresa al estado<br />
previo del desastre.<br />
La principal diferencia es que<br />
el DRP es comúnmente asociado<br />
con la recuperación del sistema de<br />
Tecnología de Información (TI) por sí<br />
sola, mientras que el BCP tiene un contexto<br />
de negocios más amplio. El backup<br />
o respaldo de la información solo es<br />
una parte de un DRP. El back-up es la<br />
copia de archivos que facilita la restauración<br />
de los activos de TI. Los archivos<br />
de copia de seguridad pueden contener<br />
información vital para la empresa,<br />
como datos, información financiera y<br />
operativa, aplicaciones, sistemas operativos<br />
y documentación,<br />
entre otros.<br />
Muchas pequeñas<br />
y medianas<br />
empresas piensan<br />
erróneamente<br />
que el back-up es un<br />
Plan de Continuidad de recuperación.<br />
No es así. El simple<br />
back-up o la copia de datos, en<br />
sí mismo, no garantiza que un negocio<br />
será capaz de desarrollar sus<br />
operaciones de manera normal, ni siquiera<br />
la recuperación mínima necesaria<br />
de su información, después de<br />
que ocurren los desastres.<br />
También es importante definir qué se<br />
entiende por un BIA. Su propósito es<br />
crear un documento que ayude a entender<br />
el costo y el impacto que un desastre<br />
pueda tener sobre un negocio en<br />
particular. Considera principalmente:<br />
a) Priorizar procesos críticos del<br />
negocio.<br />
b) Calcular el Maximum Tolerable<br />
Downtime (MTD), es decir, el tiempo<br />
máximo sin servicio que una organización<br />
puede soportar y seguir cumpliendo<br />
con sus objetivos de negocio.<br />
Por lo tanto, la continuidad del negocio<br />
es un concepto que abarca la planeación<br />
para recuperación de desastres,<br />
principalmente en sus datos (DRP) y la<br />
planeación para el restablecimiento del<br />
negocio (BCP).<br />
código de mejores<br />
prácticas corporativas<br />
Conforme a la Práctica 7 del Código de<br />
Mejores Prácticas Corporativas, el BCP/<br />
DRP está relacionado con las siguientes<br />
funciones del Consejo de Administración:<br />
➔ XV. Asegurar el establecimiento de<br />
planes de contingencia y de recuperación<br />
de la información. Esto es lo más<br />
importante<br />
➔ VI. Asegurar la creación de valor para<br />
los accionistas y la permanencia en el<br />
tiempo de la sociedad. De no tener un<br />
BCP/DRP se puede poner en peligro la<br />
continuidad de las operaciones y de la<br />
información de la organización.<br />
➔ VIII. Asegurar el establecimiento<br />
de mecanismos de control interno y<br />
de calidad de la información.<br />
➔ X. Asegurar el establecimiento de<br />
mecanismos para la identificación,<br />
análisis, administración, control y la<br />
adecuada revelación de los riesgos,<br />
por la posible falta de establecer, probar<br />
y actualizar el Plan de BCP/DRP.<br />
POLÍTICA GENERAL<br />
Debido a que cualquier interrupción en<br />
los procesos de negocio afecta la operación<br />
y su continuidad, es responsabilidad<br />
de la Dirección General aprobar,<br />
poner en marcha y probar formalmente<br />
un Plan de Continuidad de Negocio,<br />
que cubra las actividades y críticas necesarias.<br />
En la definición de esta política,<br />
por lo menos, se deben considerar:<br />
a) Respaldos o back-ups de la información;<br />
se deben definir los procedimientos<br />
formales para la validación.<br />
b) Elementos de seguridad física<br />
necesarios.<br />
c) Integración y enlace formal del<br />
BCP con el DRP.<br />
d) Mantenimiento continuo del Plan<br />
BCP/DRP.<br />
e) Pruebas del plan, las cuales deben<br />
incluir las simulaciones e intentos de<br />
restauración necesarios.<br />
f) Establecer políticas necesarias de<br />
seguridad física.<br />
g) Crear un centro de operación de<br />
emergencia en caso de que se presente<br />
una contingencia que imposibilite<br />
continuar operando en las instalaciones<br />
de la empresa (plantas, fábricas,<br />
almacenes, centros de servicio,<br />
tiendas, etcétera). Este deberá contar<br />
con la infraestructura tecnológica<br />
adecuada y suficiente para soportar<br />
las aplicaciones clave del negocio, tanto<br />
operativas como financieras.<br />
h) Los roles y responsabilidades de<br />
las diferentes áreas y procesos dentro<br />
de la organización, que incluyen<br />
el entrenamiento necesario al personal<br />
aplicable.<br />
i) La revisión de la política. Esta política<br />
debe ser modificada, si existieran<br />
cambios en los procesos operativos y<br />
financieros de negocio de la organización,<br />
o en su infraestructura tecnológica.<br />
En caso de no haber cambios, se<br />
debe realizar su revisión anualmente<br />
para identificar los riesgos y desviaciones<br />
resultantes.<br />
INICIO DEL PLAN<br />
La Dirección General y los diferentes<br />
ejecutivos principales de primer nivel<br />
de una empresa (los Directores de<br />
Operaciones, Sistemas, Administración,<br />
Finanzas y Recursos Humanos)<br />
son los responsables de iniciar el Plan<br />
de Continuidad del Negocio.<br />
Este Plan es esencial y debe ser preventivo<br />
y no correctivo para continuar<br />
con las actividades críticas del negocio<br />
de la organización, en caso de una<br />
falla o desastre inesperado, que pudiera<br />
seriamente interrumpir los procesos<br />
y actividades importantes de la<br />
operación de la compañía.<br />
agosto <strong>2012</strong> • Veritas 13