EVALUACIÓN DE CONTINUIDAD DEL NEGOCIO

Plan de Recuperación de
Desastres (DRP)
Plan de Recuperación de

Desastres (DRP)

Es la estrategia que se seguirá para restablecer los

servicios de TI - Tecnología de información

Esta diseñado ante un eventual desastre con el

sistema informático donde es necesario garantizar la
protección de los datos
¿Cuándo se utiliza un DRP?

Después de haber sufrido una afectación por:

✓ Una catástrofe natural (Huracanes, terremotos,

inundaciones, lluvias)

✓ Epidemiológica, (influenza H1N1)

✓ Falla masiva (apagones de luz, fallas en el edificio,

fallas
de hardware, daños en modelos on-premise)

✓ Daño premeditado,( secuestro de la información,

ransomware, hackeos, robo de datos)

✓ Ataque de cualquier tipo el cual atente contra la

continuidad del negocio.
Herramientas para desarrollar un
DRP
wwwww
wwwww
w

✓ Pensar en el desastre ✓ La gestión humana del

riesgo ✓ Hacer un inventario de las aplicaciones
Definir la prioridades, las técnicas y el coste ✓
Elegir el equipo de crisis adaptado ✓ Testear
regularmente el DRP ✓ Hacer evolucionar el DRP
en funcion de los
cambios hechos al sistema de información ✓ Tener
en cuenta las cuestiones
reglamentarias
www

Pensar en el Desastre

• Es la primera etapa en la concepción de

un plan de recuperación ante desastres (DRP). Aquí es
necesario imaginar lo inimaginable, como un incendio
por ejemplo, para poder imaginar un escenario de
recuperación. A veces se piensa que eso nunca
sucederá, y sin embargo es en ese momento que se
necesita un plan de recuperación ante desastres...
La gestión humana del riesgo

• Un punto esencial en la implementación de un

DRP tiene que ver con la gestión humana del riesgo.
¿Quién hace qué en caso de problemas? ¿Cuál es la
responsabilidad de
cada uno?
• Las personas deberán ser seleccionadas
anticipación en la empresa. Esto permitirá ganar
tiempo en caso de problemas.
Hacer un inventario de las aplicaciones

• Cada modulo de aplicaciones debe ser

evaluado para determinar su criticidad en caso de
crisis y el trato que debe dársele. Esta etapa nos
permite simplemente conocer la necesidad de respaldo
y restauración de
algunos datos y servidores.
• Nota: Se debe tener en cuenta que hace una
copia de respaldo de todo es imposible
Definir las prioridades, las técnicas y el

coste

• Dependiendo del sector de actividad y las tareas

realizadas, las exigencias en relación al
sistema de información serán distintas.
• Las actividades deben efectuarse en menos
un minuto, se deben implementar ento nos síncronos y
el coste de la infraestructura elevará.
Elegir el equipo de crisis adaptado

• Algunos DRP prevén la construcción de

instalaciones en un lugar distante, que tomará el
control en caso de desastre en las instalaciones
principales El equipo de reemplazo deberá estar
siempre listo para ser empleado, y además ser
adaptado a esta situación de crisis, que en la mayoría
de casos, dura poco tiempo El rendimiento del sistema
de información disminuirá, pero deberá permitir
garantizar la continuidad de la actividad mientras todo
se solucione.
Testear regularmente el DRP

• Una vez que el DRP esté

implementado, es importante testearlo regularmente
para asegurarse de su fiabilidad. No basta con decir
que se dispone de una solución de seguridad y que en
caso de desastre la continuación de las actividades
están garantizadas
Evolucionar el DRP en función de los cambios hechos
al sistema de
información

• El DRP es realizado en un momento preciso

para responder a los problemas del parque informático
en ese momento. Por lo tanto, es necesario que los
procedimientos permitan incluir en el plan de
recuperación ante desastres las evoluciones
posteriores del sistema de información.
Tener en cuenta las cuestiones
reglamentarias

• EL Plan de recuperación ante desastres

es cada vez más utilizado. Este le permite garantizar
la continuidad de las actividades de su empresa y
posteriormente una ayuda de la parte de su compañía
de seguros
VENTAJAS DE UN DRP
• Mantener la continuidad de los servicios relacionados
con
la TIC del negocio: Proteger al negocio de fallas
generales en los servicios
informáticos.
• Minimizar los riesgos generados por la falta de
servicios.
• Garantizar el acceso de la información empresarial.
Mantener la disponibilidad de los recursos informáticos.
Minimizar la toma de decisiones erróneas al
presentarse
algún desastre. Dar atención continua a los clientes,
proveedores, accionistas, colaboradores. Tener
capacidad de recuperación exitosa.
PASOS PARA UN DRP

