Proyecto Fin de Carrera: Business Continuity Plan - Conceptos Teoricos Y Simulacion Practica

Departamento de Informática
PROYECTO FIN DE CARRERA
BUSINESS CONTINUITY PLAN – CONCEPTOS

TEORICOS Y SIMULACION PRACTICA
Autor: Samuel Pascual Martín
Titulación: Ingeniería Técnica en Informática de Gestión
Tutor: Miguel Ángel Ramos
Leganés, Octubre de 2015

Título: BUSINESS CONTINUITY PLAN – CONCEPTOS TEORICOS Y
SIMULACIÓN PRÁCTICA
Autor: Samuel Pascual
Director: Miguel Ángel Ramos González
EL TRIBUNAL
Presidente:
Vocal:
Secretario:
Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el día __ de _______
de 20__ en Leganés, en la Escuela Politécnica Superior de la Universidad Carlos III de
Madrid, acuerda otorgarle la CALIFICACIÓN de
VOCAL
SECRETARIO PRESIDENTE
Página 2 de 113
Agradecimientos
A D. Miguel Ángel Ramos, el tutor de este proyecto, sin cuya guía y ayuda no hubiera
sido posible.
A mis padres.
A M.
Gracias.
Página 3 de 113
Resumen
El presente Proyecto de Fin de Carrera pretende realizar una aproximación tanto teórica
como práctica a los Planes de Continuidad de Negocio empresariales.
En primer lugar el Proyecto plantea la necesidad para las Empresas de disponer de

planes formales de continuidad y recuperación, estructurados y elaborados siguiendo
una metodología determinada. Esto es de gran importancia debido al enorme impacto
que pudiera tener la ocurrencia de un desastre para cualquier Compañía.
A continuación el Proyecto describe teóricamente varios conceptos necesarios sobre la

Continuidad de los negocios. Se proporcionan no sólo definiciones, si no también
pautas y recomendaciones para poder elaborar estructuradamente un Plan de
Continuidad desde la fase inicial, desde la realidad empresarial de hoy en día.
Más adelante se aplican los conceptos descritos en la parte teórica a una situación
simulada, desarrollada sobre una empresa ficticia de tamaño medio. En esta parte se van
aplicando paso por paso todos los apartados teóricos descritos en la parte anterior,
indicando cómo se aplicarían sobre el ejemplo concreto. De esta manera puede ponerse
al lector en una situación de aproximación a la realidad, y apreciarse cómo las
características de cada empresa darán como resultado un Plan de Continuidad distinto.
Por último, y como anexos, se han incluido los documentos reales del Plan de
Continuidad que daría como resultado la implantación del Proyecto en la compañía
simulada.
Palabras clave:
Plan de Continuidad de Negocio, BCP, Business Continuity Plan, Recuperación de
Negocio, Simulación práctica BCP
Página 4 de 113
Abstract
This Final Project intends to be an approach, both from theoretical and practical
perspective, to corporate Business Continuity Plans.
In a first stage, this Project shows the need that the corporations have to maintain formal
continuity and recovery plans, which are made and structured following a methodology.
This matter has great importance nowadays, due to the big impact that a disaster could
have to any Company.
Next, this Project describes theoretically some concepts in business continuity. There
are not just definitions provided, but also guidelines and recommendations to develop a
Business Continuity Plan from its initial stage, taking in to account the reality of the
corporations nowadays.
In the next chapter, some of the concepts described in the theoretical stage are now
applied to a simulated case, of a medium-size company. In this part of the project all the
concepts provided are applied step by step over this simulated company. In this way, the
reader can approach a more real situation, and realize about that the different
characteristics of each company will provide a different Business Continuity Plan.
Finally, are included as annexes the real BCP documents which would result of the
implementation of the Project in the simulated company.
Keywords:
BCP, Business Continuity Plan, Business recovery, BCP Practical simulation
Página 5 de 113
Índice General
Capítulo 1- Introducción y Objetivos……………………………………...9
1.1 Introducción…………………………………………………………...9
1.2 Objetivos……………………………………………………………..10
1.3 Fases del desarrollo………………………………………………..11
1.4 Estructura de la memoria………………………………………….12
Capítulo 2 – Business Continuity Plan: Conceptos teóricos………..13

2.1 Definición de BCP………………………………………………….13
2.2 Elaboración del BCP……………………………………………….15
2.3 Planificación del proyecto…………………………………………16
2.4 Análisis de la Compañía…………………………………………..16
2.5 Análisis de riesgos………………………………………………….17
2.6 Análisis de impacto al negocio……………………………………18
2.7 Estrategia del BCP………………………………………………….19
2.8 Desarrollo del BCP………………………………………………….21
2.9 Documentación del Plan…………………………………………...22
2.10 Ensayos Y Pruebas del BCP……………………………………….23
2.11 Mantenimiento del BCP…………………………………………….24
Capítulo 3 – Business Continuity Plan: Simulación Práctica………...25

3.1 Descripción de la Compañía……………………………………….25
3.2 Simulación de planificación del proyecto…………………………26
3.3 Simulación del análisis de la Compañía………………………....27
3.4 Simulación del análisis de riesgos………………………………..35
3.5 Simulación del análisis de impacto al negocio………………….36
3.6 Simulación de estrategia del BCP………………………………....37
3.7 Simulación de desarrollo del BCP…………………………………40
3.8 Simulación de documentación del BCP…………………………..43
3.9 Simulación de pruebas y ensayos del BCP………………………44
3.10 Simulación de mantenimiento del BCP…………………………...44
Capítulo 4 – Planificación y Presupuesto…………………………………46

4.1 Planificación del Proyecto…………………………………………...46
4.2 Diagrama de Gantt……………………………………………………48
4.3 Presupuesto del Proyecto……………………………………………51
Capítulo 5 – Conclusiones……………………………………………………53
Capítulo 6 – Glosario…………………………………………………………..55
Capítulo 7 – Referencias……………………………………………………...56
Capítulo 8 – Bibliografía……………………………………………………….57
8.1 Libros………………………………………………………………………57
8.2 Revistas……………………………………………………………………57
8.3 Páginas o documentos electrónicos en la red……………………….57
ANEXO I – Análisis de Impacto al Negocio…………………………………60

ANEXO II – Plan de Crisis……………………………………………………...67
ANEXO III – Disaster Recovery Plan…………………………………………77
ANEXO IV – Plan de Mantenimiento y Pruebas……………………………88
ANEXO V – Business Continuity Plan……………………………………….96
Página 6 de 113
Índice de Figuras
Figura 1 – Plano de las instalaciones de SPBCP Consulting S.A.…………….26
Figura 2 – Organigrama del Equipo de Gestión de la Continuidad…………...28
Figura 3 – Esquema de conexiones de red……………………………………….32
Figura 4 – Sede SPBCP Consulting S.A……………………………………………34
Figura 5 – Diagrama de Gantt…………………………………………………..……50
Figura 6 – Presupuesto de Implantación…………………………………………..52
Página 7 de 113
Índice de Tablas
Tabla 1 – Tabla de Criticidad de procesos………………………………………29
Tabla 2 – Inventario de Sistemas Y Seguridad………………………………….30
Tabla 3 – Medidas iniciales de seguridad………………………………………..32
Tabla 4 – Análisis de riesgos………………………………………………………35
Tabla 5 – Análisis de impacto………………………………………………………37
Tabla 6 – Medidas de seguridad preventivas y acciones a tomar…………..38
Tabla 7 – Estrategia recuperación BCP…………………………………………..39
Tabla 8 – Desarrollo del Plan de Continuidad……………………………………41
Página 8 de 113
Capítulo 1.- Introducción y objetivos
1.1.- Introducción
A día de hoy gran cantidad de entidades ofrecen a sus clientes muy diversos
productos y servicios con el apoyo de las Tecnologías de la Información. La
importancia de estos servicios tecnológicos para las organizaciones aumenta día a día,
así como también lo hace la dependencia de las mismas hacia estos procesos.
A pesar de su importancia, dichos elementos se encuentran permanentemente en

riesgo, y las organizaciones están continuamente expuestas a fallos o amenazas que
pueden ocasionar una paralización de sus sistemas básicos. Esta paralización podría
poner en peligro la prestación de los citados servicios y productos a sus clientes,
llegando incluso a afectar la propia continuidad de las compañías.
Se hace indispensable por tanto, en el mundo empresarial de hoy en día, disponer

de un plan que sea capaz de gestionar eficientemente los posibles incidentes que
pudieran acontecer, para que el daño que dichos incidentes puedan ocasionar al negocio
sea el mínimo posible. Este plan proporcionará las pautas para, a partir de un análisis
previo de los sistemas y procesos de la entidad, asegurar la pronta recuperación de los
mismos con el objetivo de minimizar el impacto tanto al servicio proporcionado a los
clientes como a la imagen corporativa tras el incidente.
El Proyecto Fin de Carrera a continuación realiza un análisis pormenorizado de en

qué consiste un Plan de Continuidad de Negocio y cómo puede implementarse en una
empresa actualmente.
Página 9 de 113
1.2.- Objetivos
Este Proyecto Fin de Carrera tiene como intención la consecución de los siguientes
objetivos:
- Mostrar la necesidad para las empresas de disponer de un plan de continuidad de

negocio formal que estructure y describa una estrategia de continuidad.
- Definir y explicar teóricamente determinados conceptos relacionados con la

continuidad de los negocios.
- Proporcionar unas herramientas, basadas en una simulación práctica, para

ayudar al lector a elaborar un Plan de Continuidad que posibilite tanto la
prevención de riesgos en una compañía, como la recuperación del
funcionamiento de procesos críticos de la misma en caso de la ocurrencia de un
desastre.
Página 10 de 113
1.3.- Fases del desarrollo
El desarrollo del Proyecto Fin de Carrera a continuación se ha realizado en las
siguientes fases:
- Inicialmente, se plantea la necesidad de las empresas de disponer de un plan de

continuidad, se realizan las definiciones iniciales necesarias, y se describen,
desde una perspectiva teórica, los pasos necesarios para elaborar un plan de
continuidad.
- En una segunda fase, se intentan aplicar de forma práctica los conceptos teóricos
explicados en la primera fase. Para ello se define una compañía simulada,
SPBCP Consulting S.A., y se va implementando todo un Plan de Continuidad a
partir de la hipotética situación de un mandato de la Dirección General de la
citada compañía simulada.
- La tercera fase se corresponde con el diseño de la planificación utilizando un

Diagrama de Gantt, así como la realización de un presupuesto de implantación
para la situación simulada en la segunda fase del proyecto.
- Por último, y como anexos, se muestran los documentos definitivos que

resultarían de la implantación del Plan de Continuidad en la compañía simulada
SPBCP Consulting S.A., para proporcionar al lector un ejemplo de
documentación en el desarrollo de un plan de continuidad.
Página 11 de 113
1.4.- Estructura de la memoria
Para facilitar la lectura de la memoria, se incluye a continuación un breve resumen de
cada capítulo:
- Capítulo 1: Introducción y Objetivos
Este capítulo realiza una breve introducción inicial a los Planes de Continuidad de
Negocio, presenta los objetivos que persigue el Proyecto de Fin de Carrera, y explica las
fases de desarrollo del proyecto.
- Capítulo 2: Business Continuity Plan: Conceptos Teóricos
El capítulo 2 ofrece una aproximación teórica al concepto del Plan de Continuidad de

Negocio, y desarrolla teóricamente las fases necesarias para la implantación de un plan
de este tipo a nivel corporativo.
- Capítulo 3: Business Continuity Plan: Simulación Práctica
Este capítulo desarrolla el modelo teórico de implantación de un plan de continuidad

presentado en el capítulo 2 sobre una simulación práctica. La simulación propone la
cuestión de la implementación de un Plan de Continuidad para una compañía ficticia
ubicada en Madrid, desde el momento inicial hasta la implantación completa del plan.
- Capítulo 4: Planificación Y Presupuesto
El capítulo 4 describe la planificación del proyecto de implantación mediante un

diagrama de Gantt, y detalla el presupuesto para llevar a cabo dicha implantación.
- Capítulo 5: Conclusiones
El capítulo 5 ofrece las conclusiones al Proyecto Fin de Carrera, así como sugerencias
para futuros trabajos a partir de este PFC.
- Capítulo 6: Glosario
- Capítulo 7: Referencias
- Capítulo 8: Bibliografía
- ANEXOS
Se han recogido como Anexos (del I al V) los documentos finales que formarían parte
del Plan de Continuidad de Negocio de la empresa simulada en el Capítulo 3.
Página 12 de 113
CAPITULO 2.- BUSINESS
CONTINUITY PLAN: Conceptos
teóricos
2.1.- Definición de BCP

Según la obra Planes de Contingencia: La Continuidad del negocio en las
organizaciones, de Juan Gaspar Martínez, se denomina Plan de Continuidad de Negocio
al “… conjunto de estrategias y procedimientos preventivos y reactivos que permitan un
rápido retorno a una situación suficientemente normalizada para que la actividad de la
organización recupere un nivel aceptable después de una interrupción no prevista de sus
sistemas de información, para más tarde volver a la situación normal de
funcionamiento” [PDC-DEF]
Otra acepción, según la Wikipedia, de Plan de Continuidad de Negocio, es la siguiente:

