24. Continuïtat del negoci. Disaster Recovery. Sistemes de Backup. Estratègia, Disseny i Operació.
130 Questions
0 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

¿Cuál es el nivel mínimo de recuperación que debe tener una actividad para considerarse recuperada?

  • MTD
  • RPO
  • RTO
  • ROL (correct)
  • ¿Qué representa el MTD en la gestión de la continuidad del negocio?

  • Tiempo máximo tolerable de caída (correct)
  • Tiempo mínimo de recuperación de operación
  • Cantidad de recursos necesarios para la recuperación
  • Nivel óptimo de servicio durante la contingencia
  • El RTO es crítico para un proceso, ¿cuál es su relación con el MTD?

  • El RTO debe ser igual al MTD
  • El RTO debe ser inferior al MTD (correct)
  • El RTO debe ser mayor que el MTD
  • El RTO no tiene relación con el MTD
  • ¿Qué es el RPO y qué determina en la continuidad del negocio?

    <p>Impacto de la pérdida de datos en la actividad</p> Signup and view all the answers

    Cuando se analiza la recuperación de un proceso, ¿qué recurso humano se debe identificar?

    <p>Personal crítico sin reemplazo</p> Signup and view all the answers

    Si el MTD para un proceso es de 72 horas y el RTO es de 24 horas, ¿cuál es la implicación principal de esta relación?

    <p>La recuperación debe realizarse antes de que se alcance el MTD</p> Signup and view all the answers

    ¿Qué se debe considerar respecto a las dependencias en procesos tecnológicos?

    <p>Son clave para entender el impacto total</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones es incorrecta respecto al MTD y RTO?

    <p>El MTD y el RTO son sinónimos</p> Signup and view all the answers

    ¿Cuál es la principal diferencia entre un PRD y un PC-TIC según los enfoques mencionados?

    <p>El PRD está enfocado en activos y el PC-TIC en procesos.</p> Signup and view all the answers

    En el contexto de un proyecto, ¿qué aspecto se debe considerar al definir el alcance?

    <p>Los elementos críticos que tienen un impacto significativo en la organización.</p> Signup and view all the answers

    ¿Qué enfoque es más adecuado para un proyecto que busca mejorar la operatividad de un horno en una panadería?

    <p>Enfoque por activo, dado que el horno es un activo crítico para el negocio.</p> Signup and view all the answers

    ¿Cuál es un efecto directo de la elección del alcance en un proyecto?

    <p>Determina el volumen de trabajo del proyecto.</p> Signup and view all the answers

    Si se decide usar un enfoque por proceso, ¿qué aspecto se busca mejorar?

    <p>La continuidad de un proceso específico, independientemente de los activos.</p> Signup and view all the answers

    ¿Cuál es la definición del RTO (Recovery Time Objective)?

    <p>El tiempo que se necesita para restaurar un proceso después de una contingencia.</p> Signup and view all the answers

    Para una pequeña empresa, ¿qué podría ser ventajoso al abordar todos los aspectos TIC en un proyecto?

    <p>Facilita una mejora integral y eficiente de los procesos.</p> Signup and view all the answers

    ¿Qué ineficiencia podría originarse al enfocarse en elementos accesorios en un proyecto?

    <p>Se podría perder tiempo en mejoras irrelevantes.</p> Signup and view all the answers

    Qué representa el RPO (Recovery Point Objective) en la gestión de procesos?

    <p>El volumen de datos que se pueden perder sin afectar significativamente el negocio.</p> Signup and view all the answers

    ¿Cómo se describe el enfoque por activo respecto a la información de procesos?

    <p>Obtiene información sobre los procesos a partir de los activos.</p> Signup and view all the answers

    ¿Por qué es subjetiva la valoración del impacto en la continuidad de un negocio?

    <p>Porque involucra la medición de la inactividad en términos de clientes y ventas.</p> Signup and view all the answers

    Qué aspecto deben tener en cuenta las empresas al analizar el impacto de un proceso?

    <p>Las dependencias de otros procesos y proveedores.</p> Signup and view all the answers

    ¿Cuál es una de las metas principales al establecer niveles mínimos de recuperación de servicio (ROL)?

