Agosto 2012 - Universidad AnÃ¡huac MÃ©xico Sur

More documents

Recommendations

Info

dimientos para la restauración de la empresa al estado previo del desastre. La principal diferencia es que el DRP es comúnmente asociado con la recuperación del sistema de Tecnología de Información (TI) por sí sola, mientras que el BCP tiene un contexto de negocios más amplio. El backup o respaldo de la información solo es una parte de un DRP. El back-up es la copia de archivos que facilita la restauración de los activos de TI. Los archivos de copia de seguridad pueden contener información vital para la empresa, como datos, información financiera y operativa, aplicaciones, sistemas operativos y documentación, entre otros. Muchas pequeñas y medianas empresas piensan erróneamente que el back-up es un Plan de Continuidad de recuperación. No es así. El simple back-up o la copia de datos, en sí mismo, no garantiza que un negocio será capaz de desarrollar sus operaciones de manera normal, ni siquiera la recuperación mínima necesaria de su información, después de que ocurren los desastres. También es importante definir qué se entiende por un BIA. Su propósito es crear un documento que ayude a entender el costo y el impacto que un desastre pueda tener sobre un negocio en particular. Considera principalmente: a) Priorizar procesos críticos del negocio. b) Calcular el Maximum Tolerable Downtime (MTD), es decir, el tiempo máximo sin servicio que una organización puede soportar y seguir cumpliendo con sus objetivos de negocio. Por lo tanto, la continuidad del negocio es un concepto que abarca la planeación para recuperación de desastres, principalmente en sus datos (DRP) y la planeación para el restablecimiento del negocio (BCP). código de mejores prácticas corporativas Conforme a la Práctica 7 del Código de Mejores Prácticas Corporativas, el BCP/ DRP está relacionado con las siguientes funciones del Consejo de Administración: ➔ XV. Asegurar el establecimiento de planes de contingencia y de recuperación de la información. Esto es lo más importante ➔ VI. Asegurar la creación de valor para los accionistas y la permanencia en el tiempo de la sociedad. De no tener un BCP/DRP se puede poner en peligro la continuidad de las operaciones y de la información de la organización. ➔ VIII. Asegurar el establecimiento de mecanismos de control interno y de calidad de la información. ➔ X. Asegurar el establecimiento de mecanismos para la identificación, análisis, administración, control y la adecuada revelación de los riesgos, por la posible falta de establecer, probar y actualizar el Plan de BCP/DRP. POLÍTICA GENERAL Debido a que cualquier interrupción en los procesos de negocio afecta la operación y su continuidad, es responsabilidad de la Dirección General aprobar, poner en marcha y probar formalmente un Plan de Continuidad de Negocio, que cubra las actividades y críticas necesarias. En la definición de esta política, por lo menos, se deben considerar: a) Respaldos o back-ups de la información; se deben definir los procedimientos formales para la validación. b) Elementos de seguridad física necesarios. c) Integración y enlace formal del BCP con el DRP. d) Mantenimiento continuo del Plan BCP/DRP. e) Pruebas del plan, las cuales deben incluir las simulaciones e intentos de restauración necesarios. f) Establecer políticas necesarias de seguridad física. g) Crear un centro de operación de emergencia en caso de que se presente una contingencia que imposibilite continuar operando en las instalaciones de la empresa (plantas, fábricas, almacenes, centros de servicio, tiendas, etcétera). Este deberá contar con la infraestructura tecnológica adecuada y suficiente para soportar las aplicaciones clave del negocio, tanto operativas como financieras. h) Los roles y responsabilidades de las diferentes áreas y procesos dentro de la organización, que incluyen el entrenamiento necesario al personal aplicable. i) La revisión de la política. Esta política debe ser modificada, si existieran cambios en los procesos operativos y financieros de negocio de la organización, o en su infraestructura tecnológica. En caso de no haber cambios, se debe realizar su revisión anualmente para identificar los riesgos y desviaciones resultantes. INICIO DEL PLAN La Dirección General y los diferentes ejecutivos principales de primer nivel de una empresa (los Directores de Operaciones, Sistemas, Administración, Finanzas y Recursos Humanos) son los responsables de iniciar el Plan de Continuidad del Negocio. Este Plan es esencial y debe ser preventivo y no correctivo para continuar con las actividades críticas del negocio de la organización, en caso de una falla o desastre inesperado, que pudiera seriamente interrumpir los procesos y actividades importantes de la operación de la compañía. agosto <strong>2012</strong> • Veritas 13