“Un plan de continuidad del negocio (o sus siglas en inglés, BCP, por Business
Continuity Plan) es un plan logístico para la práctica de cómo una organización debe
recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de
un tiempo predeterminado después de una interrupción no deseada o desastre”. [WIK-
BCP]
A grandes rasgos, podríamos definir el Plan de Continuidad de Negocio de una

Compañía como el conjunto de tareas de análisis, planificación, implantación,
documentación y mantenimiento que faciliten la ejecución de las actuaciones necesarias
para lograr el restablecimiento eficiente de las funciones de una Empresa, si se diera el
caso de que algún incidente inesperado pusiera en peligro el funcionamiento normal de
la misma.
Entre los citados incidentes se encontraría cualquier evento que pudiera producir la
interrupción de la actividad normal de la Compañía, como pudieran ser cortes
prolongados en el suministro eléctrico, virus informáticos, fallos humanos, incendios,
terremotos, inundaciones, terrorismo, pandemias…
Ante la necesidad de disponer de un plan fiable que sea capaz de mitigar los efectos
adversos que pudieran producir estos eventos si tuvieran lugar, surge el Business
Continuity Plan como un conjunto de análisis, medidas activas y preventivas, pruebas y
documentos, destinado a guiar paso por paso al personal a cargo hasta la restauración de
la actividad total de la Compañía, en un periodo de tiempo que afecte lo menos posible
al cumplimiento de los compromisos y contratos de la misma con sus clientes.
Página 13 de 113
Así, podemos establecer los siguientes objetivos principales para cualquier Plan de
Continuidad de Negocio:
 Analizar la estructura e infraestructura de la Compañía con sentido crítico, para

conocer sus procesos y sistemas, constatando los puntos débiles que éstos
puedan tener.
 Identificar los riesgos que pueden afectar a la Organización, y el impacto que
pueda tener cada uno de ellos en caso de materializarse.
 Establecer una serie de medidas preventivas y estrategias de recuperación para
minimizar el impacto en la Compañía en caso de contingencia.
 Disponer de una guía para que el personal a cargo de la continuidad del negocio
pueda restaurar los sistemas y procesos de la manera más eficientemente posible,
incluso en un entorno de gran presión como el que pudiera suponer un desastre.
 Salvaguardar los intereses de la misma Compañía, así como de sus clientes y
accionistas, velando por la imagen de la organización y por el cumplimiento de
los compromisos adquiridos a pesar del desastre.
La importancia de disponer de un Plan de Continuidad es crítica en las organizaciones

actuales, donde tanto los Sistemas de Información como los datos que tratan tienen un
papel fundamental para el funcionamiento de las mismas. El hecho de poder o no contar
con una estrategia donde se especifique la secuencia de acciones a tomar en caso de
desastre, y que incluya aspectos como los procesos críticos a recuperar, el personal
involucrado, la infraestructura necesaria, etc, puede ser tan significativo como para
suponer la diferencia entre la desaparición de nuestra Compañía o la continuidad de la
misma. Esto es así hasta el punto que, de las empresas afectadas por un desastre,
únicamente un 6% de las que han sufrido pérdida irreversible de sus ficheros
automatizados permanecerá a largo plazo, mientras que el 51% cierra sus puertas en
menos de dos años [BACK-HOF].
Página 14 de 113
2.2.- Elaboración del BCP
Dada la extensión de los aspectos a tener en cuenta a la hora de la confección del Plan,
este debe estructurarse por fases separadas y bien definidas para evitar dejar de incluir
en el mismo aspectos críticos que pudieran no tenerse en cuenta a la hora de aplicarlo.
La elaboración del BCP implica en primer lugar un análisis pormenorizado de toda la

Compañía y sus procesos. Ya desde esta fase se debe contar con el apoyo de la
Dirección y de todos los Departamentos. Tengamos en cuenta que será un proyecto al
que la Empresa destinará tiempo y recursos sin un retorno de la inversión evidente a
corto plazo, con lo que contar con este entendimiento y apoyo desde el primer momento
será básico para que el Plan pueda confeccionarse.
Una vez analizada la situación actual, se procederá a diseñar el Plan propiamente dicho,
generando la documentación correspondiente. Esta documentación será la que servirá de
referencia en caso de que hubiera necesidad de aplicar el Plan en el futuro.
Pero aun estando ya generado el Plan, el trabajo no ha terminado: es necesario realizar

pruebas y simulacros para comprobar que las acciones diseñadas en el mismo son de
utilidad y tienen sentido, y también será necesario revisarlo periódicamente para incluir
los cambios que se pudieran haber producido desde la situación anterior al momento
actual.
En los apartados a continuación se detallan por orden las diferentes fases que se pueden
seguir a la hora de elaborar un Business Continuity Plan.
Página 15 de 113
2.3.- Planificación del Proyecto
Los primeros pasos a la hora de realizar cualquier proyecto son la exposición de la
motivación del mismo a partir de la situación existente, el establecimiento de unos
objetivos generales, y la explicación de los resultados esperables a la finalización del
mismo.
Este informe inicial se presentará a la Dirección para exponer la necesidad de realizar el

Plan de Continuidad, buscando la aprobación y el apoyo de la misma para llevarlo a
cabo.
Esta primera fase es muy importante para el Plan de Continuidad, ya que la Compañía
debe respaldar tanto organizativa como financieramente el mismo, a pesar de ser un
proyecto que no tiene un retorno de la inversión a corto plazo. En este informe habrá
que exponer claramente, por tanto, los beneficios de disponer de un BCP, así como los
riesgos de no contar con él, para que la Dirección pueda tomar una decisión respecto al
proyecto conociendo todas las implicaciones y el coste estimado de su implantación.
2.4.- Análisis de la Compañía

Una vez que el proyecto haya sido aprobado por la Dirección, procederemos a realizar
un análisis de la situación actual de la Compañía. En este análisis se deben describir las
características principales de la Empresa (ámbito del negocio, sedes, organización,
procesos, sistemas), que tendremos en cuenta a lo largo de todo el Proyecto. El análisis
preliminar nos proporcionará una idea clara inicial de la situación actual de la Empresa
en relación con los siguientes aspectos:
 Infraestructura de la Compañía
 Personal responsable de cada área
 Objetivos del negocio
 Sistemas actuales
 Criticidad de los procesos de la Empresa
 Planes de Continuidad actuales
El conocimiento previo de todos estos aspectos será de gran utilidad para establecer una
fotografía de la situación actual de la Empresa, que sirva de base para el desarrollo
posterior del Proyecto.
Página 16 de 113
2.5.- Análisis de Riesgos
En esta fase se deberán identificar, enumerar y evaluar los distintos riesgos y
vulnerabilidades que pueden afectar a la Compañía, y ordenarlos de acuerdo a su
probabilidad de ocurrencia e impacto en el desarrollo normal de las funciones del
negocio.
Los riesgos a los que se enfrenta cada compañía pueden resultar muy variados,
dependiendo de la naturaleza de su negocio (no afrontan los mismos riesgos una
floristería que una plataforma petrolífera, por ejemplo), de la localización de sus
instalaciones (el riesgo de inundación, por ejemplo, es superior en localizaciones
próximas a ríos o mares, o ubicadas en emplazamientos naturales de rieras), o de
cualquier otro factor específico de la Compañía. Por tanto, en esta fase tendremos en
cuenta tanto la incidencia como el impacto de todos estos factores propios de la
peculiaridad de la Empresa cliente a la hora de desarrollar el análisis de los riesgos.
Existen metodologías muy diversas para el análisis de riesgos, ya que éste no sólo se
aplica a la disciplina de la Continuidad de Negocio, entre las que cabe destacar las
siguientes:
 MAGERIT – “Metodología de análisis y gestión de riesgos elaborada por

el Consejo Superior de Administración Electrónica”. Es el método actual
de aplicación en la Administración Pública Española. [MAGE-HTP]
 OCTAVE – Técnica de evaluación de riesgos diseñado por la Oficina de
Patentes de EE.UU.
 CRAMM – “CRAMM es la metodología de análisis de riesgos
desarrollada por la Agencia Central de Comunicación y
Telecomunicación del gobierno británico”
Sin embargo, todas ellas tienen puntos comunes, que son los que deberemos contemplar
siempre que hagamos un Análisis de Riesgos, sea cual sea el método que utilicemos.
Estos puntos comunes y que podemos utilizar para realizar un análisis de riesgos fiable
y completo son los siguientes:
 Enumeración de los activos críticos de la Compañía

 Identificación de las vulnerabilidades asociadas a dichos activos
 Valoración de las posibles amenazas junto con su probabilidad de
ocurrencia
 Determinación del impacto que puede existir
El análisis de riesgos es una parte importante en la elaboración del BCP, ya que

proporcionará una visión de las posibles amenazas y contingencias que podrían ocurrir.
Será a partir de estos riesgos de los que se deduzcan las posibles soluciones, tanto
reactivas como proactivas, para mitigarlos.
Página 17 de 113
2.6.- Análisis de Impacto al Negocio
Una vez que tenemos una idea de la estructura y el funcionamiento de la Compañía, y
de los riesgos que pueden poner en peligro el funcionamiento de la misma,
procederemos a integrar la información de ambos análisis en lo que se denomina
Análisis de Impacto al Negocio (BIA, por sus siglas en inglés).
No hay que confundir el análisis de los riesgos realizado en el apartado anterior, con el
Análisis de Impacto al Negocio. El primero de ellos determina los sucesos que podrían
causar la interrupción del funcionamiento normal de la Compañía (caída de los
sistemas, de las comunicaciones, corte de suministro eléctrico, etc), mientras que el BIA
indica los efectos que provocaría esta interrupción del sistema sobre los procesos de
negocio si el evento llegara a suceder.
Actualmente no existe un estándar para la realización del BIA. Sin embargo en

cualquier Análisis de Impacto deben recogerse unos elementos comunes de información
y conceptos básicos, que darán una idea de cómo los riesgos pueden afectar a los
procesos críticos de la Compañía. Así, al realizar un Análisis de Impacto, deben tenerse
en cuenta al menos los siguientes aspectos:
 Proceso crítico: Nombre y descripción del proceso crítico a analizar.

 Prioridad del proceso: Valor de prioridad que se asigna al proceso en
caso de ser necesario el restablecimiento del mismo.
 Tiempo Máximo de Interrupción: Tiempo máximo en el que la Empresa
podría prescindir del proceso con un impacto asumible.
 Tiempo de Recuperación Objetivo: Es el tiempo necesario esperado para
la recuperación del proceso en caso de interrupción.
 Recuento de personal: Número de personal a tiempo completo dedicado
al proceso.
 Impacto al negocio: Valoración del impacto causado al negocio en cada
fase. Este impacto puede ser de muy distintas magnitudes, como
económico, legal, contractual, de reputación, o incluso una mezcla de
varias de ellas.
Como normal general se priorizará la recuperación del proceso que suponga mayor
impacto a cada área de negocio, para que de esta forma la pérdida asociadas al cese del
servicio sea lo menor posible.
Tras efectuar el análisis anterior los resultados del BIA deberán ser puestos en común
con la Dirección de las distintas áreas de la Empresa, para verificar si el posible impacto
al negocio y sus consecuencias (económicas, operativas, de reputación, de
cumplimientos contractuales con clientes, legales, etc) se han estimado de manera
realista.
Tanto la confección como la revisión por la Dirección de este punto son importantes, ya
que una mala evaluación del impacto nos podría hacer cometer errores en el caso de que
hubiera que aplicar el Plan. Así podríamos recuperar procesos que no son críticos antes
que otros que sí lo son, o no recuperar completamente procesos cuya importancia sí
hubiera sido bien estimada, pero no su naturaleza.
Página 18 de 113
2.7.- Estrategia del BCP
Llegados a este punto ya dispondremos de una imagen fiel y concisa de la estructura de
la Compañía, los posibles riesgos que puede afrontar y el impacto que puede tener el
negocio en caso de que alguno de estos riesgos se materializase. Es hora, por tanto, de
comenzar a desarrollar la estrategia de recuperación que seguiremos para que el
perjuicio que se pudiera ocasionar sea mitigado cuanto antes.
A la hora de hablar de continuidad tendremos en cuenta dos estrategias principales: la

recuperación propiamente dicha, en la que nos basaremos para paliar los daños cuanto
antes si el desastre llegara a suceder, y la prevención, que, si se aplica adecuadamente,
minimizará el impacto y hará mucho más eficiente la recuperación en sí.
Estas dos estrategias no son excluyentes entre sí. De hecho, una buena estrategia de
prevención facilitará en grado sumo la recuperación, si finalmente tuviera que llevarse a
cabo.
 Prevención
Según la definición del Diccionario de la R.A.E. de la Lengua, el término Prevención se
define como la “Preparación y disposición que se hace anticipadamente para evitar un
riesgo o ejecutar algo” [PREV-RAE]. Como se aprecia, la idea de evitar el riesgo está
implícito en la propia definición de prevención.
Este concepto es, por tanto, muy conveniente para ser aplicado en la estrategia de
desarrollo del Plan de Continuidad. Esta estrategia de prevención se basa en aplicar a la
infraestructura de la Compañía, a la forma diaria de trabajo y a las futuras decisiones
estratégicas la concepción de que los riesgos existen, para adoptar medidas preventivas
que los minimicen.
Entre estas medidas preventivas pueden encontrarse algunas como las siguientes:
 Planificar unas instalaciones donde la seguridad esté siempre presente:

