UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS 

EN EL VALLE DE SULA

UNAH-VS

Maestría en Gestión Informática

Clase : MGI-502 Auditoría Informática.

Catedrático : Ing. Carlos G. Guzmán de León.

Trabajo : DRI

Alumnos :  Celis Donaldo Bonilla   MGI200206 

Hector Orlando Martínez Martínez  MGI200216 
Osman Esteban Barrientos Álvarez  MGI200205 
Rafael Paolo Kevin Brant Sierra  MGI200207 
Rodolfo Alberto Nuñez  MGI200218

Fecha :  14 de diciembre de 2017

Contenido
Introducción 4

Objetivos 4

Cómo usar este plan 5

I. Iniciación y gestión de proyectos 6

1.1 Patrocinadores principales en la definición de objetivos, políticas y factores críticos
de éxito. 6
1.1.1 Alcance y objetivos 6
1.1.2 Motivos legales y de requisito 7
1.1.4 Historias de casos y mejores prácticas de la industria 7
1.2. Definición del comité de dirección y el equipo de trabajo del proyecto 8
1.3. Desarrollar el plan del proyecto y el presupuesto para iniciar el proceso 8
1.4 Establecer la necesidad de continuidad de negocio 8

II. Evaluación y Control del Riesgo 10

2.1 Comprender los potenciales de pérdida 12
2.2 Determine las exposiciones de la organización a los potenciales de pérdida 13
2.3 Desarrollo de estrategias de comercial de la escuela. 15

III. Respuesta a la emergencia y operaciones 19

3.1 Inundaciones 19
3.2 Fuego 20
3.3 Robo 21
3.4 Terremoto 22

IV. PROGRAMAS DE CONCIENTIZACIÓN Y CAPACITACIÓN 25

A. El rol del profesional es: 25
Establecer objetivos y componentes de la conciencia corporativa de BCM y la
formación Programa: 25
Identificar la concientización funcional y los requisitos de capacitación: 25
Plan de Recuperación de desastres, actualizado, identificado y publicado. 25
Identificar oportunidades de conciencia externa y capacitación: 26
Identificar opciones alternativas para la conciencia corporativa y la capacitación 26
B. El profesional debe demostrar un conocimiento práctico en las siguientes áreas: 26
Definir objetivos de conciencia y entrenamiento. 26
Desarrollar y entregar varios tipos de programas de capacitación según
corresponda: 26
Desarrollar programas de sensibilización: 27
Identificar otras oportunidades para la educación: 27
Introducción

Un desastre se define como un evento repentino no planeado que ocasiona la “no

disponibilidad” de los servicios informáticos por un tiempo tal que, para restablecer
estos servicios, es necesario utilizar facilidades alternas de cómputo y comunicaciones
en otra localidad. Para poder restablecer estos servicios se hace necesario planear,
organizar, desarrollar, probar y llevar a cabo procedimientos que aseguren la
recuperación de estos servicios, documentando las estrategias, procedimientos,
capacitación de personal y disposición de recursos que serán empleados para responder
ante interrupciones que afecten los servicios del departamento de Tecnologías de la
Información y Comunicación TIC.

El Plan de Recuperación (DRP, por sus siglas en inglés) para los servicios de TIC es
responsabilidad primaria de la dirección general de la institución, sin embargo, es el
departamento de informática que tiene la responsabilidad de su desarrollo,
mantenimiento y ejecución. La necesidad de considerar un plan para recuperar los
servicios de TIC se desprende tanto de la posibilidad de un incidente que interrumpa la
operación normal de Eternity Christian School and Institute (ECSI) por un corto
período, como de eventos catastróficos que impidan la continuidad del negocio. Este
plan ha sido diseñado para crear una serie de procedimientos que permitan a ECSI dar
respuesta inmediata y desempeñar actividades de recuperación luego del
reconocimiento de cualquier interrupción no planeada de los servicios de TIC que
afecten la continuidad de las operaciones de los procesos de negocio identificados como
críticos.