Antes de diseñar el plan de recuperación de

desastres se debe tener en cuenta: * Determinar el
tiempo para la pérdida
aceptable de datos o acceso a éstos (RPO,
Recovery Point Objectives). * Determinar el tiempo
disponible para la
ejecución de restauración de los servicios del negocio
una vez que se ha declarado un desastre (RTO,
Recovery Time Objectives). Determinar el tiempo para
la puesta a punto de los elementos de la red a
restablecer junto con sus usuarios (NRO, Network
Recovery Objectives).
PASOS PARA UN DRP

1. Definición del plan Para que un plan de

recuperación ante desastres funcione, tiene que
involucrar a la gerencia. Ellos son los responsables de
su coordinación y deben asegurar su efectividad.
Adicionalmente, deben proveer los recursos
necesarios para un desarrollo efectivo del plan. Todos
los departamentos de la organización participan en la
definición del plan
PASOS PARA UN DRP

2. Establecimiento de prioridades
La compañía debe preparar un análisis de riesgo y
crear una lista de posibles desastres naturales o
causados por errores humanos, y clasificarlos según
sus probabilidades. Una vez terminada la lista, cada
departamento debe analizar las posibles
consecuencias y el impacto relacionado con cada
tipo de desastre.
PASOS PARA UN DRP

3. Selección de estrategias de recuperación En esta

etapa se determina las alternativas más prácticas para
proceder en caso de un desastre. Todos los
aspectos de la organización son analizados,
incluyendo hardware, software, comunicaciones,
archivos, bases de datos, instalaciones, etc. Las
alternativas a considerar varían según la función del
equipo y pueden incluir duplicación de centros de
datos, alquiler de equipos e instalaciones, contratos
de almacenamiento y muchas más. Igualmente, se
analiza los costos asociados.
PASOS PARA UN DRP
4. Componentes esenciales Entre los datos y
documentos que se debe proteger se encuentran
listas, inventarios, copias de seguridad de software y
datos, cualquier otra lista importante de materiales y
documentación. La creación previa de plantillas de
verificación ayuda simplificar este proceso.
PASOS PARA UN DRP

5. Criterios y procedimientos de prueba del plan La

experiencia indica que los planes de recuperación
deben ser probados en su totalidad por lo menos una
vez al año. La documentación debe especificar los
procedimientos y la frecuencia con que se realizan
las pruebas. Las razones principales para probar el
plan son: verificar la validez y funcionalidad del plan,
determinar la compatibilidad de los procedimientos e
instalaciones, identificar áreas que necesiten
cambios, entrenar a los empleados y demostrar la
habilidad de la organización de recuperarse de un
desastre.
PASOS PARA UN DRP
6. Aprobación final Después de que el plan haya sido
puesto a prueba y corregido, la gerencia deberá
aprobarlo. Ellos son los encargados de establecer las
pólizas, los procedimientos y responsabilidades en
caso de contingencia, y de actualizar y dar el visto al
plan anualmente. A la vez, sería recomendable evaluar
los planes de contingencia de proveedores externos.
"El plan de recuperación ante desastres debe ser
considerado un seguro fundamental. A pesar de que
requiere una cantidad considerable de recursos y
dedicación, es una herramienta vital para la
supervivencia de las organizaciones"

PLAN DE CONTINUIDAD DE
NEGOCIO (BCP)
CONCEPTO

El BCP es un plan de procedimientos alternativos a la

forma tradicional de operar de la empresa y es una
herramienta que ayuda a que los procesos que se
consideran críticos para la organización.
CARACTERISTICAS

• Claridad
Se de fácil entendimiento

Concreto
OBJETIVOS (BCP) 1. Salvaguardar los intereses de
sus clientes
y socios además del negocio y la imagen
de la organización. 2. Identificar los puntos débiles en
los
sistemas de la organización. 3. Analizar las
comunicaciones e
infraestructuras. 4. Conocer la logística para
restablecer los
servicios, independientemente de los
sistemas. 5. Ofrecer alternativas viables a todos los
procesos críticos de negocio.
Complementación (BCP)