disponer de sistemas contra incendios, mantener limpios los espacios de
trabajo, revisar periódicamente las instalaciones eléctricas, etc.
 Mantener inventarios actualizados de los Sistemas de Información de la
Compañía
 Disponer de conexiones de datos redundantes.
 Dotar a las infraestructuras de sistemas de alimentación ininterrumpida
para minimizar el impacto que pudiera provocar un corte de suministro
eléctrico.
 Realizar copias de seguridad periódicas de los datos almacenados en la
Compañía.
 Realizar copias de seguridad de la configuración de los sistemas de la
Compañía.
 Disponer de una salvaguarda de los sistemas y los datos fuera de las
instalaciones de la Compañía.
Página 19 de 113
 Los sistemas de la Compañía deben disponer de medidas de seguridad
adecuadas: sistemas operativos actualizados, antivirus actualizados,
seguridad perimetral…
 Dotar de teléfonos móviles y posibilidad de conexión segura desde el
exterior de las oficinas (VPNs) al personal que gestiona los procesos
críticos del negocio.
 Contemplar la posibilidad de utilizar equipos portátiles, que disponen de
batería propia y pueden ser utilizados fuera de las instalaciones de la
Compañía en caso de que éstas no estén disponibles.
 Contar con seguros en vigor que cubran los activos de la Compañía en
caso de rotura o desastre.
 Formar a los empleados periódicamente sobre las políticas de seguridad
y prácticas de buen uso de la Compañía para conseguir minimizar en lo
posible el error humano.
Nótese que el hecho de disponer de medidas preventivas como las mencionadas,

implementadas de forma natural en la Compañía, disminuirá en gran medida el impacto
que puedan producir muchos de los riesgos. En realidad, las medidas preventivas están
operativas continuamente, ya que forman parte de la infraestructura habitual de la
Organización, y evitan por sí mismas que el BCP tenga que ser activado al producirse
un riesgo ya previsto.
 Recuperación
A pesar de contar con unas medidas preventivas adecuadas, puede darse el caso de que
finalmente la interrupción del servicio se produzca. Por tanto, debemos contar con unas
estrategias de recuperación adecuadas para poder afrontar esta situación lo más
eficientemente y con el mínimo impacto posible para la Organización.
Independientemente de cuáles sean estas estrategias concretas de recuperación elegidas,

todas ellas deben contemplar cómo llevar a cabo los siguientes aspectos:
 Organización de los Recursos Humanos para poder desempeñar los

procesos críticos de la Compañía. En esta primera fase inicial la
Dirección y el Departamento de IT desempeñan un papel fundamental
para la recuperación.
 Habilitación de unas instalaciones alternativas donde poder llevar a cabo
las funciones críticas de la Empresa, en caso de que las instalaciones
habituales se hayan visto afectadas.
 Establecimiento de unas infraestructuras básicas sobre las que iniciar
nuevamente las Comunicaciones y Sistemas necesarios.
 Restablecimiento de los Sistemas necesarios para poder desempeñar los
procesos básicos.
 Recuperación de los datos corporativos a partir de las copias de
seguridad.
Página 20 de 113
Una vez que estas primeras acciones básicas han sido ejecutadas, siempre siguiendo la
guía del BCP, cimentaremos sobre las mismas el resto de la recuperación, para que la
Compañía pueda, en el mínimo tiempo posible, volver a la situación anterior al desastre.
2.8.- Desarrollo del BCP

Estando definidas las estrategias de prevención y recuperación, se plantea la cuestión de
cómo implementar dichas estrategias si el desastre llegara a producirse, y fuera
necesario ejecutar el BCP.
Así, si finalmente el Plan de Continuidad debe ejecutarse, se contemplarán los

siguientes aspectos a la hora de desarrollarlo:
 Medir en qué momento debe empezar a aplicarse el Plan. Normalmente

será una situación concreta o límite previamente definida la que haga que
el Plan comience a llevarse a cabo.
 Las personas indicadas, definidas en el BCP, comenzarán a tomar las
decisiones concretas para la activación, ejecución y gestión del Plan.
 Se dispondrán los recursos adecuados para la ejecución del Plan.
 Comenzarán a implementarse las estrategias de recuperación, para dotar
de una infraestructura básica a la Compañía en un corto plazo de tiempo.
 Se recuperarán los procesos críticos de la Empresa, de acuerdo con la
prioridad definida en el BCP.
 Durante todo este proceso se realizarán las comunicaciones pertinentes a
los medios, clientes y proveedores, para no dañar la imagen de la
Organización.
El Desarrollo inicial del Plan de Continuidad será de gran ayuda para gestionar la
situación inicial de crisis, los complicados primeros momentos de nerviosismo y
desconcierto que afrontará la Organización en esta situación. Sin embargo, la finalidad
última del Plan de Continuidad de Negocio es restaurar la situación de la Compañía a la
existente previa a la situación de crisis. El correcto desarrollo del Plan de Continuidad
desde el primer momento, aparte de gestionar la situación inicial, sentará las bases para
la recuperación definitiva de la Compañía con el mínimo impacto posible.
Página 21 de 113
2.9.- Documentación del Plan
Como resultado de la elaboración del BCP se obtendrán diversos documentos que
recojan toda la información y los procedimientos analizados y establecidos en las
distintas fases del Plan de Continuidad. Esta documentación es de gran importancia, ya
que servirá como guía en caso de ser necesaria la aplicación del mismo.
Los documentos que se obtendrán tras el desarrollo del Plan de Continuidad son, como
mínimo, los siguientes:
 BIA (Business Impact Analysis): Documento que recoge el análisis de los

posibles riesgos que pueden afectar a los sistemas y procesos de la
Compañía. Este documento especifica el posible riesgo que se afronta,
detalla los sistemas y procesos afectados si el riesgo se convirtiera en
desastre, y cuantifica el impacto para cada sistema o proceso que se viera
afectado. En este documento normalmente se incluye el Análisis de Riesgos
realizado previamente al BIA.
 Plan de Crisis: Este documento contiene la información necesaria para la

gestión de la crisis desde los momentos iniciales, indicando aspectos tales
como el personal a cargo de la recuperación, los contactos necesarios para la
gestión de incidencias, los tiempos de resolución de incidencias, etc. Es de
gran importancia, ya que indica los pasos a seguir en primer lugar cuando el
desastre ha ocurrido, lo que es de enorme utilidad en una situación de
posible desconcierto y nerviosismo.
 DRP (Disaster Recovery Plan): El Disaster Recovery Plan es el documento

que detalla los procesos necesarios para proteger y recuperar la
infraestructura IT en caso de desastre. Este documento debe ser creado y
mantenido por el Departamento de IT, y es básico dentro del BCP debido al
papel fundamental que juegan actualmente las Tecnologías de la
Información en las empresas.
 BCP (Business Continuity Plan): El BCP propiamente dicho es el

documento final que servirá de guía para la prevención y recuperación de la
Compañía en caso de desastre. No sólo sintetiza y recoge todos los
documentos anteriores, que forma parte del plan, sino que también incluye
información específica sobre el proceso completo de recuperación,
incluyendo toda la estrategia de continuidad de la Compañía.
 Plan de mantenimiento y pruebas: Este documento detalla las políticas de

mantenimiento del BCP, e incluye las pruebas a realizar periódicamente para
asegurar que el Plan es de utilidad y está correctamente planteado si tiene
que ejecutarse en algún momento.
 Documentación de formación a empleados: Podemos añadir también como

documento resultante del desarrollo del Plan la documentación necesaria
para la formación de los empleados en cuanto a la Continuidad de la
Compañía. Esta documentación puede ser simplemente una pequeña guía,
Página 22 de 113
pero al menos explicará por qué es importante la continuidad, y detallará las
medidas preventivas que todos los empleados deben adoptar para minimizar
los riesgos que afronta la Empresa.
2.10.- Ensayos Y Pruebas del BCP

Una vez que el BCP ha sido desarrollado y documentado ya se puede entender que la
Compañía dispone de un Plan de Continuidad del Negocio que prevé y gestiona la
ocurrencia de una disrupción del mismo. Sin embargo en este momento se dispone de
una documentación teórica que ha sido analizada, desarrollada y estudiada, pero que
nunca se ha aplicado en una situación real.
Es obvio que, por mucho que una situación se haya analizado sobre el papel, las
contingencias que acontecen en una situación real no son comparables a su planificación
teórica. Si la situación crítica finalmente tuviera lugar no sería extraño que pudieran
ocurrir determinados imprevistos, como ocurrencia de riesgos adicionales, reacciones
no previstas del personal implicado, fallo de algunas de las medidas de prevención
descritas en el BCP, fallo de alguna de las medidas de recuperación, etc.
Para mitigar en la medida de lo posible estas situaciones imprevistas se hace necesario

el desarrollo de un plan de ensayos y pruebas que pongan en práctica los conceptos
teóricos analizados y definidos en el BCP. Estas pruebas no podrán ser completamente
reales, ya que no podemos crear ni simular totalmente un escenario que nos lleve a
poner en riesgo la continuidad del negocio con el propio ensayo, pero sí podemos
plantear una situación que el equipo de contingencia pueda afrontar, al menos de forma
simulada.
Estos ensayos consistirán normalmente en el planteamiento de una situación de riesgo al

equipo encargado de la recuperación, que se encontrará reunido. Este equipo deberá
intentar aplicar el Plan de Contingencia, afrontando y solucionando todas las situaciones
que aparezcan en la prueba. Como resultado se obtendrá no sólo una prueba del BCP,
con posibles puntos a replantear, mejorar o actualizar, sino también una experiencia
valiosa para el equipo de contingencia, que será de utilidad si finalmente la desgracia
llegara a producirse.
Página 23 de 113
2.11.- Mantenimiento del BCP
Para poder conseguir de una forma eficiente el objetivo final de nuestro Plan de
Continuidad, que no es otro que la recuperación de los procesos de la Compañía en caso
de desastre, tenemos que asegurar que la imagen de la misma que refleja dicho Plan esté
actualizada y sea fiel a la situación real en cada momento.
Se ha de tener en cuenta que un BCP desactualizado puede contener errores que nos
hagan perder tiempo a la hora de la posible recuperación, tales como disponer de datos
de contacto obsoletos, referenciar a personas que ya no pertenecen a la Compañía, no
detallar procesos críticos de nueva creación, etcétera. Estas pérdidas de tiempo y
situaciones imprevistas pueden ser fácilmente evitadas mediante unas políticas de
mantenimiento adecuadas para nuestro plan de continuidad.
En general, una política de mantenimiento adecuada para el Plan especificará ciertas

revisiones periódicas (anuales o bianuales, por ejemplo), actualizaciones del mismo
cuando se produzcan cambios en la estructura de la Compañía, o también cuando haya
acontecido una situación que haya provocado la ejecución del BCP. Realizando estos
mantenimientos nos aseguraremos de que siempre se dispone de un Plan adecuado a la
situación actual de la Empresa.
Página 24 de 113
3.- BUSINESS CONTINUITY PLAN:
Simulación Práctica
A continuación se expone una simulación de cómo se desarrollaría un proyecto de
implantación de un Plan de Continuidad de Negocio, a partir de los conceptos teóricos
del apartado anterior. El proyecto se llevará a cabo en una empresa ficticia, que se
describe en el apartado a continuación. Algunos datos como localizaciones, edificios,
mapas, proveedores, etc. pueden ser verídicos (aunque la simulación esté basada en una
compañía ficticia). No obstante, la información que aquí se recoja siempre será de
dominio público y hallable en Internet.
El proyecto se va a desarrollar desde la perspectiva del Responsable de un hipotético

Departamento de Sistemas y Seguridad, que tenga a su cargo tanto la seguridad como
los sistemas de la Compañía.
3.1.- Descripción de la Compañía

La simulación de la implantación de un Plan de Continuidad en una Compañía se
realizará para una empresa ficticia que llamaremos SPBCP Consulting. Se trata de una
consultora informática de 160 empleados, con sede en Madrid. A continuación se
detallan las características de esta empresa, que se utilizarán de aquí en adelante para
realizar la simulación práctica.
- Razón social: SPBCP Consulting S.A.