    <p>Asegurar que los procesos críticos se restauren dentro de un tiempo específico.</p> Signup and view all the answers

    En la gestión de continuidad de negocio, ¿qué se entiende por MTD (Maximum Tolerable Downtime)?

    <p>La duración máxima que puede estar un proceso inactivo sin consecuencias desastrosas.</p> Signup and view all the answers

    ¿Cuál es uno de los principales desafíos en la valoración del impacto sobre el negocio?

    <p>Medir el impacto de manera objetiva y estandarizada.</p> Signup and view all the answers

    Al analizar el tiempo de recuperación (RTO), ¿quiénes son los principales afectados por una contingencia?

    <p>Los clientes que dependen de los servicios ofrecidos.</p> Signup and view all the answers

    ¿Cuál es el objetivo principal del Plan de Crisis?

    <p>Evitar decisiones improvisadas en momentos de crisis.</p> Signup and view all the answers

    En la fase 3 de respuesta a la contingencia, ¿cuál es el primer paso a seguir?

    <p>Implementar las iniciativas previamente definidas.</p> Signup and view all the answers

    ¿Qué aspecto se considera fundamental en la documentación de la respuesta a la contingencia?

    <p>Forma de árbol jerárquico.</p> Signup and view all the answers

    ¿Qué son los MTDs en el contexto de la gestión de crisis?

    <p>Máximos tiempos de inactividad.</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones es incorrecta acerca de la fase de clasificación y priorización de medidas?

    <p>Se basa únicamente en criterios tecnológicos.</p> Signup and view all the answers

    ¿Quién es responsable de activar y gestionar el Plan de Crisis?

    <p>Un equipo designado de acuerdo a la situación.</p> Signup and view all the answers

    ¿Cuál de los siguientes no es un elemento mencionado en el Plan de Crisis?

    <p>Determinación de la infraestructura tecnológica.</p> Signup and view all the answers

    ¿Qué función tienen los nodos inferiores en el árbol jerárquico de documentación?

    <p>Definir procedimientos técnicos detallados para la recuperación.</p> Signup and view all the answers

    ¿Cuál es el primer paso recomendado para elaborar un Plan de Continuidad TIC?

    <p>Determinar el alcance de los servicios y procesos</p> Signup and view all the answers

    ¿Qué se debe identificar como parte del proceso de elaboración del Plan de Continuidad de Negocio?

    <p>Las dependencias de los activos tecnológicos</p> Signup and view all the answers

    En la elaboración de un Plan de Continuidad TIC, ¿qué actividad sigue a la identificación de riesgos?

    <p>Elaborar las instrucciones técnicas de trabajo</p> Signup and view all the answers

    ¿Cuál de las siguientes acciones no es parte del resumen de tareas para realizar un Plan de Continuidad TIC?

    <p>Obtener información sobre la competencia</p> Signup and view all the answers

    ¿Qué acción debe realizarse después de elaborar el plan de pruebas en un Plan de Continuidad TIC?

    <p>Implantar el plan y realizar comprobaciones periódicas</p> Signup and view all the answers

    ¿Qué grupo debe ser parte del público objetivo para la elaboración del Plan de Continuidad de Negocio?

    <p>Personal técnico y personal de negocio</p> Signup and view all the answers

    ¿Qué se considera crucial para garantizar que las capacidades tecnológicas sean adecuadas?

    <p>Formar al personal en el Plan de Continuidad de Negocio</p> Signup and view all the answers

    ¿Cuál es el propósito principal de las reuniones con los departamentos implicados en el Plan de Continuidad?

    <p>Determinar necesidades y requerimientos</p> Signup and view all the answers

    ¿Cuál es la fase que determina el presupuesto y la magnitud del proyecto para la continuidad de una empresa?

    <p>Fase 0: Determinación del alcance</p> Signup and view all the answers

    En la fase de prueba, mantenimiento y revisión, ¿qué aspecto tecnológico es fundamental de desarrollar?

    <p>Planes de prueba y mantenimiento</p> Signup and view all the answers

    ¿Qué tipo de personal debe estar concienciado sobre el Plan de Continuidad de Negocio?

    <p>Todo el personal, incluidos los responsables</p> Signup and view all the answers

    En la fase de determinación del alcance, ¿qué elemento no es un foco de mejora para la continuidad?