4. Plan de respuesta a ciber-incidentes: Establece

procedimientos para responder a los ataques en el
ciberespacio contra un sistema de Tecnología
Informática (TI) de una entidad. 5. Planes de
contingencia de Tl: orientado a ofrecer un método
alterno para sistemas de soporte general y para
aplicaciones importantes. 6. Plan de recuperación de
desastres (DRP): Orientado a responder a eventos
importantes, usualmente catastróficos que niegan el
acceso a la facilidad normal por un período extendido.
7. Plan de recuperación del negocio: Permite
restaurer un proceso de negocio después de una
emergencia
Complementación (BCP) A partir de planes que
ayudan a su efectividad: 1. Plan de comunicación de
crisis:
documento que contiene los procedimientos internos y
externos que las organizaciones deben preparar ante
un desastre. Planes de evacuación por edificio:
contiene los procedimientos que deben seguir los
ocupantes
de una instalación o facilidad en el evento. 3. Plan de
continuidad de operaciones (COOP):
Orientado a restaurar las funciones esenciales de una
sede o filial de la entidad (Ejemplo: un agencia, la
fábrica, el almacén de ventas)
NO CUMPLIMIENTO (BCP)
En caso, de que su empresa no cuente con un plan de
Continuidad de Negocios, Lo ideal es la implantación
de un plan contingente hasta que pase la crisis
creando:

• Crear un Comité de Crisis

Crear un vínculo de comunicación permanente con
la organización
• Desde el punto de vista de operaciones
• Desde el punto de vista de requerimientos
PASOS PARA ELABORAR BCP 1. Documenta al
personal clave y las copias de seguridad.

Estas son personas que llenan posiciones sin las

cuales tu negocio no puede funcionar: - Haz la lista tan
completa como sea necesario pero tan corta como sea
posible. - Decide cuales funciones de trabajo son
absolutamente necesarias, cada día. Piensa sobre
quien llena esas posiciones cuando el titular de esas
posiciones está de vacaciones. - Lista a esas personas
con toda su información de contact incluyendo sus
teléfonos de trabajo y residencia, celular,
buscapersonas, correo electrónico (tanto de trabajo
como personal), y cualquier otra forma posible de
contactarlos en una situación de emergencia donde las
comunicaciones normales podrían no estar
disponibles.
PASOS PARA ELABORAR BCP 2. Identifica quien
puede trabajar desde casa. - Algunas personas en
tu compañía podría ser perfectamente capaces de
llevar adelante el negocia desde una "oficina en sus
casa". Averigua quien puede y quien
no.