- Domicilio social: C\Proción 7, 28023 Madrid
- Actividad de la Empresa: Consultoría informática
- Número de Empleados: 160
- Facturación: Superior a 14.000.000 € anuales
Dicha empresa cuenta con varios departamentos diferenciados:
- Operaciones, compuesto por 88 personas

- Proyectos, compuesto por 53 personas
- Ventas, compuesto por 6 personas
- RR.HH, compuesto por 4 personas
- Administración, compuesto por 4 personas
- Infraestructura, formado por 2 personas
- Sistemas y Seguridad, compuesto por 2 personas
Dentro de la plantilla de cada uno de estos Departamentos existe un Director,

reportando cada uno de ellos al Director General de la Compañía.
A continuación se incluye un plano de las instalaciones de la Compañía.
Página 25 de 113
Figura 1.- Plano de las instalaciones de SPBCP Consulting S.A.
3.2.- Simulación de Planificación del Proyecto

Debido a la responsabilidad de la Compañía con sus Clientes y su masa social, así como
al continuo crecimiento de la Empresa, en SPBCP Consulting se ha planteado la
necesidad de contar con un Plan de Continuidad de Negocio actualizado que recoja
todas las medidas y planes de acción necesarios para garantizar la continuidad de la
Compañía en caso de enfrentarse a un desastre de cualquier tipo.
A partir de esta necesidad, la Dirección General ha encargado a la Dirección de

Sistemas y Seguridad la ejecución de todas las acciones necesarias para que la
Compañía cuente con un Plan de Continuidad de Negocio en un plazo de seis meses, y
con un presupuesto máximo de 50.000 € asignados a este proyecto.
Siguiendo las instrucciones de la Dirección General, la Dirección de Sistemas y

Seguridad elabora el Plan de Continuidad de Negocio para SPBCP Consulting,
siguiendo los pasos detallados en los apartados a continuación.
Los documentos generados tras la elaboración del BCP se recogen en los anexos
correspondientes.
Página 26 de 113
3.3.- Simulación del Análisis de la Compañía
A partir del requerimiento de la Dirección General, la Dirección de Sistemas y
Seguridad procederá en primer lugar a realizar un análisis de la situación actual de la
Compañía.
El primer paso en este sentido será realizar una reunión con la Dirección de RR.HH.
para obtener un organigrama de la Compañía que permita identificar a los máximos
responsables de cada área. Será con dichos responsables con quienes se mantengan las
primeras reuniones del proyecto, para plantearles la situación e involucrarles desde el
primer momento en el Plan de Continuidad del Negocio. Este compromiso de todos los
Departamentos será muy importante a lo largo de todo el ciclo de vida del BCP, ya que
todas las áreas de la Compañía están relacionadas entre sí y ésta no puede funcionar sin
una de sus partes.
En las reuniones preliminares con cada Departamento también se analizarán los planes
de continuidad y políticas de recuperación actuales, su existencia, actualización,
adaptación a la situación actual, etcétera. Se requerirá una copia de cada una de estas
políticas y planes para tenerlos en cuenta en la elaboración del nuevo BCP.
De estas reuniones iniciales con todas las áreas de la Compañía debe obtenerse también
como resultado la formación de un Equipo de Gestión de Continuidad. Este equipo, que
estará formado preferiblemente por el máximo responsable de cada área y un delegado,
será el encargado de ejecutar el Plan en caso de necesidad, y tomar las decisiones
oportunas para la recuperación.
En la simulación se han realizado reuniones con los Directores de cada departamento de

una hora de duración con cada uno, planteando la situación, recabando las escasas
políticas actuales de continuidad que se encontraban por escrito para su adaptación al
nuevo BCP, recogiendo sus opiniones y obteniendo el compromiso para su
participación en el Proyecto. Posteriormente a estas reuniones se ha realizado una
reunión adicional con todas las personas implicadas, coordinada por la Dirección
General, donde se ha puesto toda la información en común, se ha establecido el Equipo
de Gestión de Continuidad (representado en la Fig. X), y se ha tomado el compromiso
por todas las partes de implantar el Plan de Continuidad de negocio.
Página 27 de 113
Líder del Equipo de Gestión
-
Contacto Director General
Delegado
Director RR.HH.
RR.HH. Administración
Director RR.HH. Director Administración
Subdirector RR.HH. Subdirector Administración
Operaciones Proyectos
Director Operaciones Director Proyectos
Subdirector Operaciones Subdirector Proyectos
Sistemas Y Seguridad Ventas
Director Sistemas Director Ventas
Subdirector Sistemas Subdirector Ventas
Infraestructura Seguros Finanzas Legal
Director Infraestructura Director Administración
Subdirector Infraestructura Director Infraestructura
Contacto con Proveedores Contacto con Clientes
Director Infraestructura Director Ventas
Director Sistemas Director General
Comunicaciones Internas Comms. Externas - Prensa
Director RR.HH. Director General
Director General Director RR.HH.
Figura 2 – Organigrama Equipo de Gestión de Continuidad.
Página 28 de 113
Una vez que el Equipo de Gestión de Continuidad ha quedado establecido, se
continuará con el análisis de la Compañía realizando reuniones adicionales con los
responsables de cada área para establecer los procesos críticos de cada una de ellas, y
los tiempos máximos de recuperación de cada proceso. Con esta información se
obtendrá para cada departamento el tiempo máximo de inactividad admisible para que la
disrupción no provoque un daño crítico al negocio, en relación con el personal de cada
departamento.
Asimismo, en estas reuniones se indicará al Director de cada área la necesidad de contar

con un Plan de Recuperación Departamental (PRD), donde cada departamento detalle
sus procesos críticos y los pasos necesarios para recuperarlos en caso de desastre, así
como el personal de cada departamento involucrado en dicha recuperación. Este Plan de
Recuperación Departamental quedará bajo la responsabilidad de cada Departamento,
pero podrán ser requeridos para ser consultados en caso de que fuera necesaria la
ejecución del BCP.
En el ejemplo que se está simulando, tras haberse reunido con todos los Directores, se
ha acordado que cada Departamento realizará su propio Plan de Recuperación
Departamental, que conservará y mantendrá cada Director, y se han obtenido los
detalles de cada proceso, estableciendo la criticidad de los mismos. Los procesos no
considerados críticos por el Director de cada departamento se restablecerían en un
término más largo, a elección de cada Departamento, no siendo incluidos en detalle en
el BCP.
En la tabla a continuación se detallan, ordenados por su importancia, los procesos

críticos a recuperar en relación con el personal necesario mínimo para ejecutar estos
procesos. También se especifica el responsable del proceso y un teléfono de contacto.
DEPT. / PROCESO CONTACTO TELÉFONO PERSONAL

Sistemas / Comms. + Datos Director Sistemas N. Teléfono 2
Operaciones / Proceso1 Director Operaciones N. Teléfono 26
Proyectos / Proceso1 Director Proyectos N. Teléfono 21
Proyectos / Proceso2 Director Proyectos N. Teléfono 17
Ventas / Proceso1 Director Ventas N. Teléfono 6
Administración / Proceso1 Director Administración N. Teléfono 4
Infraestructura / Proceso1 Director Infraestructura N. Teléfono 2
RR.HH. / Proceso1 Director RR.HH. N. Teléfono 4
TOTALES 123
Tabla 1 – Tabla de criticidad de procesos
Página 29 de 113
Una vez establecidos junto con cada Departamento los procesos críticos y su
recuperación, se analizará la infraestructura de la Compañía, realizándose un inventario
de todo el material que se considere imprescindible para el desarrollo de los procesos
críticos de la Empresa. Este inventario es importante ya que existiría un listado en el que
poder basar la recuperación en caso de que la integridad de dichos activos críticos para
la Compañía se viera afectada por un desastre.
En la simulación realizada, se ha acordado con cada Departamento la inclusión del

inventario detallado del mismo en cada Plan de Recuperación Departamental. Se detalla
en la siguiente tabla el inventario del Departamento de Sistemas y Seguridad, por
afectar a todos los Departamentos, ser básico para la elaboración del DRP y estar
directamente relacionado en la elaboración del BCP.
ELEMENTO MODELO CANTIDAD UBICACION

Teléfono Fijo Cisco IP Phone 6940 160 Oficina
Teléfono Fijo Cisco IP Phone 6940 12 Stock
Teléfono Móvil Samsung Galaxy Core 8 Dirección
Teléfono Móvil Samsung Galaxy Mini 10 Operaciones
Teléfono Móvil Samsung Galaxy Mini 5 Ventas
Teléfono Móvil Samsung Galaxy Mini 4 Proyectos
Monitor Monitor HP 21” 155 Oficina
Monitor Monitor HP 24” 8 Dirección
Portátil HP Elitebook 8470p 8 Dirección
Portátil HP Probook 6460b 87 Operaciones
Portátil HP Probook 6470b 54 Proyectos
Portátil HP Probook 6470b 1 Sistemas
Portátil HP Probook 6470b 5 Ventas
Portátil HP Probook 6470b 10 Stock
Ordenador HP Compaq 8000 Elite SFF 3 Administración
Ordenador HP Compaq 8000 Elite SFF 1 Infraestructura
Ordenador HP Compaq 8000 Elite SFF 3 RR.HH.
Impresora Canon IR 2020 Color 2 Operaciones
Impresora Canon IR 2020 Color 1 Proyectos
Impresora Canon IR 2020 Color 1 Ventas
Impresora HP Laserjet 4300 2 Administración
Impresora HP Laserjet 4300 1 RR.HH.
Modem USB 4G Modem USB 4G 8 Sistemas
Alarma Alarma de seguridad 1 Sistemas
Cámaras seguridad Samsung SND-6011R 4 Sistemas
Página 30 de 113
Control de acceso Lectores control acceso 3 Sistemas
Videograbador Samsung SHR-2162N 1 Sistemas
Servidores HP Proliant ML110G5
1 Sistemas
DHCP/DNS
Servidores Apps HP Proliant DL120 2 Sistemas
Servidor Datos HP Proliant X 1600 1 Sistemas
Backup syst. HP StorageWorks Utrium 1760 1 Sistemas
UPS Smart UPS RT-5000 2 Sistemas
RACKS APC AR-3100 2 Sistemas
Firewalls CISCO ASA 5520 2 Sistemas
Switches CISCO Catalyst 3750G 48 puertos 6 Sistemas
Comms CISCO 2811 Jazztel 1 Sistemas
Wifi Linksys CISCO WRT 160 2 Sistemas
HDD USB Backups Seagate 1 TB 3 Sistemas
Cintas backups Cintas HP LTO4 Utrium 1.6TB 20 Sistemas
Tabla 2 – Inventario Sistemas Y Seguridad
Una vez obtenido el inventario físico, indicando la ubicación por departamento para
facilitar la recuperación si fuera necesario, se analizará la configuración de las
conexiones de la Compañía. El conocimiento de la estructura de las conexiones nos
permitirá tanto disponer de un análisis detallado de la situación actual, como fijar el
objetivo final en un eventual proceso de recuperación, sin olvidar ningún aspecto al
disponer de una imagen de la situación inicial.
Página 31 de 113
En la simulación que nos ocupa, se ha obtenido el diagrama siguiente representando la
configuración actual de las conexiones de SPBCP Consulting, tras ser analizado por el
Departamento de Sistemas y Seguridad:
Figura 3 – Esquema de conexiones de red
A continuación se analizarán las medidas de seguridad con las que cuenta la Compañía
para poder mitigar los daños en caso de desastre. Estas medidas pueden ser tanto lógicas
como físicas, y tanto preventivas como reactivas. Es importante el análisis de las
medidas de seguridad actuales, ya que nos dará la oportunidad de revisarlas, mejorarlas
o actualizarlas e implantar unas nuevas medidas de seguridad estandarizadas y
adecuadas a la situación actual mediante la implantación del BCP.
En la simulación que estamos llevando a cabo, se ha efectuado una reunión de 2 horas

con los responsables de los Departamentos de Generales y de RR.HH., donde se han
puesto en común los sistemas, medidas y políticas de seguridad con los que cuenta la
Compañía. Estas medidas se resumen en la siguiente tabla.
ELEMENTO DESCRIPCIÓN RESPONSABLE

