10.1
10.2
El contenido de este tema trata del conocimiento que un auditor de SSII necesita
para evaluar la habilidad que una organizacin tiene para restaurar los servicios a un
nivel de calidad acordado ante cualquier interrupcin del servicio, y el proceso para
desarrollar, comunicar y mantener documentados y probados los planes para la
continuidad de las operaciones y el proceso de SSII.
Hay tres reas a evaluar al respecto:
Evaluar la adecuacin de los planes de respaldo y recuperacin para asegurar la
reanudacin del proceso normal del procesamiento de la informacin en caso de
una breve interrupcin y/o la necesidad de reejecutar o rearrancar un proceso
167
168
son: una falta de energa, prdida de capacidad de comunicaciones, prdida del servicio
de transporte, etc.
Hay situaciones que, aunque no se clasifican como desastres, se consideran de
alto riesgo. Por ejemplo, la interrupcin en el servicio, a veces es debida a
malfuncionamiento del sistema, borrado accidental de ficheros, intrusiones de
denegacin de servicio de red y virus. Estas situaciones pueden requerir una accin para
restaurar el normal estado operacional. Tales acciones pueden necesitar restauracin del
hardware, software o ficheros de datos. Por tanto, se necesita tener un sistema de
clasificacin basado en riesgos bien definido para poder determinar el inicio de los
esfuerzos de planificacin de la continuidad del negocio.
Un buen plan de continuidad del negocio deber tener en cuenta todos los tipos
de situaciones que puedan impactar tanto en las instalaciones de procesamiento de
sistemas de informacin crticos, como en las funciones de operacin del negocio de
usuario final normales. Para las peores situaciones (como un desastre natural), se
requieren estrategias de respaldo a corto y largo plazo. Para el corto plazo, se puede
necesitar una instalacin de proceso alternativa para satisfacer las necesidades
operacionales inmediatas. En el largo plazo, se podra necesitar una nueva instalacin
permanente de procesamiento que estuviese equipada para poder continuar los servicios
de procesamiento de informacin de forma regular.
El proceso de planificacin de la continuidad del negocio se puede dividir en las
siguientes fases:
Anlisis del impacto en el negocio
Desarrollo de las estrategias de recuperacin del negocio
Desarrollo de un plan detallado
Implementacin del plan
Prueba y mantenimiento del plan
169
170
Vitales
Sensibles
No crticas
171
compatibles con la instalacin primaria de la que acta como respaldo. Las nicas
necesidades adicionales son las de personal, programas y archivos de datos. Los
costos asociados con la utilizacin de hot-sites de terceros son generalmente altos
pero, normalmente, se justifican en aplicaciones crticas. Cuando se planifica
correctamente, la cobertura de seguros generalmente compensar los costos
incurridos por utilizar este tipo de instalacin. Los costos incluyen un costo bsico
de suscripcin, una tarifa mensual, costos de activacin cuando se usa la sede en una
emergencia real y cargos horarios o por da por la utilizacin. Las estructuras de
precio varan de un proveedor a otro. Algunos proveedores de hot-sites imponen
costos de activacin altos a fin de desalentar una utilizacin frvola de la instalacin.
Otros vendedores no imponen costos de activacin y alientan a utilizar la instalacin
con fines distintos a los de un desastre, como puede ser una sobrecarga de proceso.
La hot-site est diseada para operaciones de emergencia por un perodo
limitado de tiempo y no para un uso extendido a largo plazo. La utilizacin a largo
plazo disminuira la proteccin para los otros suscriptores de la misma hot-site. Por
tanto, la hot-site debe considerarse como un medio de lograr una continuacin de
operaciones esenciales por un perodo de hasta algunas semanas posteriores a un
desastre o una grave emergencia. Se requerirn planes adicionales para las
operaciones posteriores. Muchos proveedores ofrecen instalaciones de warm-sites o
cold-sites para que un suscriptor migre despus de que se terminen las operaciones
de recuperacin. Con ello se libera el hot-site para su utilizacin por otros
suscriptores.
Warm-sites.