Objetivos
Este Plan de Recuperación fue desarrollado para alcanzar los siguientes objetivos
específicos:
 1. Dar continuidad a los servicios informáticos de ECSI en caso de presentarse una
situación de contingencia mayor o catastrófica.
2. Proveer un enfoque organizado para el manejo de las actividades de respuesta y
recuperación luego de un incidente no planeado o de una interrupción
prolongada de los servicios de TIC, con el objeto de evitar confusión y reducir la
probabilidad de error.
3. Ofrecer respuestas oportunas y apropiadas a cualquier incidente no planeado,
reduciendo así el efecto de una interrupción de los servicios de TIC.
4. Recuperar las aplicaciones críticas del negocio de una manera oportuna,
incrementando la habilidad de la compañía para recuperarse de una pérdida o
daños a las instalaciones y servicios.

Cómo usar este plan

Este documento ofrece un panorama general de la estructura del plan, los objetivos, el
alcance, las premisas iniciales, las estrategias predeterminadas, y las acciones para la
recuperación de los servicios de cómputo. Está organizado de tal manera que no es
necesario leer todo para poder determinar las acciones y actividades apropiadas
necesarias para la recuperación. Las distintas fases, las tareas y los procedimientos
deben ser revisados y seguidos con base en las circunstancias específicas de la
contingencia. Además, el manual debe seguirse cuidadosamente durante los ejercicios
periódicos de prueba para entrenar concienzudamente al personal de recuperación y
asegurar que las estrategias y acciones reflejen precisamente los requerimientos de
recuperación de los Servicios de Cómputo a su condición operativa.
I. Iniciación y gestión de proyectos
Es necesario un Proceso de Gestión de la Continuidad del Negocio (BCM), que
incluya la obtención de asistencia de gestión, y la organización y gestión del proyecto
hasta su finalización dentro de los plazos y límites presupuestarios acordados.
Con objeto de definir las estrategias, acciones y procedimientos de recuperación
e identificar los recursos necesarios y grupos de trabajo que actuarán antes, durante y
después de una recuperación, se llevarán a cabo diversas actividades encaminadas a este
fin.

1.1 Patrocinadores principales en la definición de objetivos, políticas y

factores críticos de éxito.
Para la elaboración del DRI, los principales patrocinadores son: los gerentes
propietarios de Eternity Christian School and Institute (ECSI), departamento académico
y de TIC.

1.1.1 Alcance y objetivos

El objetivo del plan consiste en asegurar la continuidad del uso del equipo de
laboratorios de computación en caso de una inundación en el predio donde se
encuentran dichos laboratorios. A esto se agrega la oportunidad de dar un enfoque
organizado para el manejo de las actividades de respuesta y recuperación luego de un
incidente no planeado o de una interrupción prolongada de los servicios de cómputo,
con el objeto de evitar confusión, ofreciendo respuestas oportunas y apropiadas a
cualquier incidente no planeado, permitiendo recuperar las aplicaciones críticas del
negocio de una forma oportuna, incrementando las habilidades de la compañía para
recuperarse de una pérdida o daños a las instalaciones y servicios.
Este plan de recuperación de desastres considera las instalaciones de Eternity Christian
School and Institute ubicadas en Residencial Ávila Panchamé, única carretera a Tela, El
Progreso e incluye las acciones y procedimientos individuales, así como a los
responsables de dar respuesta y recuperación de la operación normal de los servicios de
cómputo y comunicaciones ante cualquiera de los siguientes escenarios:
● Cualquier incidente externo que pudiera causar una interrupción de los servicios
de cómputo por un tiempo prolongado, como un corte en el servicio de
comunicaciones o fallas en el suministro eléctrico.
● Cualquier incidente que cause daño físico a las instalaciones, como incendio,
temblor o inundación.
● Cualquier incidente que afecte indirectamente el acceso a las instalaciones, como
una huelga, evacuación urgente a las instalaciones debido a una amenaza de
bomba, o una amenaza externa como el incendio de algún edificio contiguo.