    <p>Capacitación del personal</p> Signup and view all the answers

    ¿Cuál es la fase que implica la selección e implantación de iniciativas necesarias?

    <p>Fase 3: Respuesta a la contingencia</p> Signup and view all the answers

    ¿Qué se documenta junto con el Plan de Crisis en la fase de respuesta a la contingencia?

    <p>Documentos para la recuperación de entornos</p> Signup and view all the answers

    ¿Cuál es la estrategia que implica transferir la responsabilidad del riesgo a un tercero?

    <p>Transferir el riesgo</p> Signup and view all the answers

    En la fase de concienciación, ¿cuál es la expectativa principal de los responsables?

    <p>Conocer qué es y qué supone el Plan de Continuidad</p> Signup and view all the answers

    Durante la determinación del alcance, ¿qué tipo de colaboración es esencial?

    <p>Colaboración de diversos departamentos</p> Signup and view all the answers

    ¿Qué acción ayuda a reducir el nivel de riesgo sin eliminarlo completamente?

    <p>Implantar medidas para mitigar el riesgo</p> Signup and view all the answers

    ¿Cuál es una de las partes que debe incluirse en un plan de tratamiento de riesgos?

    <p>Fecha de implementación y recursos necesarios</p> Signup and view all the answers

    En el contexto del tratamiento de riesgos, ¿qué significa asumir un riesgo?

    <p>Aceptar que existe un riesgo y no implementar ninguna estrategia</p> Signup and view all the answers

    ¿Cuál de las siguientes no es una estrategia para tratar los riesgos mencionadas?

    <p>Aumentar</p> Signup and view all the answers

    Al implementar medidas de tratamiento de riesgos, ¿qué aspecto es fundamental definir?

    <p>La fecha de implantación y responsable</p> Signup and view all the answers

    ¿Qué se debe considerar al determinar los riesgos que deben ser tratados adecuadamente?

    <p>La probabilidad de ocurrencia y el impacto</p> Signup and view all the answers

    En un plan de tratamiento de riesgos, ¿qué elemento no es relevante al definir la medida?

    <p>Percepción emocional de los gerentes</p> Signup and view all the answers

    ¿Cuál de los siguientes elementos debe evaluarse para determinar la estrategia de recuperación más adecuada para un proceso en caso de contingencia?

    <p>La disponibilidad de recursos tecnológicos</p> Signup and view all the answers

    Al evaluar la continuidad del proceso, ¿qué aspecto debe considerarse en relación con el personal crítico?

    <p>El tiempo que se tardaría en capacitar a nuevos empleados</p> Signup and view all the answers

    ¿Qué elemento no se menciona como potencialmente afectado por una contingencia en los procesos críticos?

    <p>Localización de los clientes</p> Signup and view all the answers

    ¿Cuál es un aspecto crucial a considerar en la disponibilidad y salvaguarda de la información crítica?

    <p>El almacenamiento físico de los datos</p> Signup and view all the answers

    Al implementar estrategias de recuperación, ¿qué debe evaluarse además de la viabilidad?

    <p>El coste y requisitos de mantenimiento</p> Signup and view all the answers

    ¿Qué documentación se vuelve más importante en una situación de crisis?

    <p>Procedimientos Técnicos de Trabajo</p> Signup and view all the answers

    ¿Cuál es el objetivo principal de los Planes Operativos de Recuperación?

    <p>Recuperar la infraestructura afectada de manera rápida</p> Signup and view all the answers

    En el proceso de determinación de estrategias de recuperación, ¿qué se debe considerar para las diferentes tecnologías implicadas?

    <p>Alternativas de funcionamiento</p> Signup and view all the answers

    Cuando se planifican iniciativas para mejorar la continuidad de un proceso, ¿qué debe evaluarse también?

    <p>El coste de implantación</p> Signup and view all the answers

    ¿Qué aspecto deben contener los Planes Operativos de Recuperación?

    <p>Información específica sobre el entorno al cual aplican</p> Signup and view all the answers

    ¿Cuál es una de las consideraciones clave al evaluar la recuperación de un sistema tras una contingencia?