Detectores Humo 10 detectores de humo Infraestruct.
Extintores 10 extintores Infraestruct.
Sistema eléctrico Protecciones y fases diferenciadas Infraestruct.
Botiquín Primeros auxilios RR.HH.
Vigilante de seguridad Vigilante 24x7 Edificio
Página 32 de 113
Alarma 5 detectores movimiento + centralita Sistemas
Cámaras de seguridad 4 cámaras + grabador Sistemas
Control de acceso electrónico 4 lectores acceso + software Sistemas
Acceso usuarios a sistemas Acceso protegido por contraseña Sistemas
Seguridad equipos Antivirus corporativo Sistemas
Seguridad servidores Acceso restringido Sistemas Sistemas
Seguridad de red Firewalls Sistemas
Copia seguridad servidores aps. Semestral Cinta de almacenamiento Sistemas
Copia seguridad servidor datos Semanal Cinta de almacenamiento Sistemas
Sistema UPS racks 2 UPS / 30 minutos Sistemas
Políticas de seguridad Políticas por escrito firmadas por
todos los empleados RR.HH.
informática para empleados
Seguros Cobertura empleados y material RR.HH.
Tabla 3. Medidas iniciales de seguridad
Por último también es importante analizar las instalaciones en las que se ubica la
Empresa. Mediante este análisis se obtendrá una valiosa información acerca de los
riesgos que pueden amenazar a la Compañía, posibles medidas de seguridad, tanto
correctoras como preventivas implantadas en el edificio, contactos útiles, etcétera. Hay
que tener en cuenta que, en caso de producirse un desastre que afecte a las instalaciones
de la Compañía, el propietario de estas instalaciones podría convertirse en una parte
importante del proceso de recuperación. Conviene, por tanto, tener en cuenta este
aspecto en el análisis de la Compañía.
En la simulación que estamos tratando, la oficina se ubica en una de las plantas de un

edificio de oficinas de Madrid. Este edificio es compartido por otras Empresas, ubicadas
en otras plantas diferentes. Se ha mantenido una reunión con el propietario de la finca,
consultándole sobre los posibles riesgos que podrían afectar a las instalaciones de
SPBCP Consulting, las medidas de seguridad implantadas en el edificio, así como si
disponen de algún plan de continuidad propio.
Como resultado de esta reunión, se ha obtenido la información de que la Compañía no

está ubicada en un emplazamiento con alto riesgo de inundaciones, terremotos,
huracanes, etc. Se ha comprobado que la Propiedad dispone de seguros en vigor que
también cubren una parte de las propias instalaciones de SPBCP, y que también cuenta
con diversas medidas de seguridad propias, tales como sistema anti-incendios, acceso
restringido, sistema de alarma, vigilante de seguridad, cámaras de seguridad, etcétera .
Por otra parte, la Propiedad también dispone de su propio Plan de Recuperación.
Página 33 de 113
Figura 4 – Sede SPBCP Consulting S.A.
Una vez realizado el análisis preliminar de la Compañía ya se dispone de una situación

base sobre la que empezar a construir el Plan de Continuidad.
En el ejemplo simulado, tras este análisis inicial conocemos mejor la situación actual de
la Empresa, y podemos empezar a diseñar el nuevo Plan de Continuidad. Además,
hemos logrado el apoyo de toda la Dirección de la Compañía, y se ha establecido
formalmente un Equipo de Gestión de Continuidad.
Para realizar este análisis inicial la Dirección de Sistemas y Seguridad ha empleado 15

días laborables, y el gasto de esta fase ha sido de 0 €.
Página 34 de 113
3.4.- Simulación del Análisis de Riesgos
En esta fase se deberán identificar, enumerar y evaluar los distintos riesgos y
vulnerabilidades que pueden afectar a la Compañía, y ordenarlos de acuerdo a su
probabilidad de ocurrencia e impacto en el desarrollo normal de las funciones del
negocio.
En el ejemplo simulado, se han analizado los posibles riesgos a los que se puede
enfrentar la Compañía a partir de la documentación anterior, de las experiencias
obtenidas tras las reuniones con el Equipo de Gestión de Continuidad y de la
información provista por la propiedad del edificio, en base a su experiencia.
Los grupos de riesgos resultantes tras la valoración de toda la información anterior han
sido los siguientes:
- Riesgos Naturales.
- Riesgos Tecnológicos.
- Riesgos causados por errores no intencionados.
- Riesgos causados por acciones deliberadas.
Dichos riesgos ordenados por su clasificación se recogen en la siguiente tabla,

indicando para cada uno de ellos la probabilidad de ocurrencia y el perjuicio que podría
tener para el Negocio en caso de producirse, apareciendo también en dicha tabla el
activo mayoritariamente afectado.
RIESGO TIPO DE RIESGO PROBABILIDAD PERJUICIO AFECTACION

Fuego Natural Infraestructura
BAJA ALTO
/ Datos
Inundaciones Natural Infraestructura
BAJA ALTO
/ Datos
Terremotos Natural BAJA ALTO Infraestructura
Meteorología adversa Natural MEDIA BAJO Infraestructura
Epidemias / Plagas Natural MEDIA MEDIO Personal
Fallo suministro eléctrico Tecnológico Infraestructura
MEDIA MEDIO
/ Datos
Fallo comunicaciones Tecnológico MEDIA BAJO Datos
Fallo refrigeración Tecnológico BAJO MEDIO Sistemas
Fallo hardware Tecnológico MEDIA BAJO Sistemas
Fallo software Tecnológico MEDIA BAJO Datos
Errores usuarios Errores NI MEDIA MEDIO Datos
Errores administrador Errores NI BAJA ALTO Datos
Errores mantenimiento Errores NI BAJA MEDIO Sistemas
Página 35 de 113
Errores configuración Errores NI BAJA BAJO Sistemas
Virus informático Deliberado Sistemas /
ALTA MEDIO
Datos
Hackers Deliberado Sistemas /
MEDIA ALTO
Datos
Suplantación identidad Deliberado BAJA ALTO Datos
Fraude Deliberado BAJA ALTO Datos
Robo información Deliberado BAJA ALTO Datos
Vandalismo / Robo Deliberado BAJA ALTO Infraestructura
Terrorismo Deliberado BAJA ALTO Infraestructura
Tabla 4 – Análisis de Riesgos
Para realizar el análisis de riesgos la Dirección de Sistemas y Seguridad ha empleado

dos días laborables, y el gasto de esta fase ha sido de 0 €.
3.5.- Simulación del Análisis de Impacto al Negocio

A continuación elaborará el Análisis de Impacto al Negocio. Este análisis nos
proporcionará información sobre los procesos críticos de la Empresa, su tiempo máximo
de inactividad y la valoración del impacto al negocio en cada momento. Es de suma
importancia para el BCP, ya que establece la pauta y prioridad de recuperación de los
diferentes procesos críticos de la Compañía.
En la simulación que estamos realizando, se han realizado reuniones de 1.5 horas de

duración con cada Director de Departamento, para analizar los procesos críticos de la
Compañía desde el punto de vista de cada área. En estas reuniones también se ha
actualizado la situación del Plan de Recuperación Departamental de cada área, estando
muy avanzada su elaboración en todos los Departamentos.
Para la elaboración del Análisis de Impacto al Negocio se tendrán en cuenta los

siguientes parámetros para cada proceso crítico, de acuerdo con la información
proporcionada por el Director de cada área:
- Nombre del Proceso y Departamento al que pertenece.

- Tiempo Máximo de Interrupción (T.M.I.) para cada proceso.
- Tiempo de Recuperación Objetivo (T.R.O.) para cada proceso. Es el tiempo
necesario esperado para la recuperación de un proceso crítico de la Empresa en
caso de que este proceso haya sufrido una interrupción.
- Personal mínimo necesario para la ejecución de cada proceso.
En la siguiente tabla se han recogido toda la información descrita anteriormente sobre

los procesos críticos para la Compañía, después de realizar el Análisis de Impacto al
Página 36 de 113
Negocio en conjunto con todas las áreas de la Empresa. El orden de aparición en la tabla
establece también el orden de prioridad en caso de ser necesaria la recuperación.
DEPT. / PROCESO T.M.I. T.R.O. PERSONAL

Sistemas / Comunicaciones + Datos 36 horas 24 horas 1
Operaciones / Proceso1 36 horas 24 horas 8
Proyectos / Proceso1 36 horas 24 horas 8
Proyectos / Proceso2 36 horas 24 horas 6
Ventas / Proceso1 48 horas 24 horas 1
Administración / Proceso1 36 horas 24 horas 2
Infraestructura / Proceso1 48 horas 24 horas 1
RR.HH. / Proceso1 48 horas 24 horas 2
TOTALES 43
Tabla 5 – Análisis de Impacto al Negocio
Una vez analizados los procesos críticos de la Compañía y habiéndolos registrado en la

tabla anterior, se ha realizado una nueva reunión de una hora entre todo el Equipo de
Gestión de Continuidad para analizar estos datos y confirmar con la Dirección que se
trata de estimaciones realistas, así como para proveer una actualización de la situación
de la implantación del Proyecto. Una vez aprobados estos datos por todos los equipos
queda establecido el Análisis de Impacto al Negocio.
Para realizar el análisis de riesgos la Dirección de Sistemas y Seguridad ha empleado

cuatro días laborables, y el gasto de esta fase ha sido de 0 €.
3.6.- Simulación de Estrategia del BCP

Una vez que se tiene un conocimiento profundo de la Compañía y sus procesos, se han
detectado los riesgos y amenazas a los que ésta se puede enfrentar, y se ha determinado
el impacto que tendría para la Empresa la interrupción de sus procesos críticos, se puede
establecer una estrategia para el Plan de Continuidad.
Esta estrategia tratará de diseñar e implantar las medidas necesarias, tanto de prevención
como de recuperación, para minimizar en lo posible el impacto de todas las amenazas
que puede afrontar la Empresa en caso de que estas llegaran a producirse.
Página 37 de 113
En el caso simulado, la Dirección de Sistemas y Seguridad, junto con los responsables
de otras áreas, realizará un listado de las medidas preventivas implantadas en SPBCP
Consulting S.A. en el momento del análisis, y propondrá las medidas adicionales
necesarias para dotar a la Empresa de unas medidas preventivas acordes a su situación.
Por otra parte también se estudiarán y especificarán los procesos de recuperación en

vigor, de forma que puedan ser analizados, mejorados y recogidos en el Plan de
Continuidad para ser aplicados en caso necesario.
Se ha realizado por parte de la Dirección de Sistemas, con apoyo del resto de

Departamentos, varias reuniones para establecer la situación actual e implementar las
mejoras oportunas. Posteriormente en una reunión de 1 hora con el Equipo de Gestión
de Continuidad se ha validado el resultado y obtenido la siguiente tabla de medidas
preventivas, donde se detallan las medidas, la situación actual, la situación deseada y el
coste de implantación de cada medida, en caso de que deba ser actualizada. Si se trata
de contratos de mantenimiento en vigor con un coste periódico éste no se ha
contemplado en la tabla, ya que no supone ninguna diferencia con la situación actual y
es un gasto ya presupuestado que no forma parte del proyecto de implantación.
MEDIDA PREVENTIVA SITUACIÓN ACTUAL SITUACIÓN DESEADA COSTE €

Sistemas Antiincendios Revisiones semestrales Sin cambios 0€
Instalaciones Eléctricas Revisiones anuales Sin cambios 0€
Alarma Revisiones semestrales Sin Cambios 0€
Cámaras de Seguridad Revisiones anuales Sin Cambios 0€
Inventario actualizado En vigor Sin Cambios 0€
Conexiones redundantes No Añadir conexión de 2875 € /
datos redundante anuales
Alimentación Ininterrumpida 2 UPS 2 UPS + pack de baterías 2.750 €
Aires Acondicionados 2 unidades. Revisión 3 unidades. Revisión 1.250 €
semestral semestral.
Copias de seguridad Datos -> Semanales Datos -> Diarias 2890 €
Software -> Semestrales Software -> Mensuales anuales
Almacenamiento interno Almacenamiento externo
Sistemas Operativos Windows 7
Sin cambios 0€
Windows Server 2008
Antivirus Panda Endpoint Antivirus Ampliar a los 27 1891 €
Actualizado teléfonos móviles anuales
Firewalls 2 FW actualizados Sin cambios 0€
VPN No existe Implantar VPN 0€
Equipos informáticos No obsoletos
Reemplazar equipos 4250 €
Existencia 7 equipos
sobremesa por portátiles
sobremesa
Módems móviles USB 4G 8 módems para Dirección Uso de datos móviles 4860 €
como módems en los 27 anuales
Página 38 de 113
dispositivos
Control de acceso edificio Control electrónico Sin cambios 0€
Políticas de seguridad Revisiones anuales Sin cambios 0€
Formación seguridad A la contratación 3500 €
Formaciones anuales
empleados anuales
Sistemas antirrobo portátiles No existente Adquisición de candados 3820 €
Tabla 6. – Medidas de seguridad preventivas y acciones a tomar
Una vez revisadas las medidas de preventivas actuales de mitigación de riesgos, se ha

concluido que sería necesaria una inversión para el año en curso de 28.086 € tras
realizar las modificaciones indicadas en la tabla. Se han necesitado 11 jornadas de
trabajo del Director de Sistemas para realizar este análisis.
La implantación de estas mejoras dotará a la Compañía de ciertas medidas preventivas

que mitigarán los riesgos antes, durante o después de que sucedan, mejorando las
instalaciones, los dispositivos o facilitando el trabajo desde otras localizaciones que no
sean la principal. Sin embargo, si el desastre finalmente se produce, será necesario
contar con estrategias de recuperación adecuadas que poder llevar a cabo para ser
capaces de restaurar la situación inicial en el menor tiempo posible.
Respecto a estas estrategias de recuperación, se han realizado reuniones con todos los
departamentos para elaborar cuáles serían las acciones necesarias en caso de que se
produjera un desastre. Posteriormente a estas reuniones con cada Departamento, se ha
puesto toda la información en una reunión adicional de 2 horas con todo el Equipo de
Gestión de Continuidad, habiendo validado la Dirección General las estrategias
mencionadas. Dicha información se ha recogido en la tabla a continuación, estando
representada la prioridad en la ejecución de las estrategias en el orden en la tabla:
ESTRATEGIA DETALLE
Evaluación situación
Convocatoria Equipo Gestión Continuidad
Organización Empleados
Estrategia Líder / RR.HH.
Aplicación PRD
Comunicaciones Internas
Comunicaciones Externas
Evaluación daños
Localización alternativa
Estrategia Infraestructura
Aplicación PRD
Contacto proveedores
Evaluación daños
Estrategia Sistemas
Aplicación DRP Sistemas
Página 39 de 113
Recuperar comunicaciones
Recuperar sistemas
Recuperar datos
Recuperar seguridad
Estrategia Operaciones Aplicación PRD
Estrategia Proyectos Aplicación PRD
Disposición fondos contingencia para recuperación
Cuantificación daños
Estrategia Administración
Contacto seguros / legal
Aplicación PRD
Contacto clientes
Estrategia Ventas
Aplicación PRD
Tabla 7. – Estrategia Recuperación BCP
Para la realización de esta Estrategia la Dirección de Sistemas ha necesitado 8 días