Estos son centros que estn parcialmente configurados, generalmente con equipo
perifrico seleccionado, tal como unidades de disco y cinta y controladores, pero sin
el ordenador principal. A menudo un warm-site est equipado con una CPU de
menor capacidad.
El supuesto que respalda al concepto de warm-site es que, en una situacin de
emergencia, el ordenador se pueda obtener rpidamente (siempre que sea un modelo
de uso comn) por lo que, dado que el ordenador es la unidad ms cara, tal arreglo
es menos costoso que un hot-site.
Despus de la instalacin de los componentes necesarios, el centro puede ser
considerado listo para el servicio en cuestin de horas; sin embargo, la ubicacin e
instalacin de la CPU y de las otras unidades faltantes puede llevar das o semanas.
Cold-sites.
Estos son centros que solo tienen la infraestructura bsica (cableado elctrico, aire
acondicionado, piso, etc.) para operar un centro de proceso de datos.
El cold-site est listo para recibir el equipamiento pero no ofrece ningn
componente instalado antes de que sea necesario. La activacin del centro puede
llevar semanas.
Las principales diferencias entre los tres tipos de centros son el tiempo de
activacin y el costo.
En el caso de un desastre a largo plazo, es deseable una reduccin en los costos
operativos. Ello puede lograrse utilizando primero una hot-site por un corto plazo y
despus una warm-site o una cold-site.
Centro duplicado de proceso de informacin.
Son sedes dedicadas que pueden actuar como respaldo de las aplicaciones
crticas. Pueden variar desde un hot-site en espera de utilizacin hasta acuerdos
172
recprocos con otra empresa. Varios principios deben estar vigentes a fin de asegurar la
viabilidad de este enfoque:
Debe existir una coordinacin de las estrategias para hardware/software. Debe
existir un grado razonable de compatibilidad para que funcione como base para un
respaldo.
Debe asegurarse la disponibilidad de recursos. No debe permitirse que la carga de
trabajo de las sedes crezca hasta el punto de que se reduzca la disponibilidad en un
respaldo de emergencia.
Es necesaria la prueba regular. Aunque las sedes duplicadas sean propiedad de la
misma empresa e inclusive cuando las sedes estn bajo la direccin de la misma
gerencia, es necesario realizar pruebas de los recursos duplicados.
Acuerdos recprocos
Los acuerdos recprocos son contratos entre una o ms organizaciones con
equipos o aplicaciones similares. En un acuerdo tpico, las partes se comprometen a dar
tiempo de proceso cuando surja una emergencia.
Ventajas
Costo reducido
Puede ser la nica opcin disponible en el caso de que no existan hot-sites
disponibles.
Desventajas
Generalmente no es exigible. Solo se utiliza la capacidad de procesamiento
sobrante de la otra parte del acuerdo
Las diferencias en la configuracin del equipo de la otra parte, normalmente,
exige cambios a programas a fin de operar eficazmente
Los cambios que no se notifiquen en cuanto a carga de trabajo o configuraciones
del equipo hacen intil el acuerdo.
Cuestiones crticas a ser incluidas en un Acuerdo Recproco
Cunto tiempo estar disponible la sede prestada?
Qu lugar y equipos se proveern?
Se proveer de asistencia del personal?
Cun rpidamente puede tenerse acceso a la sede de recuperacin?
Durante cunto tiempo puede continuar la operacin de emergencia?
Con qu frecuencia puede probarse el sistema para comprobar la
compatibilidad?
Cmo se conservar la confidencialidad de los datos?
Qu tipo de seguridad se tendr para las operaciones de proceso y datos? Con
qu antelacin debe solicitarse la utilizacin del centro? Existen pocas del ao,
del mes, etc. en las que no se dispondr del uso del sistema?
Aspectos importantes de un contrato de una hot/warm/cold-site
Las previsiones contractuales para la utilizacin de centros de procesamiento de
terceros deben cubrir los siguientes puntos:
Configuraciones.
Asegurndose de que las configuraciones de hardware y software sean las adecuadas
para satisfacer las necesidades de la empresa, debido a que las mismas pueden
variar con el tiempo.
Desastre.
