Agosto 2012 - Universidad Anáhuac México Sur
Agosto 2012 - Universidad Anáhuac México Sur
Agosto 2012 - Universidad Anáhuac México Sur
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Ambiente<br />
de Negocios<br />
El proyecto del BCP/DRP requiere ser<br />
iniciado y formalmente aprobado por<br />
la Dirección General, someterse a la<br />
aprobación del Comité de Auditoría y<br />
ser sujeto a la revisión independiente<br />
del área de Auditoría Interna en forma<br />
anual, o por lo menos cada dos años,<br />
en caso de estar capacitada esta área,<br />
o bien, contratar a una consultoría especializada<br />
para su revisión.<br />
DESARROLLO<br />
Y ADMINISTRACIÓN<br />
La Dirección General debe desarrollar<br />
un Plan de Continuidad del Negocio<br />
que cubra los aspectos críticos y esenciales<br />
de la actividad de la compañía.<br />
Este Plan es esencial para poder continuar<br />
con las actividades críticas del<br />
negocio, en el caso de una falla inesperada,<br />
o bien por un evento catastrófico.<br />
Como recomendaciones adicionales<br />
al desarrollo y administración del<br />
Plan de Continuidad del Negocio, podemos<br />
enunciar, entre otras:<br />
a) Entender plenamente los riesgos<br />
que está enfrentado la empresa, incluyendo<br />
e identificando formalmente<br />
los procesos críticos del negocio.<br />
b) Entender el posible impacto en costo<br />
y duración que una interrupción a<br />
la operación normal pueda tener.<br />
c) Asignar un presupuesto autorizado<br />
suficiente al BCP/DRP por la Dirección<br />
General y ratificado por el<br />
Comité de Auditoría.<br />
d) Considerar la adquisición y renovación<br />
de una póliza de seguros de protección<br />
de activos como parte del Plan de<br />
Continuidad de Negocio.<br />
e) Formular y documentar una estrategia<br />
de continuidad del negocio<br />
de acuerdo con los objetivos y las<br />
prioridades.<br />
f) Contar con la infraestructura informática<br />
alterna para el restablecimiento<br />
de la denominada Configuración<br />
Mínima Aceptable de Recuperación<br />
(MARC, por sus siglas en inglés).<br />
EVALUACIÓN DE RIESGO<br />
Se debe realizar una evaluación formal<br />
de riesgo o análisis de impacto sobre<br />
el negocio (BIA), para determinar<br />
los requerimientos del Plan e identificar<br />
todos los eventos reales y potenciales<br />
que puedan causar interrupciones<br />
a los procesos de negocio. Sin embargo,<br />
no se debe limitar exclusivamente<br />
a los recursos e infraestructura tecnológica<br />
asociado a los sistemas de información.<br />
Los pasos involucrados en el<br />
análisis comprenden, entre otros:<br />
a) Técnicas para obtener información.<br />
b) Seleccionar los funcionarios y empleados<br />
clave a entrevistar.<br />
c) Adecuar los cuestionarios a realizar.<br />
d) Analizar e interpretar la información<br />
operativa y financiera.<br />
e) Identificar los procesos críticos<br />
por área.<br />
f) Definir los tiempos críticos de las<br />
diferentes funciones del negocio.<br />
g) Determinar los tiempos máximos<br />
tolerables de caída por proceso<br />
(MTD).<br />
h) Priorizar la recuperación de las<br />
funciones críticas del negocio.<br />
i) Documentar y preparar reportes de<br />
recomendaciones a la Dirección General<br />
y unidades de negocio aplicables.<br />
CARACTERÍSTICAS<br />
Con el fin de garantizar su consistencia<br />
a lo largo de las diferentes unidades<br />
de negocio, el Plan debe considerar<br />
Si el Plan de<br />
Continuidad<br />
del Negocio<br />
no se actualiza<br />
periódicamente,<br />
su éxito puede<br />
ser cuestionable<br />
y parcial.<br />
por lo menos los siguientes elementos:<br />
a) Establecer grupos de recuperación.<br />
b) Definir los escenarios de contingencia<br />
posibles.<br />
c) Condiciones para la activación del<br />
plan de continuidad.<br />
d) Una estrategia de recuperación de<br />
desastres, teniendo en cuenta aspectos<br />
como:<br />
d.1) Esquemas de recuperación de<br />
respaldos, evitando o disminuyendo<br />
la pérdida de datos críticos.<br />
d.2) Prioridades y tiempos de<br />
recuperación.<br />
d.3) Procesos, usuarios, servicios,<br />
aspectos técnicos e información mínimos<br />
indispensables a restaurar<br />
para reiniciar la operación.<br />
e) Identificar e implementar las responsabilidades<br />
y procedimientos de<br />
emergencia para permitir la recuperación<br />
en un tiempo limitado.<br />
f) Procedimiento que incluya las actividades<br />
antes y durante el evento de la<br />
contingencia.<br />
g) Procedimientos de regreso a la operación<br />
normal.<br />
h) Documentación de procedimientos<br />
y procesos acordados.<br />
i) Entrenamiento apropiado sobre<br />
manejo de emergencias al personal<br />
involucrado.<br />
j) Cronograma de pruebas del Plan de<br />
Continuidad del Negocio.<br />
k) Responsabilidades individuales de<br />
ejecución y propietarios de cada Plan<br />
de continuidad.<br />
INVOLUCRAMIENTO<br />
DEL PERSONAL<br />
Entre los aspectos de la seguridad de<br />
la información a considerar, cuando<br />
se implementan estas políticas, están<br />
las siguientes:<br />
a) Aun cuando el BCP/DRP haya sido<br />
probado, aun este puede fallar si<br />
el personal no está lo suficientemente<br />
familiarizado y convencido con<br />
sus contenidos y su responsabilidad<br />
correspondiente.<br />
14 Veritas • agosto <strong>2012</strong>