laborables, con un coste total de 0 € para esta fase.
3.7.- Simulación de Desarrollo del BCP
Una vez que se ha establecido la estrategia de recuperación del BCP se puede detallar el
desarrollo de dicha estrategia, estableciendo un Plan de Crisis y los pasos necesarios
detallados que se llevarían a cabo si fuese necesaria la ejecución del Plan de
Contingencia.
En el caso de SPBCP Consulting, la Dirección de Sistemas ha realizado reuniones de 1

hora con cada Director de área para concretar los pasos que se llevarían a cabo de
manera ordenada, y recabar los datos necesarios para la elaboración de esta parte de la
documentación final del BCP (datos de contactos de clientes, proveedores, etc.).
Tras la unificar todos los datos se ha realizado una nueva reunión de todo el Equipo de
Gestión, de 1 hora de duración, donde se ha consolidado la información y aprobado el
desarrollo del plan de continuidad por parte de todo el Equipo de Gestión.
Página 40 de 113
La tabla a continuación recoge en detalle los pasos necesarios para el desarrollo del Plan
de Continuidad.
ACCIÓN RESPONSABLE
La persona que decide la ejecución del BCP debe disponer de toda la
información posible:
- Localización y momento del incidente. Líder Equipo
- Si existen heridos o víctimas mortales. Gestión
- Alcance y gravedad de los daños. Continuidad
- Impacto de primer nivel: edificio no accesible, corte eléctrico…
- Convocar al Equipo de Gestión de Continuidad.
Acciones una vez convocado el Equipo de Gestión de Continuidad:
- Si la Oficina no está disponible, cuantificar el posible tiempo de
no disponibilidad y buscar lugar de trabajo alternativo para el
personal crítico. Equipo de Gestión
- Establecer un lugar y fecha para la primera reunión del Equipo. de Continuidad
- Informar al resto de empleados para que, cuando sea posible,
puedan teletrabajar desde sus domicilios.
- Gestión por parte de RR.HH. de la posible existencia de heridos
o víctimas mortales.
Primeras 24 horas: Equipo de Gestión de Continuidad:
- Actualizar la información de todos los Departamentos.
- Asegurar que las instalaciones de la empresa son seguras y que
no se permite el acceso a ninguna persona excepto a las
Autoridades Locales o el Equipo de Gestión de Continuidad. Equipo de Gestión
- Establecer la mejor forma de comunicación en base a la de Continuidad
infraestructura existente.
- Organizar estancia en hoteles, caterings, etc.para el Equipo de
Gestión de Continuidad.
- Establecer reuniones periódicas de actualización.
Primeras 48 horas: Equipo de Gestión de Continuidad:
- Identificar los daños a los activos de la Empresa
- Determinar el tiempo de inoperatividad
- Determinar si es necesario realizar desvíos telefónicos
- Comunicaciónes internas a los empleados Equipo de Gestión
- Considerar la necesidad de comunicaciones externas de Continuidad
- Si es necesario, buscar ubicación alternativa para lanzar el Plan
de Recuperación, dependiendo del tiempo estimado de no
disponibilidad de las infraestructuras.
Primeras 48 horas: Departamento de Infraestructura

- Evaluación daños
Infraestructura
- Búsqueda de lugares alternativos si fuera necesario
Primeras 48 horas: Departamento de Sistemas y Seguridad: Sistemas
Página 41 de 113
- Evaluación de los daños
- Recuperación Comunicaciones
- Recuperación Sistemas
- Recuperación Datos
Primeras 48 horas: Departamento de Operaciones:
Operaciones
- Teletrabajo personal crítico
Primeras 48 horas: Departamento de Proyectos:
Proyectos
- Teletrabajo personal crítico
Primeras 48 horas: Departamento de Administración:
- Disponibilidad fondos recuperación
- Cuantificación económica de daños Administración
- Contacto con los seguros
- Contacto con proveedores críticos
Primeras 48 horas: Departamento de Ventas:
Ventas
- Contacto con clientes críticos
Primeras 48 horas: Departamento de RR.HH.
- Atención a los Empleados RR.HH.
- Soporte a las distintas áreas de la Compañía para cubrir las
necesidades de recursos humanos.
Días siguientes:
- Reuniones periódicas del Equipo de Gestión Equipo de Gestión
- Ejecución de los distintos PRD de cada Departamento de Continuidad
- Monitorización del proceso de Recuperación
- Objetivo: Restaurar la actividad normal de la Compañía
Tabla 8. – Desarrollo del Plan de Continuidad
Para la realización de esta Estrategia la Dirección de Sistemas ha necesitado 10 días

laborables, con un coste de 0 €.
Página 42 de 113
3.8.- Simulación de Documentación del BCP
Como resultado de la elaboración del BCP se obtendrán diversos documentos que
recojan toda la información y los procedimientos analizados y establecidos en las
distintas fases del Plan de Continuidad. Esta documentación es de gran importancia,
ya que servirá como guía en caso de ser necesaria la aplicación del mismo.
A continuación se indican los documentos obtenidos en el ejemplo simulado. Estos

documentos serán propiedad de SPBCP Consulting S.A. y se mantendrán como
Confidenciales. Todos los miembros del Equipo de Gestión de Continuidad deberán
disponer de una copia actualizada del BCP.
A continuación se indican los documentos obtenidos tras la realización del Plan de

Continuidad de Negocio:
 BIA (Business Impact Analysis): Este documento recoge el análisis de los

posibles riesgos que pueden afectar a los sistemas y procesos de la
Compañía, e incluye tanto el Análisis de Riesgos como el Análisis de
Impacto. Este documento se puede encontrar en el Anexo I.
 Plan de Crisis: Este documento contiene la información necesaria para la

gestión de la crisis desde los momentos iniciales, indicando aspectos tales
como el personal a cargo de la recuperación, los contactos necesarios para la
gestión de incidencias, los tiempos de resolución de incidencias, etc. Se ha
diseñado indicando los pasos a seguir desde los primeros instantes de la
ocurrencia del desastre, para disponer de una guía estandarizada de pasos
que pueda ser de utilidad en una situación de posible desconcierto y
nerviosismo. Este documento se detalla en el Anexo II.
 DRP (Disaster Recovery Plan): En este documento se han detallado los

procesos necesarios para proteger y recuperar la infraestructura IT de SPBCP
Consulting en caso de desastre. Contiene planes y políticas detalladas tanto
de seguridad preventiva como las acciones planeadas para ejecutar una
posible recuperación de los Sistemas. Este documento se detalla en el Anexo
III.
 Plan de mantenimiento y pruebas: En este documento se recogen las

políticas de mantenimiento del BCP en la Compañía, incluyendo las pruebas,
revisiones y ejercicios prácticos necesarios para asegurar la consistencia del
BCP con la situación de la Empresa en cada momento.
 BCP (Business Continuity Plan): El BCP propiamente dicho es el

documento final que servirá de guía para la mitigación de posibles riesgos y
la recuperación de la operatividad de la Compañía en caso de desastre. Se
debe proporcionar una copia actualizada del mismo a cada miembro del
Equipo de Gestión de Continuidad. Este documento se detalla en el Anexo
IV.
Página 43 de 113
 Documentación de formación a empleados: Adicionalmente a todos estos
documentos, se ha elaborado una pequeña guía resumiendo los aspectos más
importantes que deben tener en cuenta todos los empleados en referencia a la
Continuidad de la Empresa. Esta documentación explica por qué es
importante la continuidad, y detalla las medidas preventivas que todos los
empleados deben adoptar para minimizar los riesgos que afronta la Empresa.
Para su comunicación a todos los empleados se ha elegido la distribución
mediante correo electrónico corporativo de un e-mail introduciendo el tema,
y el documento adjunto a dicho mail, incluyendo las medidas preventivas de
seguridad a tener en cuenta por todos los empleados. Asimismo se impartirá
también formación sobre la materia de una hora a todos los nuevos
empleados. Esta formación será responsabilidad del Departamento de
RR.HH.
Para la elaboración de esta documentación han sido necesarias 25 jornadas

laborables del Director de Sistemas, habiendo tenido un coste de 256 € en concepto
de copias y papel.
3.9.- Simulación de Pruebas y Ensayos del BCP

Una vez finalizada la elaboración del Plan se reunirá por completo el Equipo de
Gestión de Continuidad para revisar y validar todo el Plan completo. Una vez
comprobada la posible validez teórica del mismo, se plantearán varios ensayos que
sirvan como ejercicio que pueda simular una posible situación de necesidad de
ejecución del BCP.
En SPBCP Consulting S.A. el Equipo de Gestión de Continuidad ha validado el
BCP, y ha propuesto las pruebas y ensayos recogidas en el Anexo IV.
3.10.- Simulación de Mantenimiento del BCP

Una vez comprobada la validez del Plan habiéndose realizado las pruebas y ensayos
indicadas en el apartado anterior, debe definirse una política de Mantenimiento del
BCP que permita tener el mismo actualizado a pesar de los cambios que pudieran
producirse en la Compañía.
En SPBCP Consulting S.A. se han establecido las siguientes políticas de

mantenimiento para el BCP:
- Revisiones periódicas anuales de todo el proceso, promovidas por el Líder del

Equipo de Gestión de Continuidad.
Página 44 de 113
- Realización de un ejercicio anual, simulando una situación de crisis que
provoque la ejecución simulada del Plan, y en el que esté presente todo el
Equipo de Gestión de la Continuidad.
- Los Departamentos notificarán al Equipo de Gestión de Continuidad de

cualquier cambio que pudiera suponer una modificación de la información
contenida en el Plan, para estudiar si fuera necesaria la actualización del BCP.
- Si el Plan de Continuidad llegara a ejecutarse en algún momento, una vez que la

situación vuelva a la normalidad el Equipo de Gestión de la Continuidad se
reunirá para comprobar el funcionamiento del Plan después de su invocación y
si fuera necesario algún cambio o actualización del mismo.
Página 45 de 113
4.- PLANIFICACIÓN Y PRESUPUESTO
Para la elaboración de la planificación y el presupuesto del proyecto se han considerado
2 opciones: bien realizar el estudio para el Proyecto Fin de Carrera propiamente dicho,
de la misma forma que se hace en otros Proyectos Fin de Carrera, o bien realizar el
estudio para el proyecto de implantación de Business Continuity Plan expuesto en el
Capítulo 3.
Finalmente, y con la ayuda del Tutor, se ha considerado que podría ser de más interés,
dado el enfoque práctico de este PFC, realizar el estudio sobre la planificación del
propio proyecto de implantación de BCP en la empresa simulada, SPBCP Consulting,
con el objeto de proporcionar al lector un ejemplo de planificación que pueda servir de
guía en una situación similar.
Una vez detallada la planificación del proyecto se elaborará un presupuesto para llevar a
cabo la mencionada implantación. Este presupuesto incluirá tanto los costes del material
necesario como del personal encargado del desarrollo de la implantación.
Así pues, en este apartado se va a detallar la planificación del proyecto de implantación

del Business Continuity Plan que se realiza en la empresa ficticia SPBCP Consulting,
desde la perspectiva del encargado de llevar a cabo el proyecto de implantación, esto es,
el Director de Sistemas y Seguridad de dicha compañía ficticia.
4.1.- Planificación del Proyecto

Las necesidades del mundo empresarial de hoy en día obligan a implementar en las
compañías medidas de seguridad y prevención que incrementen la confianza de los
clientes y los accionistas en la empresa. No disponer de un Plan de Continuidad del
negocio puede proporcionar una disminución de esta confianza, con la consiguiente
imagen de pérdida de contratos, no adjudicación de nuevos contratos y, por tanto,
pérdida del valor del negocio de la compañía. Es habitual, por tanto, que sea la
Dirección de la compañía la que proponga y promueva la implantación de medidas de
seguridad y prevención adecuadas para mantener el buen funcionamiento de la empresa.
De la misma manera, en la simulación la idea inicial del proyecto de implantación del

BCP en SPBPC Consulting S.A. surge por parte de la Dirección de la compañía, que
encarga la elaboración y mantenimiento del mismo al Departamento de Sistemas y
Seguridad. Al estar formado por 2 personas, será el Director de este departamento el que
tome la responsabilidad de la implantación y mantenimiento del Plan.
La planificación por parte del Director de Sistemas para la implantación del Plan de
Continuidad ha constado en la división del proyecto en distintas fases, comenzando por
el análisis de la compañía, para simplificar la tarea global y no olvidar ningún aspecto
en el desarrollo del Plan.
Página 46 de 113
El Director de Sistemas Y Seguridad ha dividido el proyecto de implantación en las
fases a continuación:
- Análisis de la Compañía: En esta fase el responsable del proyecto (Director de

Sistemas y Seguridad) se ha reunido con los responsables de los distintos
departamentos que componen la empresa, así como con la Dirección General.
De estas reuniones se ha obtenido una imagen de la situación de la compañía en
el momento previo a la implantación del Plan, así como un Equipo de Gestión de
la Continuidad, que será el encargado de dirigir y organizar el desarrollo del plan
de continuidad si fuera necesaria su ejecución.
Para la consecución de esta fase el Director de Sistemas Y Seguridad ha

necesitado de 15 días laborables de trabajo a tiempo completo, contando con
todas las reuniones, análisis, planificaciones y estudios necesarios para obtener y
sintetizar toda la información.
- Análisis de Riesgos: Para la elaboración de esta fase el Director de Sistemas y