    <p>La infraestructura tecnológica necesaria</p> Signup and view all the answers

    ¿Qué información puede incluir la documentación de los Procedimientos Técnicos de Trabajo?

    <p>Direcciones IP y recuperación de copias de base de datos</p> Signup and view all the answers

    Después de la ejecución del Plan de Crisis, ¿cuál es el siguiente paso importante?

    <p>Ejecutar los Procedimientos Técnicos de Trabajo</p> Signup and view all the answers

    ¿Qué se debe realizar antes de activar los Planes Operativos de Recuperación?

    <p>Evaluar el alcance de la crisis</p> Signup and view all the answers

    ¿Cuál de las siguientes situaciones podría no ser cubiertas por los Procedimientos Técnicos de Trabajo?

    <p>Gestión de relaciones con los medios</p> Signup and view all the answers

    ¿Cuál es un componente esencial en la recuperación de infraestructuras afectadas?

    <p>Documentación de procedimientos técnicos</p> Signup and view all the answers

    ¿Qué aspecto se garantiza al mantener actualizada la información del Plan de Contingencia y Continuidad de Negocio?

    <p>La recuperación de la organización en tiempos establecidos</p> Signup and view all the answers

    ¿Cuál es un objetivo principal del proceso de concienciación en la última fase del Plan de Continuidad de Negocio?

    <p>Incrementar la cohesión del personal</p> Signup and view all the answers

    Al llevar a cabo pruebas de contingencia, ¿qué se busca fomentar entre los usuarios?

    <p>Mejor conocimiento sobre el uso de los sistemas de continuidad</p> Signup and view all the answers

    ¿Qué debe incluir un proceso de concienciación efectiva en relación con la continuidad del negocio?

    <p>Elementos de análisis de impacto y estrategias de recuperación</p> Signup and view all the answers

    En qué situaciones es vital ejecutar planes de prueba en el contexto de un Plan de Continuidad TIC?

    <p>Al cambiar de proveedor o después de una crisis</p> Signup and view all the answers

    ¿Cuál de los siguientes es un resultado directo de llevar a cabo pruebas de contingencia?

    <p>Incremento de la confianza de los usuarios en la organización</p> Signup and view all the answers

    ¿Qué aspecto debe considerarse al analizar los roles durante la fase de concienciación?

    <p>Las responsabilidades y tareas específicas de cada miembro</p> Signup and view all the answers

    ¿Qué factor es crucial para el éxito de un Plan de Contingencia en una organización?

    <p>El análisis del impacto sobre el negocio</p> Signup and view all the answers

    ¿Cuál es el objetivo principal de la fase 1, Análisis de la organización?

    <p>Recopilar información sobre procesos de negocio críticos.</p> Signup and view all the answers

    En la fase 0, ¿qué se recomienda al abordar la mejora de la continuidad en una organización compleja?

    <p>Comenzar por los departamentos con mayor importancia.</p> Signup and view all the answers

    ¿Qué se debe hacer si se determina que no se pueden recuperar los activos críticos en el tiempo necesario durante la fase 2?

    <p>Establecer nuevas estrategias de recuperación.</p> Signup and view all the answers

    Durante la fase 4, ¿qué actividad es fundamental para el Plan de Continuidad de Negocio?

    <p>Desarrollo de planes de prueba y mantenimiento.</p> Signup and view all the answers

    ¿Qué aspecto se debe considerar durante la fase de concienciación del Plan de Continuidad de Negocio?

    <p>La formación y conocimiento del personal sobre el Plan.</p> Signup and view all the answers

    ¿Cuál es el primer paso en una estrategia de copia de seguridad convencional?

    <p>Crear una copia de seguridad completa</p> Signup and view all the answers

    ¿Cuál de los siguientes métodos de copia de seguridad crece de manera lineal en el tiempo?

    <p>Copia de seguridad diferencial</p> Signup and view all the answers

    ¿Qué volumen de datos respalda una copia de seguridad incremental?

    <p>El volumen de datos modificados desde la última copia de seguridad completa</p> Signup and view all the answers

    Si una organización realiza una copia de seguridad completa cada domingo, ¿qué tipo de copia de seguridad podría hacer durante la semana para respaldar cambios diarios?