173
174
Como se requieren datos y software para estas estrategias, se tienen que considerar
acuerdos especiales de respaldo en soportes movibles y su almacenamiento seguro en
una sede remota.
Tambin hay que considerar la recuperacin de las telecomunicaciones. Las
estrategias que normalmente se utilizan al respecto son:
Prevencin de desastre de redes, que incluye:
o Redundancia
o Rutas alternativas
o Rutas diversificadas
o Recuperacin de voz
Desastres de servidores
175
176
177
Cubre los daos a los medios del SI que son propiedad del asegurado y por los
cuales el asegurado pueda tener responsabilidad civil. Lo que se tiene en cuenta para
determinar el valor de la cobertura son los costos de programacin para reproducir
los medios daados, reemplazo fsico de los dispositivos (cintas, cartuchos, discos,
etc.) y gastos de respaldo.
Transporte de medios magnticos.
Da cobertura de proteccin de prdida potencial o daos a los medios magnticos en
trnsito hacia un centro de proceso de datos en una sede remota.
10.1.6
La mayora de las pruebas de contingencia son de menor escala que una prueba
global de contingencia de todas las porciones operativas de la empresa. Ello no debe
incidir para no realizar una prueba exhaustiva total o parcial ya que el propsito de la
prueba de recuperacin de desastres es determinar hasta que punto funciona el plan
global o que partes han de mejorarse.
10.1.6.1
Especificaciones
La puesta a prueba debe tratar de realizar las siguientes tareas:
Verificacin de que la informacin del plan de contingencia es completa y exacta
Evaluacin del rendimiento del personal involucrado en el ejercicio
Evaluacin del entrenamiento y percepcin por parte de los miembros que no
pertenezcan a la contingencia
Evaluacin de la coordinacin entre el equipo de contingencia y los proveedores y
vendedores externos
Medicin de la habilidad y capacidad de la sede de respaldo para realizar el proceso
prescrito
Evaluacin de la capacidad de recuperacin de registros
Evaluacin del estado y cantidad de los equipos e consumibles que se han reubicado
en la sede de recuperacin
Medicin del rendimiento general de las actividades de operaciones y proceso de
datos relacionados con mantener la capacidad del negocio.
10.1.6.2
Ejecucin de las pruebas
A fin de realizar las pruebas deben realizarse las siguientes fases de prueba:
Preprueba.
El conjunto de acciones necesarias para armar el escenario para la prueba. Vara
desde ubicar mesas en el rea de recuperacin correcta hasta el transporte e
instalacin del equipo telefnico de respaldo. Estas son actividades que no se
realizaran en caso de una emergencia real, donde no existira preaviso del hecho y,
por lo tanto, no habr tiempo para realizar acciones preparatorias.
Prueba.
Esta es la accin real de probar el plan de contingencia. Se realizan carga de datos,
llamadas telefnicas, proceso de datos, rdenes de transporte y movimiento de
personal, equipo y proveedores.
Los evaluadores hacen un examen del personal involucrado mientras realizan las
tareas designadas. Esta es la prueba que indica el nivel de preparacin de la
organizacin para responder a la emergencia.
Posprueba.
178
10.1.6.3
Documentacin de resultados
Durante cada fase de la prueba, debe llevarse la documentacin detallada de las
observaciones, problemas y las soluciones. A menudo esta documentacin acta como
importante informacin histrica que puede facilitar la recuperacin real en caso de un
desastre. Asimismo, la documentacin contribuye a realizar un anlisis detallado de las
fortalezas y debilidades del plan.
10.1.6.4
Anlisis de resultados
Es importante tener formas de medir el xito del Plan y de las Pruebas en
funcin de los objetivos expresados. Por tanto, es importante que se midan los
resultados cuantitativamente en vez de basarse solamente en la observacin.
Las mediciones especficas varan segn la prueba y la organizacin. Sin
embargo, comnmente se realizan estas mediciones:
Tiempo.
El tiempo transcurrido para la terminacin de las tareas definidas
Cantidad.
Cantidad de trabajo que el personal administrativo y el personal de proceso de datos
realiza en la sede de respaldo.