Ambiente de Negocios El proyecto del BCP/DRP requiere ser iniciado y formalmente aprobado por la Dirección General, someterse a la aprobación del Comité de Auditoría y ser sujeto a la revisión independiente del área de Auditoría Interna en forma anual, o por lo menos cada dos años, en caso de estar capacitada esta área, o bien, contratar a una consultoría especializada para su revisión. DESARROLLO Y ADMINISTRACIÓN La Dirección General debe desarrollar un Plan de Continuidad del Negocio que cubra los aspectos críticos y esenciales de la actividad de la compañía. Este Plan es esencial para poder continuar con las actividades críticas del negocio, en el caso de una falla inesperada, o bien por un evento catastrófico. Como recomendaciones adicionales al desarrollo y administración del Plan de Continuidad del Negocio, podemos enunciar, entre otras: a) Entender plenamente los riesgos que está enfrentado la empresa, incluyendo e identificando formalmente los procesos críticos del negocio. b) Entender el posible impacto en costo y duración que una interrupción a la operación normal pueda tener. c) Asignar un presupuesto autorizado suficiente al BCP/DRP por la Dirección General y ratificado por el Comité de Auditoría. d) Considerar la adquisición y renovación de una póliza de seguros de protección de activos como parte del Plan de Continuidad de Negocio. e) Formular y documentar una estrategia de continuidad del negocio de acuerdo con los objetivos y las prioridades. f) Contar con la infraestructura informática alterna para el restablecimiento de la denominada Configuración Mínima Aceptable de Recuperación (MARC, por sus siglas en inglés). EVALUACIÓN DE RIESGO Se debe realizar una evaluación formal de riesgo o análisis de impacto sobre el negocio (BIA), para determinar los requerimientos del Plan e identificar todos los eventos reales y potenciales que puedan causar interrupciones a los procesos de negocio. Sin embargo, no se debe limitar exclusivamente a los recursos e infraestructura tecnológica asociado a los sistemas de información. Los pasos involucrados en el análisis comprenden, entre otros: a) Técnicas para obtener información. b) Seleccionar los funcionarios y empleados clave a entrevistar. c) Adecuar los cuestionarios a realizar. d) Analizar e interpretar la información operativa y financiera. e) Identificar los procesos críticos por área. f) Definir los tiempos críticos de las diferentes funciones del negocio. g) Determinar los tiempos máximos tolerables de caída por proceso (MTD). h) Priorizar la recuperación de las funciones críticas del negocio. i) Documentar y preparar reportes de recomendaciones a la Dirección General y unidades de negocio aplicables. CARACTERÍSTICAS Con el fin de garantizar su consistencia a lo largo de las diferentes unidades de negocio, el Plan debe considerar Si el Plan de Continuidad del Negocio no se actualiza periódicamente, su éxito puede ser cuestionable y parcial. por lo menos los siguientes elementos: a) Establecer grupos de recuperación. b) Definir los escenarios de contingencia posibles. c) Condiciones para la activación del plan de continuidad. d) Una estrategia de recuperación de desastres, teniendo en cuenta aspectos como: d.1) Esquemas de recuperación de respaldos, evitando o disminuyendo la pérdida de datos críticos. d.2) Prioridades y tiempos de recuperación. d.3) Procesos, usuarios, servicios, aspectos técnicos e información mínimos indispensables a restaurar para reiniciar la operación. e) Identificar e implementar las responsabilidades y procedimientos de emergencia para permitir la recuperación en un tiempo limitado. f) Procedimiento que incluya las actividades antes y durante el evento de la contingencia. g) Procedimientos de regreso a la operación normal. h) Documentación de procedimientos y procesos acordados. i) Entrenamiento apropiado sobre manejo de emergencias al personal involucrado. j) Cronograma de pruebas del Plan de Continuidad del Negocio. k) Responsabilidades individuales de ejecución y propietarios de cada Plan de continuidad. INVOLUCRAMIENTO DEL PERSONAL Entre los aspectos de la seguridad de la información a considerar, cuando se implementan estas políticas, están las siguientes: a) Aun cuando el BCP/DRP haya sido probado, aun este puede fallar si el personal no está lo suficientemente familiarizado y convencido con sus contenidos y su responsabilidad correspondiente. 14 Veritas • agosto <strong>2012</strong>
Page 1: www.ccpm.org.mx veritas@colegiocpme
Page 4 and 5: COLUMNA del presidente Intégrate a
Page 6 and 7: ESCAPARATE Beneficios a la membrec
Page 8 and 9: Entorno Político y Económico Por
Page 10 and 11: Ambiente de Negocios BMV Por Lic. G
Page 12 and 13: más de mil 500 empresas ligadas a
Page 16 and 17: ) Cuando en el Plan las personas in
Page 18 and 19: Por C.P.C. Elsa Beatriz García Boj
Page 20 and 21: Por Roberto del Toro Rovira Socio d
Page 22 and 23: Consulta el artículo completo en w
Page 24 and 25: La investigación arrojó de igual
Page 26 and 27: Por C.P.C. Francisco Javier Torres
Page 28 and 29: Intercambio de información El pasa
Page 30 and 31: las semanas cotizadas conforme lo s
Page 32 and 33: Mes Ingresos (-) Deducciones (=) Ba
Page 34 and 35: Intermedios Dentro de las actividad
Page 36 and 37: Los asistentes pudieron conocer má
Page 38 and 39: Columna Cápsulas de ética Por C.P
Page 40 and 41: vida colegiada Por Rodrigo Martíne
Page 42 and 43: COLUMNA En 300 segundos Por C.P. Av
Page 44 and 45: Espacio universitario Por Dr. Juan
Page 46 and 47: Arte y cultura Por Rodrigo Martíne
Page 48: EN CORTO Para mayor información, v

Agosto 2012 - Universidad AnÃ¡huac MÃ©xico Sur

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?