1.1.2 Motivos legales y de requisito

Motivo: Asegurar certificación internacional.
Las políticas de seguridad deben estar basadas en los artículos correspondientes al tema
dentro de las regulaciones impuestas por la empresa en sus políticas institucionales.
Existen, también, disposiciones de orden constitucional y legal que le sirven de
fundamento normativo, y que son de obligatoria referencia a efectos de analizar
debidamente el fenómeno de la importación ordinaria. Todas éstas deben estar por
escrito, fechadas y firmadas por el representante legal de la empresa, así como ser
comunicadas al comité encargado de la seguridad, también ser difundida a todos los
niveles de la organización

1.1.4 Historias de casos y mejores prácticas de la industria

Algunas de las entidades o institutos que nos pueden ayudar con mejores
prácticas en el desarrollo de planes de continuidad de negocio son:

COBIT
 ISO
27001

ITIL V3

1.2. Definición del comité de dirección y el equipo de trabajo del

proyecto
El comité estará integrado por el encargado de la seguridad, el coordinador del
departamento de TI, la directora del centro y el administrador.

1.3. Desarrollar el plan del proyecto y el presupuesto para iniciar el

proceso
Para iniciar el proceso de implementación del proyecto se estima que es necesario un
presupuesto de veinte mil (20,000) lempiras.

​1.4 Establecer la necesidad de continuidad de negocio

Resulta prioritario para cualquier empresa tanto para su funcionamiento como para su
proyección, mantener su información de manera segura, estable, accesible y siempre
disponible. Alineada a la visión de la empresa, el área de tecnología de la información
es el guardián de la información, así como de su estabilidad y acceso.

Uno de los pilares del área de TI es mantener un respaldo de la información, esta

actividad suele posponerse y considerarse como algo secundario; de hecho, tanto se
suele posponer esta tarea que si se sufre un percance, es complicado recuperar la
información importante, reestablecer los servicios críticos para el negocio, ya que por
falta de planes y acciones, no existe la posibilidad de volverla a obtener y restablecerla
en un tiempo corto para que no se afecte el negocio o causen gran impacto en el
servicio.
Para Eternity Christian School and Institute son muy importantes sus activos de la
información al ser esta una entidad privada, ubicada en el sector educación, cuyos
propósitos son la atención integral, continuada, humana y multidisciplinaria del
estudiante y la docencia, el departamento de TI debe priorizar el respaldo de estos
activos de información, identificando los activos críticos en los servicios prestados más
vulnerados por diferentes factores que son inherentes al área de tecnológica, como lo
son los errores humanos, los desastres naturales o interrupciones prolongadas
inesperadas, para así no afectar la atención de los alumnos que son tratados en las
instalaciones de la empresa así como las diferentes actividades de la misma, el alumno
es la prioridad y núcleo de ECSI, por esta razón el área de TI debe contar con recursos y
medios necesarios para restablecer los servicios y activos críticos.
Se pretende que el departamento de TI cuente con un plan de contingencia que está
pensado para solucionar problemas en caso de que se presente un desastre, el cual será
desarrollado en el año 2017 cuando el área de tecnológica está tomando gran
importancia en la misión y visión de ECSI debido al constante crecimiento de los
alumnos tratados y de los empleados, esto implica un aumento de requerimientos
tecnológicos para suplir las necesidades de los usuarios, pero este plan de contingencia
solo tiene en cuenta los procesos de los servicios prestados y no estaban definidos los
activos críticos de la información.
Por el modelo de negocio de ECSI, está claro que la prioridad de TI es mantener la
información del alumno, pero además de eso debe mantener toda la información
administrativa y su infraestructura de sistemas, teniendo en cuenta los reglamentos
legales de retención de información para el sector de educación.
Con base a lo anterior surge la necesidad de buscar una solución más eficiente que el
plan de contingencia que cumpla con la necesidad de ECSI en dar un servicio óptimo en
caso de que se presente un desastre, teniendo en cuenta una actualización de los activos
de la información que se tiene en TI y evaluando cada uno de los mismos, para con ello
evaluar la criticidad e impacto en el negocio y en los procesos de TI.
En el presente documento se plantea un diseño del plan de recuperación de desastres
DRP, la cual consta de un estudio y análisis sobre los activos y procesos de TI donde se
plantean diferentes esquemas para ejecutar un DRP de manera eficiente y con tiempos
óptimos donde ECSI no se va a tener afectaciones en los servicios por un tiempo muy
prolongado y por ende el impacto del servicio prestado al alumno va a ser mínimo.
Durante el desarrollo del DRI se identifica una serie de riesgos humanos y naturales que
afectarían a ECSI en los diferentes procesos ofreciendo varios beneficios importantes
que pueden generar procesos de recuperación en los servicios afectados, minimizando
las pérdidas de información, tiempos prolongados y la seguridad de los datos, sin contar
en los tiempos donde no se establezca el servicio puede incurrir en gastos adicionales y
pérdidas financieras. Esta solución es una inversión a favor de ECSI, por que cubre con
las necesidades de prestar el servicio cuando se presente un desastre.