    <p>Copia de seguridad incremental todos los días</p> Signup and view all the answers

    En el contexto de un crecimiento de datos de 1 GB al día, ¿qué estrategia de copia de seguridad podría ser más eficiente a largo plazo?

    <p>Combinar copias de seguridad completas con incrementales</p> Signup and view all the answers

    ¿Cuál es la principal ventaja de tener una copia aislada e inmutable en el sistema 3-2-1-1-0?

    <p>Garantizar que los datos no puedan ser modificados por software malicioso.</p> Signup and view all the answers

    En la regla 3-2-1-1-0, ¿cuál es la función principal de las copias que se deben revisar para detectar errores?

    <p>Asegurar la integridad y disponibilidad de los datos.</p> Signup and view all the answers

    ¿Qué característica del almacenamiento en la nube lo hace idóneo para la tercera copia de seguridad en la regla 3-2-1-1-0?

    <p>Su capacidad de almacenamiento ilimitada.</p> Signup and view all the answers

    La inclusión de la regla Cero (cero errores) en la regla 3-2-1-1-0 implica que:

    <p>Todo backup debe ser capaz de ser restaurado sin fallos.</p> Signup and view all the answers

    ¿Qué representa el número '1' adicional en la regla 3-2-1-1-0, en comparación con la regla 3-2-1?

    <p>Una copia que solo se puede leer y no modificar.</p> Signup and view all the answers

    ¿Qué aspecto es fundamental para una organización al gestionar la continuidad del negocio?

    <p>La capacidad de reaccionar inmediatamente ante amenazas</p> Signup and view all the answers

    ¿Cuál es una de las metas principales al implementar la norma ISO 22301?

    <p>Definir niveles mínimos de recuperación de productos y servicios críticos</p> Signup and view all the answers

    Según la metodología para la gestión de la continuidad del negocio, ¿qué debe estar estructurado para asegurar la continuidad?

    <p>Procedimientos, tecnología e información</p> Signup and view all the answers

    ¿Qué se busca proteger mediante la continuidad de negocio?

    <p>Intereses de las partes interesadas y activos críticos</p> Signup and view all the answers

    Al implementar un plan de continuidad de negocio, ¿qué se debe tener en cuenta respecto a la organización?

    <p>Sus objetivos, estructura y alcance</p> Signup and view all the answers

    ¿Qué implica la gestión de continuidad de negocio para una empresa frente a un desastre?

    <p>Mantener operaciones ininterrumpidas y recuperar servicios críticos</p> Signup and view all the answers

    Según la ISO 22301, ¿qué tipo de incidentes debe enfrentar un Sistema de Gestión de Continuidad de Negocio?

    <p>Cualquier tipo de incidente, interno o externo</p> Signup and view all the answers

    Al desarrollar un plan de continuidad, ¿qué elemento no se considera necesario introducir en la planificación?

    <p>Un análisis de competencia del mercado</p> Signup and view all the answers

    ¿Cuál es uno de los objetivos principales de un Sistema de Gestión de Continuidad de Negocio (SGCN)?

    <p>Establecer planes de contingencia para mitigar riesgos.</p> Signup and view all the answers

    En el contexto del análisis de impacto en el negocio, ¿qué se busca priorizar?

    <p>Los procesos más vulnerables y críticos.</p> Signup and view all the answers

    ¿Cuál es una ventaja significativa de obtener una certificación en continuidad de negocio?

    <p>Generar confianza en las partes interesadas mediante medidas internacionales.</p> Signup and view all the answers

    ¿Qué fase implica la clasificación de prioridades en un plan de continuidad de negocio?

    <p>Determinación del alcance.</p> Signup and view all the answers

    En el marco del SGCN, ¿cuál es uno de los principales enfoques en la fase de evaluación?

    <p>Realizar auditorías para medir la eficiencia del SGCN.</p> Signup and view all the answers

    ¿Qué acción se considera esencial en la fase de concienciación dentro del SGCN?

    <p>Crear una cultura compartida sobre el plan de acción.</p> Signup and view all the answers

    ¿Cuál es el propósito principal de un Plan de Crisis en el contexto de continuidad de negocio?