Recuento.
El nmero de registros crticos que fueron llevados con xito a la sede de respaldo
frente al nmero requerido y el nmero de consumibles y equipo solicitado frente al
realmente recibido. Tambin puede medirse el nmero de sistemas que se
recuperaron con xito.
Exactitud.
La exactitud de la carga de datos en la sede de recuperacin frente a la exactitud
normal (expresado en porcentajes). Tambin puede determinarse la exactitud de los
179
ciclos de proceso reales comparando los resultados de salida con los del mismo
perodo procesados en condiciones normales.
10.1.6.5
Mantenimiento del plan de continuidad del negocio
Deben hacerse revisiones y actualizarse los planes y estrategias de respaldo para
casos de desastres de acuerdo con un cronograma para poder identificar los
requerimientos cambiantes. Esto se basa en que:
Una estrategia que es adecuada en un momento puede no resultar adecuada a
medida que cambian las necesidades de la organizacin.
Pueden desarrollarse o adquirirse nuevas aplicaciones.
Los cambios en la estrategia del negocio pueden alterar la importancia de las
aplicaciones crticas o hacer que pasen a considerarse como crticas aplicaciones que
no lo eran.
Los cambios al entorno de software o hardware pueden convertir en obsoletas o
inapropiadas las previsiones actuales.
La responsabilidad de mantener actualizado el Plan de Recuperacin de
Desastres suele recaer en el Coordinador de Recuperacin de Desastres. Las
responsabilidades especficas del mantenimiento del plan incluyen:
Desarrollo de un cronograma para revisiones y mantenimiento peridicos del plan,
asesorando al personal respecto de sus funciones y las fechas lmites para recibir las
revisiones y sugerencias.
Examen de las revisiones y sugerencias, y actualizacin del plan antes de los treinta
das posteriores a la fecha de revisin.
Realizar arreglos y coordinar pruebas planificadas y no planificadas del plan de
recuperacin de desastres para evaluar su adecuacin.
Participacin en pruebas planificadas del plan cuatro veces por ao en fechas
determinadas. Para las pruebas planificadas y no planificadas, el coordinador
escribir evaluaciones e integrar los resultados en un plan de recuperacin de
desastres antes de pasados 30 das.
Desarrollo de un cronograma de entrenamiento del personal de recuperacin en
procedimientos de emergencia y recuperacin segn lo especifique el plan de
recuperacin. Las fechas de entrenamiento deben planificarse dentro de los treinta
das de cada revisin del plan y de prueba del plan dentro del cronograma.
Llevar los registros de las actividades de mantenimiento del plan de recuperacin
(prueba, entrenamiento, y revisiones).
Actualizar el Directorio de Notificacin respecto de todos los cambios de personal,
incluyendo nmeros telefnicos, responsabilidades, o cargo dentro de la empresa.
180
Los puntos a tener en cuenta para establecer el cronograma de respaldo de archivos son:
Debe determinarse la frecuencia del ciclo de respaldo y perodo de retencin para cada archivo de datos.
La estrategia de respaldo debe prever los posibles errores en cualquier paso del ciclo de proceso
Los archivos maestros deben ser respaldados en momentos convenientes, p.e. al finalizar un proceso de
actualizacin.
Los archivos de transacciones deben conservarse conciliados con los archivos maestros, de manera que, a
partir de una versin previa de un archivo maestro, se regenere el archivo maestro actual.
Los archivos en tiempo real requieren tcnicas de respaldo especiales, tal como el registro de las transacciones
en un histrico, la utilizacin de imgenes previas y/o posteriores a la actualizacin de los registros maestros,
identificacin de las transacciones con la hora, etc.
Los sistemas de Administracin de Base de datos (DBMS) requieren un respaldo especializado, generalmente
provisto como una funcin integrada en el DBMS.
Debe conservarse descripciones de los archivos de los cuales se hace respaldo. En los sistemas DBMS estas
descripciones pueden ser reemplazadas por una versin de los diccionarios de datos.