II. Evaluación y Control del Riesgo

Determine los eventos y el entorno ambiental que pueden afectar negativamente a la
organización y sus instalaciones con interrupciones y desastres, el daño que tales
eventos pueden causar y los controles necesarios para prevenir o minimizar los efectos
de una pérdida potencial. Proporcionar un análisis de costo-beneficio para justificar la
inversión en controles para mitigar los riesgos.

Entorno Controles Análisis Costo

Eventos Daño Observación
Ambiental Preventivos Beneficio

Inundación

Terremoto

Robo

Huracanes
A. El rol del profesional es:
1. Identificar los riesgos potenciales para la organización

Probabilidad Consecuencia Impacto

2. Comprender la función de reducción / mitigación de riesgos dentro de la

organización

Riesgo Reducción / Mitigación

3. Identificar la experiencia externa requerida

4. Identificar las exposiciones

5. Identificar alternativas de reducción / mitigación de riesgos

Alternativas Reducción / Mitigación

6. Confirmar con la administración para determinar los niveles de riesgo aceptables

7. Documentar y presentar los hallazgos

Documentos Hallazgos

2.1 Comprender los potenciales de pérdida

a. Identificar exposiciones de fuentes internas y externas. Estos deben incluir, entre
otros, los siguientes: (1) Desastres naturales, artificiales, tecnológicos o políticos
(2) Accidentales versus intencionales (3) Internos versus externos (4) Riesgos
controlables versus aquellos fuera del control de la organización (5) Eventos con
advertencias previas versus aquellos sin advertencias previas

Fuente Interna Fuente Externa

Determine la probabilidad de eventos (1) Fuentes de información (2) Credibilidad

Crear métodos de recopilación de información

 Desarrollar un método adecuado para evaluar la probabilidad frente a la gravedad

Establecer un apoyo continuo al proceso de evaluación

F. Identificar asuntos regulatorios y / o legislativos relevantes

Establecer un análisis de costo-beneficio asociado con el potencial de pérdida

identificado

2.2 Determine las exposiciones de la organización a los potenciales de

pérdida
a. Identifique las exposiciones principales que la organización pueda
enfrentar y los eventos secundarios / colaterales que podrían materializarse
debido a tales exposiciones (por ejemplo, una amenaza de huracán podría
ocasionar varios eventos, incluidos vientos fuertes, inundaciones, incendios,
construcción y colapso del techo, etc.)

Evento Secundario Descripción

Seleccione las exposiciones con mayor probabilidad de ocurrir y con mayor impacto
Identificar controles y medidas de seguridad para prevenir y / o mitigar el efecto de las
consideraciones de potencial de pérdida: las acciones tomadas para reducir la
probabilidad de ocurrencia de incidentes que perjudiquen la capacidad para realizar
negocios.