    <p>Documentar y planear acciones ante un desastre.</p> Signup and view all the answers

    ¿Qué tipo de recursos se considera crucial para las pruebas y mantenimiento del SGCN?

    <p>Recursos tecnológicos que faciliten la identificación de mejoras.</p> Signup and view all the answers

    En la fase de respuesta a la contingencia, ¿cuál es la primera acción recomendada?

    <p>Crear un plan de crisis y documentar información.</p> Signup and view all the answers

    ¿Cuál es un beneficio clave de implementar un SGCN en una organización?

    <p>Minimizar el tiempo de recuperación y el impacto en el servicio.</p> Signup and view all the answers

    ¿Qué aspecto es esencial para la mejora continua dentro de un SGCN?

    <p>Incorporar retroalimentación y ajustes frecuentes.</p> Signup and view all the answers

    En la planificación de un SGCN, ¿cuál es un elemento crítico que debe definirse?

    <p>Los objetivos de continuidad y cómo se llevará a cabo su implementación.</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones describe un aspecto del contexto del SGCN?

    <p>Identificar y verificar si se cumplen los objetivos planteados.</p> Signup and view all the answers

    ¿Cuál es el propósito principal de la gestión de la continuidad de negocio?

    <p>Reanudar operaciones normales después de un desastre</p> Signup and view all the answers

    ¿Qué etapa del proceso de gestión de la continuidad de negocio implica la creación del programa de gestión?

    <p>Creación del programa</p> Signup and view all the answers

    Durante la etapa de 'Cumplir los acuerdos pactados', ¿qué se busca evaluar?

    <p>La continuidad de negocio y oportunidades de mejora</p> Signup and view all the answers

    ¿Cuál es una característica clave de la norma ISO 22301?

    <p>Brinda buenas prácticas para gestionar la continuidad de negocio</p> Signup and view all the answers

    En el contexto de continuidad de negocio, ¿qué es lo que se debe clasificar en clave, de apoyo y recursos necesarios?

    <p>Actividades de la compañía</p> Signup and view all the answers

    ¿Cuál es el enfoque del Plan de Recuperación ante Desastres (PRD)?

    <p>Preparar respuestas para eventos catastróficos</p> Signup and view all the answers

    ¿Qué aspecto NO es considerado fundamental durante la elaboración del Plan de Continuidad TIC?

    <p>Elaboración de un manual de empleados</p> Signup and view all the answers

    ¿Por qué es importante que todos los empleados entiendan la cultura organizacional en relación con la continuidad del negocio?

    <p>Para alinear sus esfuerzos con los objetivos del sistema</p> Signup and view all the answers

    ¿Cuál es uno de los beneficios que ofrece la norma ISO 22301 a las empresas?

    <p>Generación de confianza ante clientes y proveedores</p> Signup and view all the answers

    ¿Qué se debe hacer después de la elaboración del plan de pruebas en un Plan de Continuidad TIC?

    <p>Revisar el protocolo según los resultados de la prueba</p> Signup and view all the answers

    En el contexto de la gestión de riesgos, ¿cuál es el propósito de evaluar constantemente los riesgos en una organización?

    <p>Prevenir su materialización o mitigar su impacto</p> Signup and view all the answers

    Al definir el alcance de un proyecto de continuidad de negocio, ¿qué elemento se debe tener en cuenta?

    <p>La magnitud y complejidad de la organización</p> Signup and view all the answers

    ¿Qué tipo de sistemas deben registrarse en el plan de prevención de pérdidas?

    <p>Sistemas de autenticación y control</p> Signup and view all the answers

    ¿Cuál de los siguientes no es un tipo de proyecto de continuidad de negocio mencionado?

    <p>Plan de mitigación de riesgos</p> Signup and view all the answers

    Study Notes

    Alcance del Proyecto

    • Los proyectos de PRD suelen centrarse en activos, mientras que los proyectos de PCTIC se enfocan en los procesos de la empresa.
    • Los proyectos suelen abarcar sistemas o procesos de mayor criticidad, es decir, aquellos que causarían mayor impacto en la organización en caso de pérdida.
    • El enfoque puede ser por activo o por proceso.
      • El enfoque por activo se basa en la mejora de la continuidad de un conjunto de activos, y a partir de estos, se extrae información sobre los procesos que los utilizan.
      • El enfoque por proceso busca mejorar la continuidad de un proceso específico, independientemente de los activos de informática que lo soporten.