- Trata de asegurar cuál del personal crítico (que fue

identificado en el paso 1 puede hacer teletrabajo si es
necesario
PASOS PARA ELABORAR BCP 3. Documenta los
contactos externos. Si tienes algunos proveedores o
clientes sumamente importantes para tu compañía,
elabora una lista de contactos especial que incluya una
descripción de la compañía (o persona) y cualquier
otra información que sea absolutamente crítica sobre
ellos, incluyendo información de contacto personal
clave. - Incluye en la lista a personas como abogados,
banqueros, consultores de IT, cualquier que podrías
necesitar llamar para asuntos operacionales. - Se debe
incluir las compañías de servicios municipales como
policía, bomberos, suministro de agua, luz, hospitales y
la oficina de correos.
PASOS PARA ELABORAR BCP 4. Documenta el
equipo crítico. A menudo, los ordenadores personales
contienen información muy importante.
• - Algunos negocios no pueden funciona
ni por unas horas sin un fax.
• - ¡No olvides el software! - el software
debería ser considerado a menudo "equipo crítico" si
es especializado o si no puede ser reemplazado.
PASOS PARA ELABORAR BCP 5. Identifica
documentos críticos. Artículos de incorporación y
otros documentos legales, facturas de servicios
públicos, documentación bancaria, documentos críticos
de recursos humanos, documentos del alquiler del
edificio, impuestos, necesita tener disponible todo
aquello que sería necesario para empezar e negocio
nuevamente.
• - Recuerda que puedes tener que
enfrentarte a una pérdida total de tus instalaciones.
PASOS PARA ELABORAR BCP 6. Identifica
opciones de equipo contingente. Si la compañía
utiliza camiones, y los camiones resultan dañados en
un incendio, ¿donde podrías alquilar camiones? -
¿Donde alquilar computadoras? ¿Puedes usar un
servicio externo para las copias, servicio externo de
fax, impresió u otras funciones críticas?
PASOS PARA ELABORAR BCP 7. Identifica tu
localización contingente. El sitio de contingencia es
el lugar donde se llevará a cabo el negocio mientras
las oficinas principales no estén disponibles. - Podría
ser un hotel, ya que - muchos de ellos tienen salones
muy bien equipados, aptos para hombres de negocios.
- También podría ser la oficina de uno de tus
proveedores o de tu abogado. - Tal vez la opción de
teletrabajo para todos es una opción viable. - Si has
identificado una localización temporal, incluye un mapa
en tu BCP. Donde sea que esté, asegúrate que tienes
toda la información de contacto apropiada (incluyendo
los nombres de la gente responsable).
PASOS PARA ELABORAR BCP 8. Prepara una guía
de "Cómo hacer". Debe incluir instrucciones paso
por paso de que hacer, quien tiene que hacerlo y cómo
hacerlo en caso de una eventualidad. - Preparar una
lista de cada responsabilidad y escribir el nombre del
persona a la que está asignada. - También, hazlo al
contrario: Para cada persona, enlista las
responsabilidades,
PASOS PARA ELABORAR BCP 9. Toda la
información debe estar junta.
• Un BCP es inútil si toda la información está
desperdigada en diferentes lugares. Un BCP es un
documento de referencia, y todo debe estar reunión en
algo como una
carpeta de anillas. - Haz suficientes copias y dale una
a cada uno de los miembros clave de tu personal. -
Mantener varias copias extras en un lugar fuera de la
oficia, ya sea en casa o en una caja de seguridad.
PASOS PARA ELABORAR BCP 10. Comunícalo.
Asegurarse que todos en la compañía conocer el BCP.
- Cada uno de los empleados, estén o no en la lista de
empleados críticos, deben ser entrenados. No querrá
que su personal no crítico conduzca en una tormenta
de hielo para llegar a un edifici que ha sido dañado por
un incendio y luego preguntarse "¿ahora qué hago?"
PASOS PARA ELABORAR BCP
11. Probar el plan
• Puede que hayas escrito muy buenas ideas, reunido
toda
la información, identificado las localidades contingente,
enlistado tu persona, contactos y compañías de
servicios,
pero ¿puedes llevarlo a cabo? - Escoge un día y haz
saber a todos lo que va a suceder (incluyendo tus
clientes, proveedores y distribuidores); luego en esa
mañana, actúa como si tu edificio de oficinas ha sido
destruido. Haz las llamadas, ve al sitio de contingencia.
- Una cosa que definitivamente aprenderás en la
prueba es que no has conseguido que todo vaya como
te gustaría. No esperes hasta que el desastre golpee
para averiguar que debes hacer diferente la próxima
vez. Ejecuta la prueba. - Si haces algún cambio
importante, vuélvelo a ejecutar un cuantos meses
después. Aún después que tengas un plan sólido,
debes ejecutar la prueba anualmente.
PASOS PARA ELABORAR BCP

12. Prevé que puede que tengas que cambiar el

plan. Sin importar que tan buenos sean tus planes, y
sin importar que tan bien se ejecute la prueba, lo más
probable es que haya situaciones fuera de tu plan.
PASOS PARA ELABORAR BCP 13. Revisa y revisa.
Cada cierto tiempo algo cambia, actualiza TODAS las
copias de tu BCP. Nunca dejes que el plan quede
desactualizado. Un plan desactualizado puede ser
incluso peor que inútil: puede darte una sensación de
seguridad cuando realmente no estás seguro.
PROGRAMA DE AUDITOR IA

Es la tarea preliminar trazada por el Auditor y que se

caracteriza por la previsión de los trabajos que deben
ser efectuados en cada servicio Profesional que presta,
a fin de que este cumpla integramente sus finalidades
dentro de la Normas de la Contabilidad y las Normas y
Técnicas de la Auditoría.
PROGRAMA DE AUDITORIA

Con el fin de llevar a cabo la auditoria específica

referente a BCP, se llevara a cabo el siguiente
programa de Auditoria: 1. Investigación Preliminar. 2.
Identificación y Agrupación de Riesgos 3. Evaluación
de la Seguridad en la empresa objeto de la Auditoría 4.
Diseño de Pruebas de Auditoría 5. Ejecutar Pruebas de
Auditoría 6. Elaboración de Informe de Auditoría 7.
Seguimiento.
CASO DRP
CASO DRP

Condor Consulting Services

S.A. de C.V.

CASOS
BILIOGRAFIA

• https://chaui201521701020289.files.wordpress.c
om/2015/11/auditoria8152.pdf
http://www.grupoalbe.com/beneficios-de
implementar-un-drp-disaster-recovery-plan-en
las-organizaciones-pymes/
http://searchdatacenter.techtarget.com/es/croni
ca/Pasos-para-un-Plan-de-Recuperacion-de
Desastres-DRP

GRACIAS