Descripción Controles Medidas

Protección física

Entradas

Ubicación

Presencia Física

Equipos de Vigilancia

Controles de seguridad

Protección de datos

Ubicación de los Activos

Procedimientos de
personal

a. Protección física (1) Comprender la necesidad de restringir el acceso a edificios,

habitaciones y otros recintos donde las circunstancias exigen una consideración
"tridimensional" (2) Comprender la necesidad de barreras y estructuras fortalecidas para
determinar la entrada voluntaria y accidental y / o no autorizada (3) Ubicación:
construcción física, ubicación geográfica, vecinos corporativos, infraestructura de las
instalaciones, infraestructura de la comunidad
Presencia física (1) Comprender la necesidad del uso de personal especializado para
realizar controles en los puntos de entrada clave (2) Comprender la necesidad de
equipos de vigilancia tripulados y / o registrados para controlar los puntos de acceso y
las áreas de exclusión; incluida la detección, notificación, supresión (3) Comprender los
controles de seguridad y acceso, el seguro del inquilino, los contratos de arrendamiento
do. Protección lógica (1) Comprender la necesidad de protección de los datos
almacenados, en proceso o en traducción; respaldo y protección de la información (2)
Comprender detección, notificación, supresión (3) Comprender la seguridad de la
información: hardware, software, datos, red
re. Ubicación de los activos (1) Comprender la protección inherente otorgada a los
activos clave en virtud de su ubicación relativa a las fuentes de riesgo (2)
Procedimientos de personal (3) Mantenimiento preventivo y servicio según se requiera
(4) Utilidades: duplicación de utilidades, redundancias integradas (Telco, energía, agua,
etc.) (5) Interfaz con agencias externas (proveedores, proveedores, subcontratistas, etc.)
4. Evaluar, seleccionar y usar metodologías y herramientas de análisis de riesgos
apropiadas
Identificar metodologías y herramientas de análisis de riesgos alternativos (1)
Metodologías cualitativas y cuantitativas (2) Ventajas y desventajas (3) Factor de
confiabilidad / confiabilidad (4) Bases de fórmulas matemáticas utilizadas. Seleccione
la metodología y las herramientas apropiadas para la implementación en toda la
empresa.

Herramienta Metodología Ventaja Desventaja Confiabilidad Formula

2.3 Desarrollo de estrategias de comercial de la escuela.

Determinar y guiar la selección de estrategias operativas alternativas de recuperación
comercial para recuperación de las tecnologías comerciales y de la información dentro
del objetivo del tiempo de recuperación, manteniendo las funciones críticas de la
organización.

2.3.1 Comprender las alternativas disponibles y sus ventajas, desventajas y Rangos

de costos, incluida la mitigación como estrategia de recuperación.

a. Tener un lugar alterno

b. tercerizar los servicios

C. Coldsite

2.3.2. Identificar estrategias de recuperación viables dentro de áreas funcionales de

negocios.

A. Colocar las pc en un segundo piso

B. tener contrato con la empresa que prestará el servicio si ocurre el desastre

2.3.3. Consolidar estrategias

a. informar a los docentes

b. tener un manual de procesos

2.3.4. Identificar los requisitos fuera del sitio y las instalaciones alternativas

a. escuelas cercanas

b. padres de familia para que los niños puedan llevar su equipo

2.3.5. Desarrollar estrategias de unidad de negocio

a. reunir a los profesores, padres de familia y alumnos para poder tener un mejor control
y uso de las instalaciones

2.3.6. Obtenga el compromiso de la gerencia para las estrategias desarrolladas

a. informar y dar visto bueno de las autoridades educativas

B. El profesional debe demostrar un conocimiento práctico en las siguientes áreas:

2.3.7. Identificar los requisitos de las estrategias de continuidad de la unidad

empresarial y de toda la empresa
a. Revise los problemas de continuidad del negocio

1. marcos de tiempo el tiempo en que se reanuda el uso de las instalaciones en

aproximadamente 1 día.
2. Opciones si en caso no baja el nivel de agua, se pasa a un aula del segundo nivel
3. Ubicación realizar cambios en la ubicación de los equipos de computo
4. Personal tener personal idóneo para el área de informática
5. Comunicaciones (crisis / medios y voz / datos) segundo.
6. Tener una red de datos de todas las instalaciones

b. Revise los problemas de continuidad de la tecnología para cada servicio de soporte.