    Análisis de Impacto del Negocio

    • Para cada proceso analizado, se debe obtener información crucial:
      • RTO (Recovery Time Objective): Tiempo que un proceso permanecerá detenido antes de que se restaure su funcionamiento.
      • Recursos Humanos y Tecnológicos: Personal y equipo tecnológico utilizados en el proceso, incluyendo aplicaciones, sistemas, equipamiento y elementos auxiliares como impresoras o faxes.
      • MTD (Maximum Tolerable Downtime): Tiempo máximo que un proceso puede permanecer caído antes de que el impacto sea irreversible para la empresa.
        • El MTD está ligado al negocio, mientras que el RTO es definido generalmente por personal técnico.
        • El RTO debe ser siempre menor que el MTD.
      • ROL (Revised Operating Level): Nivel mínimo de recuperación que debe tener una actividad para considerarla recuperada, aunque el nivel de servicio no sea óptimo.
      • RPO (Recovery Point Objective): Grado de dependencia de la actualidad de los datos. Este valor determina el impacto de la pérdida de datos en la actividad.

    Respuesta a la Contingencia

    • Una vez definidas las estrategias de recuperación, se implementa la estrategia de respuesta a la contingencia, que incluye:
      • Implementación de las iniciativas identificadas en la fase anterior.
      • Clasificación y priorización de medidas, en función del proceso afectado y su criticidad.
      • Documentación de la respuesta a la contingencia, organizada en un árbol jerárquico que gestiona el momento crítico inmediatamente posterior a la crisis, establece las bases para la recuperación de la infraestructura y define los procedimientos técnicos detallados para dicha recuperación.

    Plan de Crisis (o de Incidentes)

    • Este documento es fundamental para la gestión de situaciones de crisis.
    • Su objetivo: evitar decisiones improvisadas que podrían empeorar la crisis o impedir la toma de decisiones.
    • El plan incluye:
      • Condiciones de Disparo: Situación límite que activa la declaración de crisis, teniendo en cuenta los MTDs de los procesos críticos.
      • Flujos de Toma de Decisiones: Mecanismos para declarar la situación de crisis.
      • Personal Responsable: Los encargados de activar y gestionar el Plan de Crisis.
      • Público Objetivo: Tanto personal técnico como de negocio relacionado con los procesos críticos dentro del alcance.

    Resumen de Tareas para un Plan de Continuidad TIC

    • Definir el alcance de los servicios y procesos a mejorar.
    • Realizar reuniones con los departamentos implicados para determinar sus necesidades y requerimientos.
    • Reunirse con el personal técnico para determinar sus capacidades y recursos.
    • Identificar los servicios y procesos críticos, junto con los activos tecnológicos que los sustentan y sus interdependencias.
    • Analizar los riesgos a los que están expuestos los servicios y procesos.
    • Identificar medidas o iniciativas para que las capacidades tecnológicas sean superiores a las demandas del negocio.
    • Elaborar el plan de crisis para identificar las primeras acciones a realizar en caso de accidente.
    • Elaborar planes de recuperación para cada entorno involucrado.
    • Elaborar instrucciones técnicas de trabajo para ejecutar el plan de recuperación.
    • Diseñar e implementar el plan de mantenimiento.
    • Diseñar e implementar el plan de pruebas, realizando comprobaciones periódicas para verificar su correcto funcionamiento.
    • Capacitar al personal involucrado en el Plan de Continuidad de Negocio.

    Determinación del alcance

    • Esta fase es la más breve y utiliza menos recursos, pero es indispensable para determinar la magnitud y el coste del proyecto.
    • Se debe determinar cuáles son los elementos clave de la empresa que necesitan mejorar su continuidad.
    • El personal, los activos de información, los sistemas informáticos y otros servicios y procesos de la organización están implicados en esta fase.
    • Los riesgos que impliquen un mayor impacto (y probabilidad) son de especial interés porque pueden poner en riesgo la continuidad de la organización.