Seguridad ha realizado, con la ayuda de las reuniones mantenidas durante la fase
de análisis, de su experiencia y de documentación existente anteriormente, un
estudio de los distintos riesgos y amenazas que afronta la compañía, tanto por
las características de su negocio como por su localización y entorno. Este
estudio será de gran importancia para la fase posterior, el análisis de impacto al
negocio.
Para esta fase han sido necesarias 2 jornadas completas de trabajo del Director
de Sistemas y Seguridad, en las que ha recopilado y estudiado toda la
información hasta obtener el análisis de riesgos.
- Análisis de Impacto al Negocio: A partir de la realización del análisis de riesgos

en la fase anterior, y realizando nuevas reuniones con los responsables de cada
departamento, se obtiene un estudio del posible impacto que pudiera sufrir en
negocio si los procesos críticos de cada departamento se vieran interrumpidos
durante una determinada cantidad de tiempo. Una vez establecido este impacto
se coteja con el Equipo de Gestión de Continuidad al completo en una nueva
reunión. En esta fase también se hace un seguimiento de la situación de cada
Plan de Recuperación Departamental.
Para la realización de esta fase se han necesitado 4 jornadas completas de trabajo

del Director de Sistemas y Seguridad, entre reuniones, análisis de documentos,
síntesis de la información, etcétera.
- Estrategia del BCP: En esta fase se ha diseñado la estrategia de continuidad de la

Compañía, estableciendo las medidas preventivas y las estrategias de
recuperación para paliar al máximo todos los posibles riesgos que pudiera
afrontar el negocio. Para la consecución de esta fase se ha analizado la
documentación anterior, se han realizado diversas reuniones con los
responsables de cada Departamento, así como con el Equipo de Gestión de
Continuidad, y finalmente esta Estrategia ha sido aprobada por todo el
mencionado Equipo.
Página 47 de 113
Con todas estas tareas, han sido necesarias 19 jornadas de trabajo del Director de
Seguridad y Sistemas para desarrollar esta estrategia.
- Desarrollo del BCP: Esta fase describe los pasos necesarios a tomar por el
Equipo de Gestión de Continuidad en caso de ser necesaria la ejecución del
BCP. La definición de esta fase dará lugar al Plan de Crisis, que será de gran
utilidad para el Equipo de Gestión en una situación de crisis como las que
plantea el Plan de Continuidad.
Para esta fase el Director de Sistemas y Seguridad ha necesitado de 10 días

laborables a tiempo completo, con subtareas como reuniones con los
responsables de cada Departamento, análisis de la información, planificación de
la estrategia, puesta en común con el Equipo de Gestión de Continuidad,
aprobación del desarrollo de la estrategia, etcétera.
- Documentación del BCP: Todo el trabajo realizado en las fases previas serviría
de muy poco si no quedara debidamente documentado, para poder hacer uso del
mismo en cualquier momento que fuera necesario. Como resultado de esta fase
se obtendrán varios documentos finales que quedarán en propiedad de la
Compañía, siendo tratados por la misma como documentos internos y
confidenciales. Estos documentos son confeccionados por el Director de
Sistemas y Seguridad como responsable del BCP, y comprenden los siguientes:
BIA, Plan de Crisis, DRP, Mantenimiento y pruebas del BCP y Plan de
Continuidad propiamente dicho.
Para la elaboración de estos documentos el Director de Seguridad y Sistemas ha

necesitado de 25 días laborables, donde se ha sintetizado toda la información
recopilada en las fases anteriores, obteniendo los documentos finales del BCP.
Asimismo se ha diseñado y elaborado un Plan de Mantenimiento y Pruebas que
servirá para mantener el BCP actualizado y al Equipo de Gestión de Continuidad
entrenado ante la posibilidad de que fuera necesaria la ejecución del Plan.
4.2.- Diagrama de Gantt

A partir de la planificación del proyecto explicada en el apartado anterior, se ha
obtenido el Diagrama de Gantt a continuación. Este diagrama representa el camino de
un proyecto basándose en el origen, el final y la precedencia de las distintas unidades
mínimas de trabajo.
En este proyecto de implantación del Plan de Continuidad se han establecido como

unidades mínimas de trabajo del proyecto cada una de las fases explicadas en el punto
anterior. La fase siguiente no puede comenzar hasta la finalización de la fase
precedente, tal como representan las flechas del diagrama.
Además, en dicho diagrama se han marcado como hitos (milestones en inglés) la

finalización de cada uno de los documentos propios del Plan de Continuidad. Los
propios documentos serían los hitos del proyecto, al ser el producto visible del mismo.
Página 48 de 113
Este diagrama se ha elaborado con la herramienta MS Project. Dicha herramienta
permite gran cantidad de funciones en relación a la gestión de Proyectos. Por ejemplo
permite la asignación de recursos a tareas, e incluso, introducidos los datos necesarios
en la aplicación, es capaz de obtener datos y estadísticas avanzados, tales como el coste
de cada tarea a partir de los recursos necesarios para ejecutarlas.
En el ejemplo, se han asignado todas las tareas al Director de Seguridad y Sistemas,

para el que se ha establecido un coste de 16 €/hora (que correspondería a 33.280 € de
coste anual para la Empresa). A partir del coste de este recurso, Microsoft Project es
capaz de calcular el coste de cada tarea, tal como se indica en la columna Total Cost de
la figura que representa el Diagrama de Gantt.
En la página siguiente se muestra el Diagrama de Gantt correspondiente al proyecto de

implantación del BCP en la compañía simulada SPBCP Consulting S.A.
Página 49 de 113
Página 50 de 113
4.3.- Presupuesto del Proyecto
A continuación se especifican los costes del proyecto de implantación del BCP en
SPBCP Consulting S.A., pudiendo encontrarse el presupuesto en la página siguiente.
Para calcular estos costes se han tenido en cuenta los siguientes aspectos:
- Costes de personal: Se ha calculado el coste de personal del proyecto a partir del

coste por hora derivada del salario del Director de Sistemas Y Seguridad. Se ha
considerado un salario de 33.280 € anuales para esta posición, que resultan en un
coste de 16 euros / hora.
El proyecto tiene una duración total en todas sus fases de 600 horas, con lo que
el coste del proyecto imputable a costes de personal asciende a 600 * 16 = 9600
euros.
Coste de personal: 9600 €
- Coste de material: En la fase de Estrategia del BCP se han propuesto

determinadas medidas preventivas a implantar en la Compañía para disponer de
una infraestructura que minimice los riesgos, de acuerdo al BCP. El coste de
todas estas mejoras (detalladas en la tabla 6 – Medidas de seguridad preventivas
y acciones a tomar) se ha valorado en 28086 €, y también deben ser incluidos en
el presupuesto final del proyecto de implantación del BCP, si se quiere disponer
de un Plan de Continuidad con unas medidas de seguridad preventivas
adecuadas a la realidad empresarial actual.
Coste de material: 28086 €
- Consumibles informáticos: Como resultado del Proyecto, se han obtenido varios

documentos finales, de los que se realizarán varias copias. El coste de impresión
y copia de estos documentos ha ascendido a 256 euros.
Coste de consumibles informáticos: 256 €
- Los costes directos del proyecto se obtiene de la suma de todos los costes
anteriores, y asciende a 37.942 €.
- Indicar que se ha tenido en cuenta el coste correspondiente al resto de

integrantes del Equipo de Gestión de Continuidad como costes indirectos.
Aunque la asignación de las tareas ha sido realizada principalmente por el
Director de Sistemas Y Seguridad, los demás miembros del Equipo de Gestión
también han llevado a cabo reuniones, han participado en proveer información
de sus Departamentos y han realizado sus propios Planes de Recuperación
departamentales. Se incluirán estos costes y todos los demás no previstos como
parte de los costes indirectos (20% del total del proyecto): 7588 €
- El coste total asciende, por tanto, a 37.942 € + 7588 € = 45.530 €
Página 51 de 113
UNIVERSIDAD CARLOS III DE MADRID
Escuela Politécnica Superior
PRESUPUESTO DE PROYECTO
1.- Autor:
Samuel Pascual Martín
2.- Departamento:
Departamento de Informática
3.- Descripción del Proyecto:
- Titulo Business Continuity Plan - Conceptos Teóricos Y Simulación Práctica
- Duración (meses) 3,46
Tasa de costes Indirectos: 20%
4.- Presupuesto total del Proyecto (valores en Euros):

Euros 45.530
5.- Desglose presupuestario (costes directos)

PERSONAL
N.I.F. (no rellenar - Coste

Dedicación (hombres
Apellidos y nombre solo a titulo Categoría hombre Coste (Euro) Firma de conformidad
informativo) mes) a)
mes
Director Sistemas Y Seguridad Jefe Proyecto 3,46 2.774,56 9.599,98
0,00
0,00
0,00
0,00
Hombres mes 3,46 Total 9.599,98
519 horas
a)
1 Hombre mes = 131,25 horas. Máximo anual de dedicación de 12 hombres mes (1575 horas)
Máximo anual para PDI de la Universidad Carlos III de Madrid de 8,8 hombres mes (1.155 horas)
EQUIPOS
Periodo de
% Uso dedicado Coste
Descripción Coste (Euro) Dedicación (meses) depreciació
proyecto imputable d)
n
Mejora Conexiones 2.875,00 100 60 60 2.875,00
Mejora Equipamiento 8.250,00 100 60 60 8.250,00
Mejora Seguridad 8.601,00 100 60 60 8.601,00
Conexiones móviles 4.860,00 100 60 60 4.860,00
Formación a empleados 3.500,00 100 60 60 3.500,00
0,00
28086 Total 28.086,00
d)
Fórmula de cálculo de la Amortización:
A A = nº de meses desde la fecha de facturación en que el equipo es utilizado
xCxD B = periodo de depreciación (60 meses)
B C = coste del equipo (sin IVA)
D = % del uso que se dedica al proyecto (habitualmente 100%)
SUBCONTRATACIÓN DE TAREAS
Descripción Empresa Coste imputable
Total 0,00
e)
OTROS COSTES DIRECTOS DEL PROYECTO
Descripción Empresa Costes imputable

Copias documentos 256,00
Total 256,00
e)
Este capítulo de gastos incluye todos los gastos no contemplados en los conceptos anteriores, por ejemplo: fungible, viajes y dietas,
6.- Resumen de costes
Presupuesto
Presupuesto Costes Totales
Costes Totales
Personal 9.600
Amortización 28.086
Subcontratación de tareas 0
Costes de funcionamiento 256
Costes Indirectos 7.588
Total 45.530
Figura 6 – Presupuesto de Implantación
Página 52 de 113
5.- Conclusiones
Después de decidir la temática de este PFC empecé a investigar sobre el mismo en
diversos libros, páginas de internet, revistas, etc… con la idea de descubrir un poco más
a fondo en qué consistía la continuidad de los negocios, así como los planes de
continuidad de los que tan poco había oído hablar en anteriores ocasiones.
Poco a poco me fui dando cuenta de la importancia del tema, hasta el punto de que si
me preguntaran ahora mismo diría que, en el mundo empresarial actual, disponer de un
plan formalizado de este tipo es básico para cualquier compañía. Nunca se sabe cuándo
puede suceder un desastre que afecte de forma crítica a cualquier negocio, y estar
preparados para afrontarlo nunca está de más. Incluso al contrario, la falta de este plan
podría conducir a que la Empresa perdiera contratos, prestigio y, por tanto, valor, al no
disponer de algo que los clientes solicitan hoy en día a sus proveedores.
El disponer de un plan de este tipo dotará a la empresa, aparte del plan propiamente
dicho, de varias medidas de seguridad tanto de recuperación como preventivas, con las
que poder mitigar los riesgos que puedan afectar a la compañía. Simplemente el hecho
de analizar las vulnerabilidades de la compañía y ver cómo se pueden mitigar en lo
posible ya supone, a mi juicio, un trabajo realmente útil para cualquier negocio.
También considero muy positiva para cualquier empresa la posibilidad de disponer

además de unas políticas de recuperación ante un desastre, y de un plan de crisis que
pueda ir guiando paso a paso a la dirección de la compañía en la recuperación de la
misma en un límite de tiempo en que el impacto sea mínimo. Estas herramientas, que
son relativamente sencillas de implantar en una compañía, serán de una enorme utilidad
en caso de desastre y evitarán grandes pérdidas de tiempo y dinero al tener previstas las
posibles situaciones que pudieran darse.
Considero hasta aquí, por tanto, que se han cumplido los 2 primeros objetivos que se
establecieron al inicio de este PFC: Mostrar la necesidad de las empresas de disponer de
un Plan de Continuidad y explicar tanto en qué consiste el mismo como los diferentes
conceptos teóricos asociados a él.
En cuanto al tercer objetivo, la idea me surgió habiendo decidido ya que trataría mi