1. No tener internet.
2. No contar con las licencias necesarias.
3. No tener un sitio alterno

c. Revise los problemas de continuidad no tecnológica para cada servicio de soporte,

incluyendo aquellos servicios de soporte que no dependen de la tecnología.

1. No contar con mas aulas

2. Falta de personal
3. No bajar el nivel de agua

-.

d. Comparar soluciones internas / externas.

-.

e. Identificar estrategias de continuidad alternativas

1. No hacer nada
2. aplazar la acción
3. Procedimientos manuales
4. Acuerdos recíprocos
5. Sitio alternativo o instalación comercial
6. Fuente alternativa de producto
 7. Proveedores de servicios externos / subcontratistas
8. Procesamiento distribuido
9. Comunicaciones alternativas
10. Mitigación
11. Preplanning

F. Compare soluciones internas y externas

g. Evaluar el riesgo asociado con cada estrategia de continuidad opcional

2. Evaluar la idoneidad de las estrategias alternativas frente a los resultados de un

negocio
Análisis de impacto
a. Efectivamente analizar los criterios de necesidades comerciales segundo.

b.Definir claramente los objetivos de planificación de continuidad.

C. Desarrollar un método consistente para la evaluación.
d. Establecer criterios de referencia para las opciones de estrategia de continuidad

3. Preparar el análisis de costo / beneficio de las estrategias de continuidad y los

hallazgos actuales para las personas mayores administración.

a. Emplear una metodología práctica y comprensible segundo.

b. Establezca cronogramas de tiempo realistas para la evaluación y redacción de
informes.
C. Entregar recomendaciones específicas concisas a la alta gerencia
4. Seleccione sitios alternativos y almacenamiento fuera del sitio
a. Criterio
b. Comunicaciones
c. Consideraciones de acuerdo
d. Técnicas de comparación
e. Adquisición
F. Consideración contractual

5. Comprender los acuerdos contractuales para los servicios de continuidad del negocio
a. Comprender y preparar declaraciones de requisitos para su uso en formales
acuerdos para la prestación de servicios de continuidad, incluidos requisitos
jurisdiccionales / reglamentarios según corresponda segundo.
-.
b. Formule las especificaciones técnicas necesarias para usar en "invitación a licitar"
forma todo.
c. Interpretar los acuerdos externos propuestos por los proveedores en relación con el
original requisitos especificadores.
d. Identificar los requisitos específicos excluidos de cualquier acuerdo estándar
propuesto
mi. e. Comprender y aconsejar sobre la inclusión de elementos opcionales y aquellos
que son esenciales

III. Respuesta a la emergencia y operaciones

Procedimientos para Responder y Estabilizar la situación después de un incidente o
evento.

3.1​ I​ nundaciones
Definición Nivel de agua de un río o agua lluvia acumulada más de lo habitual y contra
el cual el edificio ni su entorno están protegidos.

Responsable Acciones a Tomar (Preventiva)

Personal de Mantenimiento Sistemas de contención para la acumulación de agua lluvia.

Personal de Mantenimiento Incremento de 14 Pulgadas el borde en cada puerta principal.

Personal de Mantenimiento Instalación de mamparos en los patios y en las puertas de las

galerías.

Personal de Mantenimiento Buen sellado de todas las conexiones del edificio con conductos
de agua tales como tuberías y cañerías.

Responsable Acciones a Tomar (Correctivas)

Comité contra Inundaciones Instalación de depósitos ​con bombas de agua para reducir el
nivel freático. Estos depósitos son determinantes para el empuje
hidrostático.

3.2 Fuego
Responsable Acciones a Tomar(Preventiva)

Comité contra incendios Instalación de sistema de Alarma de Incendio.

Comité contra incendios Instalación de Extintores de Fuego.

Comité contra incendios Monitoreo de los niveles de presión de los Extintores.

Comité contra incendios Realización de Simulacros de incendio periódicamente (2

veces al año).