Puede ser necesario asegurarse de la licencia para utilizar ciertas utilidades en una sede alterna, y los arreglos
deben hacerse con antelacin.
Respaldo del software debe incluir tanto las bibliotecas de cdigo objeto y de cdigo fuente, y debe incluir
mecanismos para guardar los parches a los programas de forma actualizada en todas las sedes de
respaldo.
Documentacin de
sistemas y programas
Procedimientos
especiales
Documentos fuente de
entrada y documentos
de salida
Copia del Plan de
Continuidad del
Negocio
procedimientos especiales.
Diagramas de flujo, listados de cdigo fuente de programas,
descripciones de la lgica del programa, condiciones de
error y otras descripciones
Cualquier procedimiento o instrucciones que se salen de lo
comn tales como proceso de excepciones, variaciones de
proceso, procesos de emergencia.
Duplicados, fotocopias, microfichas, microfilms o resmenes
que se necesitan con objeto de auditora, anlisis histrico,
realizacin de tareas vitales, cumplimiento de requisitos
legales, documentacin necesaria sobre seguros para efectuar
y acelerar los reclamos la compaa aseguradora.
Una copia del plan vigente
10.1.8 Resumen
Para asegurar la continuidad del servicio, un plan de continuidad del negocio
debe estar escrito para minimizar los efectos de las interrupciones. Este plan debe
basarse en el plan a largo plazo de TI y debe estar conforme con la estrategia global de
continuidad de las operaciones. Por tanto, el proceso de desarrollo y mantenimiento de
un plan de continuidad del negocio debe:
Identificar y priorizar los sistemas y otros recursos requeridos para soportar a los
procesos de negocio crticos en el caso de una interrupcin (anlisis del impacto en
el negocio)
Eleccin de la estrategia apropiada para recuperar al menos la suficiente capacidad
de TI para soportar los procesos crticos de negocio hasta que se recupere totalmente
toda la capacidad de TI.
Desarrollar un plan detallado para la recuperacin de las instalaciones de SSII (plan
de recuperacin de desastres)
Desarrollar un plan detallado para las funciones crticas del negocio para continuar
operando a un nivel aceptable (plan de continuidad del negocio)
Probar los planes
Mantener los planes para contemplar los cambios del negocio y los desarrollos de
sistemas.
Adems, debe realizarse una verificacin especfica de la informacin contenida dentro del plan:
Obtener una copia del Plan o manual de Recuperacin de Desastre.
Realizar un muestreo de las copias distribuidas del manual y verificar que estn actualizadas.
Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperacin de desastre.
Identifica el plan los puntos de reunin del Comit de Administracin de Desastre o el Equipo de
Administracin de Emergencia para decidir si debe iniciarse la recuperacin de desastre?
Estn adecuadamente documentados los procedimientos para una recuperacin con xito?
Trata el Plan desastres de diverso grado?
Se trata en el Plan el respaldo de las telecomunicaciones?
Revisar la identificacin y el soporte planificado de las aplicaciones crticas, incluyendo las que estn basadas
en PC o desarrollados por usuarios finales.
Determinar si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de
desastre.
Determinar si se han identificado todas las aplicaciones.
Determinar si el hot-site tiene las versiones correctas del software de sistemas.
Revisar la correccin y exhaustividad de la lista de personal de recuperacin de desastre, contactos de
emergencia con el hot-site, contactos de emergencia con proveedores, etc.
En la prctica realizar llamadas a una muestra de la gente indicada y verificar que sus nmeros de telfono
y domicilios son correctos y que poseen una copia del manual de recuperacin de desastre.
Entrevistarlos para obtener una comprensin de las responsabilidades que tienen asignadas en una
situacin de desastre.
Evaluar el procedimiento para actualizar el manual. Se aplican y distribuyen las actualizaciones de manera
oportuna? Existen responsabilidades especficas respecto de mantener documentado el manual?
184
Incluye el Plan procedimientos para fusionar datos de archivos maestros, datos del sistema automatizado de
administracin de soportes magnticos, etc. con los archivos previos al desastre?
Trata el Plan la carga de datos procesados manualmente al sistema automatizado?
10.2.6
185
186