proyecto de fin de carrera sobre los plantes de continuidad. Respecto al mismo, pensé
que sería de utilidad al lector no sólo estudiar en profundidad los planes de continuidad,
sino ofrecer una aproximación práctica con una empresa simulada, sobre la que el lector
pudiera observar paso a paso cómo elaborar un plan de continuidad desde su fase
inicial. Es cierto que este proyecto se enfoca en una empresa ficticia del sector de la
consultoría informática, pero las fases pueden ser extrapolables a cualquier compañía de
cualquier tipo, ya que, en base, la idea es analizar la compañía, estudiar sus
vulnerabilidades y proveer y documentar soluciones.
Para la consecución de este tercer objetivo considero también que es de gran ayuda el
ofrecer unos ejemplos reales del aspecto que tendrían los documentos definitivos
asociados al Plan de Continuidad de una compañía, ya que al observar el aspecto que
tienen dichos documentos el lector puede hacerse una idea de cómo realizar el propio
Plan de Continuidad de Negocio en el caso que le ocupe.
Página 53 de 113
Teniendo todo lo anterior en cuenta, puedo decir en este momento que estoy muy
satisfecho tanto de haber elegido este tema como de la consecución de los objetivos que
se fijaron al inicio del Proyecto.
No obstante, este PFC deja abierta la posibilidad de poder seguir realizando trabajos
futuros sobre el mismo. Teniendo en cuenta que las empresas son entes vivos, y que la
tanto la tecnología como las amenazas van cambiando y evolucionando a lo largo de los
años, tanto los riesgos como las soluciones propuestas pueden revisarse en el futuro, y
podrían adecuarse las medidas de seguridad a los nuevos riesgos, o actualizarse las
medidas existentes por evolución tecnológica.
Por tanto podría revisarse este trabajo dentro de unos años desde la nueva perspectiva
que ofrezca la situación empresarial en ese momento, incluyendo también varios
ejemplos de pruebas, mantenimientos y/o actualizaciones que puedan haberse realizado
en estos años en la empresa ficticia, proveyendo de los documentos de BCP
actualizados.
De la misma manera pueden realizarse otras simulaciones similares sobre empresas de

otros sectores, donde puedan existir diferentes amenazas y vulnerabilidades, así como
diferentes soluciones con las que mitigarlas, que puedan generar otros planes de
continuidad distintos a partir de los mismos desarrollos propuestos aquí.
Al ser un mundo en constante evolución, pueden plantearse gran cantidad de trabajos

tanto futuros como alternativos. Lo realmente importante es que cualquiera de esos
trabajos siempre aportará algo, ya que mientras existan empresas existirán amenazas,
vulnerabilidades y formas de paliarlos. Mientras existan empresas, siempre existirán
planes de continuidad.
Página 54 de 113
6.- Glosario
 Activo: Bien o derecho propiedad de una empresa, y que aparece reflejado en su
contabilidad.
 Amenaza: Fenómeno o condición peligrosa capaz de causar un perjuicio de
cualquier índole a la persona u objeto en riesgo.
 B.C.P.: Siglas en inglés de Business Continuity Plan (Plan de Continuidad del
Negocio).
 Contingencia: Suceso que, de suceder, afectaría al funcionamiento normal de la
organización.
 Continuidad: Permanencia del funcionamiento de la empresa en el tiempo.
 Desastre: Evento no previsto que provoca daños en la infraestructura de la
empresa, causando la interrupción de su funcionamiento normal durante un
periodo de tiempo.
 D.R.P.: Siglas en inglés de Disaster Recovery Plan. Se refiere al Plan de
Recuperación de Desastres del área de Tecnologías de Información de una
Compañía.
 Equipo de Contingencia: Personal de la empresa a cargo del desarrollo y
ejecución de Plan de Continuidad
 Impacto: Consecuencia de una interrupción en un proceso, servicio o sistema.
 P.R.D.: Siglas de Plan de Recuperación Departamental. En el ejemplo simulado,
Plan de Recuperación propio de cada Departamento que compone SPBCP
Consulting.
 Procesos: Conjunto de actividades que actúan sobre ciertos elementos de entrada
produciendo resultados.
 Riesgo: Probabilidad de que una amenaza explote una vulnerabilidad para
provocar un daño.
 Sistemas: Conjunto de recursos informáticos de una compañía.
 T.M.I.: Siglas de Tiempo Máximo de Interrupción. Es el tiempo máximo en el
que la Empresa podría prescindir de un proceso crítico con un impacto asumible
para el negocio.
 T.R.O.: Siglas de Tiempo de Recuperación Objetivo. Es el tiempo necesario
esperado para la recuperación de un proceso crítico de la Empresa en caso de
que este proceso haya sufrido una interrupción.
 Vulnerabilidad: Existencia de una debilidad en un sistema o proceso que pueda
causar un daño en dicho recurso.
Página 55 de 113
7.- Referencias
 [MAGE-HTP] – MAGERIT - GOBIERNO DE ESPAÑA -
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Met
odolog/pae_Magerit.html#.VVda0_ntmko
 [BACK-HOF] - Backing Up Business-Industry Trend or Event – JIM HOFFER

- Health Management Technology, Enero 2001
 [PDC-DEF] - “Planes de Contingencia: La Continuidad del negocio en las

organizaciones” - Juan Gaspar Martínez - Editorial Díaz de Santos, 2004
 [PREV-RAE] - Diccionario de la Real Academia Española de la Lengua –

www.rae.es
 [WIK-BCP] – Wikipedia - https://es.wikipedia.org/
Página 56 de 113
8.- Bibliografía
8.1.- Libros
 “Planes de Contingencia: La Continuidad del negocio en las
organizaciones” - Juan Gaspar Martínez - Editorial Díaz de Santos, 2004
 “Seguridad Informática en las Empresas” - Gonzalo Álvarez y Pedro

Pablo Pérez - Mc Graw Hill, Madrid, 2004
8.2.- Revistas
 “Guía práctica para PYMES: Cómo implantar un plan de continuidad
de negocio” – Observatorio de la seguridad de la información, artículo
publicado por Deloitte e INTECO (actual INCIBE), Octubre 2010
8.3.- Páginas o documentos electrónicos en la red

 http://www.disaster-recovery-guide.com/ - Guía en internet para recuperación
de desastres, accedido durante 2014
 http://searchdatacenter.techtarget.com/ - Página web dedicada a la seguridad

informática, accedido en Septiembre de 2014 y Marzo de 2015
 http://www.businesscontingency.com/ - Página dedicada a la preparación de

planes de continuidad, accedido en Septiembre de 2014 y Marzo de 2015
 https://www.incibe.es - Instituto Nacional de Ciberseguridad, accedido en

Marzo y Abril de 2015
 http://www.drii.org – Página web del Disaster Recovery Institute, accedido

en Junio de 2015
 https://es.wikipedia.org/ - Enciclopedia digital, accedido en varias ocasiones

durante 2014 y 2015
 http://itil.osiatis.es/ - Página web conteniendo formación ITIL – accedido en

Julio de 2015
 https://www.aguirrenewman.es/buscador/alquiler-y-venta/oficinas/la-florida-
edificio-america-ii-a6/la-florida/a6/MADR_008143#.VexhFRHtmko –
Página 57 de 113
Página web de alquiler de oficinas con datos sobre la sede de SBPC
Consulting – Accedido en Julio de 2015
 https://www.google.es/maps - Página web de mapas de Google, accedida en

Agosto de 2015
 www.pandasecurity.com – Página web de antivirus Panda, accedida durante

Agosto de 2015
Página 58 de 113
Página 59 de 113
ANEXO I – Análisis de Impacto al Negocio
Página 60 de 113
Página 61 de 113
Página 62 de 113
Página 63 de 113
Página 64 de 113
Página 65 de 113
Página 66 de 113
ANEXO II – Plan De Crisis
Página 67 de 113
Página 68 de 113
Página 69 de 113
Página 70 de 113
Página 71 de 113
Página 72 de 113
Página 73 de 113
Página 74 de 113
Página 75 de 113
Página 76 de 113
ANEXO III – Disaster Recovery Plan
Página 77 de 113
Página 78 de 113
Página 79 de 113
Página 80 de 113
Página 81 de 113
Página 82 de 113
Página 83 de 113
Página 84 de 113
Página 85 de 113
Página 86 de 113
Página 87 de 113
ANEXO IV – Plan de Mantenimiento y Pruebas
Página 88 de 113
Página 89 de 113
Página 90 de 113
Página 91 de 113
Página 92 de 113
Página 93 de 113
Página 94 de 113
Página 95 de 113
ANEXO V – Business Continuity Plan
Página 96 de 113
Página 97 de 113
Página 98 de 113
Página 99 de 113
Página 100 de 113
Página 101 de 113
Página 102 de 113
Página 103 de 113
Página 104 de 113
Página 105 de 113
Página 106 de 113
Página 107 de 113
Página 108 de 113
Página 109 de 113
Página 110 de 113
Página 111 de 113
Página 112 de 113
Página 113 de 113

Proyecto Fin de Carrera: Business Continuity Plan - Conceptos Teoricos Y Simulacion Practica

Cargado por

Copyright:

Formatos disponibles

Proyecto Fin de Carrera: Business Continuity Plan - Conceptos Teoricos Y Simulacion Practica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyecto Fin de Carrera: Business Continuity Plan - Conceptos Teoricos Y Simulacion Practica

Cargado por

Copyright:

Formatos disponibles

Departamento de Informática

PROYECTO FIN DE CARRERA

BUSINESS CONTINUITY PLAN – CONCEPTOS

Autor: Samuel Pascual Martín

Titulación: Ingeniería Técnica en Informática de Gestión

Tutor: Miguel Ángel Ramos

Leganés, Octubre de 2015

En primer lugar el Proyecto plantea la necesidad para las Empresas de disponer de

A continuación el Proyecto describe teóricamente varios conceptos necesarios sobre la

Capítulo 2 – Business Continuity Plan: Conceptos teóricos………..13

Capítulo 3 – Business Continuity Plan: Simulación Práctica………...25

Capítulo 4 – Planificación y Presupuesto…………………………………46

ANEXO I – Análisis de Impacto al Negocio…………………………………60

Figura 2 – Organigrama del Equipo de Gestión de la Continuidad…………...28

Figura 3 – Esquema de conexiones de red……………………………………….32

Figura 4 – Sede SPBCP Consulting S.A……………………………………………34

Figura 5 – Diagrama de Gantt…………………………………………………..……50

Figura 6 – Presupuesto de Implantación…………………………………………..52

Tabla 2 – Inventario de Sistemas Y Seguridad………………………………….30

Tabla 3 – Medidas iniciales de seguridad………………………………………..32

Tabla 4 – Análisis de riesgos………………………………………………………35

Tabla 5 – Análisis de impacto………………………………………………………37

Tabla 6 – Medidas de seguridad preventivas y acciones a tomar…………..38

Tabla 7 – Estrategia recuperación BCP…………………………………………..39

Tabla 8 – Desarrollo del Plan de Continuidad……………………………………41

A pesar de su importancia, dichos elementos se encuentran permanentemente en

Se hace indispensable por tanto, en el mundo empresarial de hoy en día, disponer

El Proyecto Fin de Carrera a continuación realiza un análisis pormenorizado de en

- Mostrar la necesidad para las empresas de disponer de un plan de continuidad de

- Definir y explicar teóricamente determinados conceptos relacionados con la

- Proporcionar unas herramientas, basadas en una simulación práctica, para

- Inicialmente, se plantea la necesidad de las empresas de disponer de un plan de

- La tercera fase se corresponde con el diseño de la planificación utilizando un

- Por último, y como anexos, se muestran los documentos definitivos que

- Capítulo 1: Introducción y Objetivos

- Capítulo 2: Business Continuity Plan: Conceptos Teóricos

El capítulo 2 ofrece una aproximación teórica al concepto del Plan de Continuidad de

- Capítulo 3: Business Continuity Plan: Simulación Práctica

Este capítulo desarrolla el modelo teórico de implantación de un plan de continuidad

- Capítulo 4: Planificación Y Presupuesto

El capítulo 4 describe la planificación del proyecto de implantación mediante un

2.1.- Definición de BCP

Otra acepción, según la Wikipedia, de Plan de Continuidad de Negocio, es la siguiente:

A grandes rasgos, podríamos definir el Plan de Continuidad de Negocio de una

 Analizar la estructura e infraestructura de la Compañía con sentido crítico, para

La importancia de disponer de un Plan de Continuidad es crítica en las organizaciones

La elaboración del BCP implica en primer lugar un análisis pormenorizado de toda la

Pero aun estando ya generado el Plan, el trabajo no ha terminado: es necesario realizar

Este informe inicial se presentará a la Dirección para exponer la necesidad de realizar el

2.4.- Análisis de la Compañía

 MAGERIT – “Metodología de análisis y gestión de riesgos elaborada por

 Enumeración de los activos críticos de la Compañía

El análisis de riesgos es una parte importante en la elaboración del BCP, ya que

Actualmente no existe un estándar para la realización del BIA. Sin embargo en

 Proceso crítico: Nombre y descripción del proceso crítico a analizar.

A la hora de hablar de continuidad tendremos en cuenta dos estrategias principales: la

 Planificar unas instalaciones donde la seguridad esté siempre presente:

Nótese que el hecho de disponer de medidas preventivas como las mencionadas,

Independientemente de cuáles sean estas estrategias concretas de recuperación elegidas,