En el caso de que se detecte un fuego y el sistema de alarma de incendio no haya puesto

en marcha las sirenas de alarma se actuará en los pulsadores manuales de alarma de
incendio que el sistema dispone en todas las salidas de las áreas. A partir de este
momento se seguirán las instrucciones de los puntos siguientes:

Responsable Acciones a Tomar(Correctiva)

Comité contra Incendios Cuando se escuchen las sirenas de alarma todo el personal
deberá abandonar inmediatamente el edificio donde se encuentre
a acepción el comité contra incendios. Además, cogerán el
 extintor que tenga más próximo (para ello deberá conocer el
emplazamiento de todos ellos).

Comité contra Incendios En el caso de que exista humo, no abandonar el lugar erguido,
gatear o arrastrarse con un paño en la boca. Es muy importante
tener memorizadas las salidas de todas las áreas de la base, para
encontrarlas incluso a oscuras.

3.3 Robo
Definición. El robo es el acto mediante el cual se toma algo de alguien de forma ilícita.
Tareas diarias o periódicas:

Responsable Acciones a Tomar(Preventiva)

Personal de Vigilancia Observe a los visitantes sospechosos (tome fotografías de

ventanas, puertas, los componentes de los sistemas de alarma).

Personal de Vigilancia Inspeccione diariamente todos los sistemas de alarma y de

transmisión. De forma más exhaustiva cada cierto período de
tiempo.

Personal de Vigilancia Examine todos los medios de transporte que entran y salen de la
institución.

Personal de RRHH Controle a los vigilantes antes de prestar servicio y en servicio.

Personal de RRHH Antes de contratar nuevo personal realice una investigación de

sus antecedentes, incluidos criminales.

Personal de RRHH Forme a todo el personal en materia de emergencias de robo.

Personal de Vigilancia Asegure todos los objetos en exposición (utilice la seguridad de

objetos).

Personal de Vigilancia Controle y acompañe a los contratistas.

Personal de IT Utilice vitrinas debidamente equipadas.

Personal de Vigilancia Controle el perímetro del edificio.

Personal de RRHH Proporcione un sistema de control para el acceso de los

empleados a los depósitos reservas, áreas importantes y vitrinas.

Responsable Acciones a Tomar(Correctivas)

Personal de IT Comunique el robo al director de la institución.

Personal de IT Revisar grabaciones de cámaras de vigilancia.

Personal de IT Cierre la zona afectada.

Personal de IT Controle y grabe a los visitantes y personal.

Personal de IT Conserve toda la documentación relativa al robo (grabaciones,

memoria de datos de la unidad central).

Personal de IT Proporcione a la policía toda la documentación relevante,

incluyendo fotografías de los objetos sustraídos e información
escrita siguiendo el estándar nacional e internacional, por
ejemplo ID del objeto, consultar.

3.4 Terremoto
Responsable Acciones a Tomar(Preventiva)

Personal de IT Organice su puesto de trabajo e identifique las áreas seguras.

Personal de IT Asegure los objetos que se puedan caer: estantes, cuadros,
tableros, archivadores, etc

Personal de IT No ubique objetos pesados en lugares altos.

Personal de IT Localice y revise constantemente el buen estado de las

instalaciones de agua y sistema eléctrico. Aprenda a conectar y
desconectar cada uno de estos servicios.

Personal de IT Defina el riesgo sísmico de la zona donde se encuentra ubicado

su museo (proximidad de fallas, características del
emplazamiento, respuesta de la construcción del edificio, datos
históricos y estadísticos sobre otros terremotos).

Responsable Acciones a Tomar(Correctivas)

Personal de IT Esté preparado ante posibles réplicas sísmicas.

Personal de IT Evacue el lugar o el edificio siguiendo el plan de evacuación.

Si identifica humo, fuego o cualquier otra amenaza que pueda
poner en riesgo la vida, no desplace a las personas heridas de
gravedad a no ser que estén en riesgo inminente.

Personal de IT Tome fotografías y haga una descripción detallada de la

situación, tanto de los objetos dañados como del mobiliario.

Personal de IT Comunique al director y al comité ejecutivo el resumen de

daños y el coste económico del mismo​.

Personal de IT Organice una rueda de prensa informando sobre el daño

causado y las necesidades financieras.

3.5 Sitio Alterno

Es un ambiente de características similares al sitio principal donde se dará

continuidad a las tareas consideradas de mayor importancia para el negocio.
Este sitio debe estar equipado con los recursos mínimos necesarios
(escritorios, sillas, salas, computadoras, hojas de papel, etc.) para que el
personal designado a trabajar en el sitio alterno pueda darle continuidad a las
labores operativas hasta el periodo de tiempo que dure el restablecimiento del
sitio principal.
Políticas

Responsable Acciones a Tomar(Correctivas)

Personal de IT DATA CENTERS, así como estándares de resguardo de

sistemas que mantenga la seguridad, disponibilidad,
confidencialidad e integridad.

Personal de IT Adquisición y Configuración Replicación Servidores

Virtuales.

Personal de IT Implementación Data Center Alterno y Gestión Automática de

recuperación de desastres: Levantamiento de requerimientos.

Procedimientos

Responsable Acciones a Tomar(Correctivas)

Personal de IT

Personal de IT

Personal de IT
IV. PROGRAMAS DE CONCIENTIZACIÓN Y
CAPACITACIÓN
Prepare un programa para crear y mantener la conciencia corporativa y mejorar las
habilidades requeridas para desarrollar, implementar, mantener y ejecutar todas las
iniciativas de Continuidad de Negocio.

A. El rol del profesional es:

1. Establecer objetivos y componentes de la conciencia corporativa de BCM y

la formación Programa:
1.1. Publicar y dar a conocer a los interesados la estrategia y procedimientos
a seguir en caso de desastre.
1.2. Capacitar a los interesados en la estrategia y procedimientos a seguir en
caso de sastre.
1.3. Publicar y dar a conocer las relaciones existentes de los procesos críticos
entre cada unidad de trabajo, comités e interesados para la continuidad
del negocio.
2. Identificar la concientización funcional y los requisitos de capacitación:
2.1. Concientización funcional.
2.2. Comités de recuperación a personal clave.
2.3. Comités hacia personal en general.
2.4. Requisitos de capacitación.
2.5. Comités de respuesta estructurados, identificados y publicados.

3. Plan de Recuperación de desastres, actualizado, identificado y publicado.

Desarrollar Metodología de Conciencia y Entrenamiento:

Metodología de conciencia:
1. Hacer público el riesgo de inundación.
2. Hacer público el impacto a la institución en caso de inundación.
 3. Hacer público la relación que existe entre todo el personal y la
continuidad del negocio.
4. Empoderar a los comités sobre la responsabilidad ante el desastre.
Entrenamiento:
1. Capacitación audio visual.
2. Simulacro del desastre.

Adquirir o desarrollar herramientas de sensibilización y capacitación,desarrollar

material audio visual general y específico dispuesto para el público, los comités de
contingencia y personal clave.

4. Identificar oportunidades de conciencia externa y capacitación:

4.1. Hacer uso de la publicidad gubernamental sobre los riesgos e impactos
externos hacia la institución en caso de desastre.
4.2. Capacitación con entes gubernamentales como: Cuerpo de Bombero, Cruz
Roja, Comité de Permanente de Contingencias COPECO.

5. Identificar opciones alternativas para la conciencia corporativa y la

capacitación
5.1. Campañas de prevención.

B. El profesional debe demostrar un conocimiento práctico en las

siguientes áreas:

1. Definir objetivos de conciencia y entrenamiento.

2. Desarrollar y entregar varios tipos de programas de capacitación según
corresponda:
2.1. Basado en computadoras.
2.2. Basado en pruebas.
3. Desarrollar programas de sensibilización:
3.1. Administración de los miembros del equipo.
3.2. Nueva orientación de los empleados y programa actual de actualización
de empleados.
4. Identificar otras oportunidades para la educación:
4.1. Seminarios y conferencias de planificación de la continuidad empresarial
profesional.
4.2. Grupos de usuarios y asociaciones.
4.3. Publicaciones y sitios de Internet relacionados.