    Estrategias para el tratamiento de los riesgos

    • Una vez establecidos los riesgos con mayor impacto, se deben tratar mediante una de las siguientes estrategias: transferir el riesgo a un tercero, eliminar el riesgo, implantar medidas para mitigarlo o asumir el riesgo.

    Medidas para mitigar los riesgos

    • Para cada medida, se debe determinar su descripción, los riesgos que mitiga, la fecha de implantación límite, el responsable de la implantación y los recursos necesarios para su implantación.

    Estrategias de recuperación

    • Se debe determinar qué estrategias seguir para cada uno de los diferentes elementos potencialmente afectados por una contingencia (personal, locales, tecnología, información y proveedores).
    • El objetivo es recuperar los sistemas para evitar que una contingencia los degrade de manera irreversible para la empresa.
    • Se debe valorar el coste y la viabilidad de la implantación, mantenimiento y recursos necesarios para cada estrategia de recuperación.
    • Se debe obtener un conjunto de iniciativas a implantar para mejorar la continuidad del proceso.

    Gestión inicial de una crisis

    • Después de la ejecución del Plan de Crisis, ya se ha gestionado el momento crítico de la crisis y se han puesto en marcha todos los procesos necesarios para la recuperación de la infraestructura afectada a través de los Planes Operativos de Recuperación de Entornos.

    Planes Operativos de Recuperación de Entornos

    • Una vez contenido el momento inicial de la crisis, se debe realizar una evaluación del alcance de la crisis y determinar qué Planes Operativos de Recuperación se activan.
    • Estos documentos pueden abarcar uno o más entornos independientes y contienen información específica sobre el entorno al que aplican.
    • Tras el disparo de los diferentes Planes Operativos, cada una de las infraestructuras afectadas comenzará su proceso de recuperación.

    Procedimientos técnicos de trabajo (o de incidentes)

    • Esta documentación describe cómo llevar a cabo las tareas necesarias para la gestión y recuperación de una aplicación, sistema, infraestructura o entorno.
    • Aunque no son parte de la continuidad del negocio, sino de la operación diaria, se vuelven más importantes en una situación de crisis.
    • Estos documentos contienen información específica a cada uno de los entornos: direcciones IP, versionado de programas, listado detallado de comandos, tablas de enrutamiento, recuperación de copias de base de datos, puesta en marcha de aplicaciones, etc.
    • La documentación debe reflejar fielmente la información de todas las partes involucradas: infraestructura técnica, personal, proveedores externos y terceras partes.

    Plan de pruebas

    • El objetivo es mostrar los distintos tipos de pruebas de contingencia que se deben llevar a cabo.
    • La ejecución de los planes de prueba es vital para garantizar la salud del PCTIC.
    • Esto permite garantizar que la información del plan se mantiene actualizada, que la organización podrá recuperarse en los tiempos establecidos, incrementar la cohesión del personal, mejorar el conocimiento de los usuarios sobre las pruebas de continuidad e incrementar la confianza de los usuarios en la organización.

    Fase 5: Concienciación

    • La última fase de la implantación del Plan de Continuidad de Negocio TIC es la concienciación del personal en relación con la continuidad.
    • Se debe realizar tanto del personal implicado en los procesos de negocio como del personal de TI.
    • Se debe plantear un proceso de concienciación que contemple la descripción de los elementos utilizados en la continuidad (análisis de impacto sobre el negocio, plan de crisis, estrategias de recuperación, etc.).
    • Se deben considerar aspectos como las responsabilidades, las pruebas que se deben realizar, etc.

    Fase 0: Determinación del Alcance

    • Comenzar con departamentos o áreas de mayor importancia.
    • Ampliar la continuidad a toda la organización progresivamente.
    • Implicación y compromiso de la dirección.

    Fase 1: Análisis de la Organización

    • Recopilación de información sobre procesos de negocio críticos.
    • Identificación de activos que soportan los procesos críticos.
    • Determinación de necesidades temporales y de recursos.

    Fase 2: Determinación de la Estrategia de Continuidad

    • Evaluación de la capacidad de recuperación de activos en caso de desastre.
    • Establecimiento de estrategias de recuperación para activos que no se puedan recuperar a tiempo.

    Fase 3: Respuesta a la Contingencia

    • Selección e implantación de iniciativas basadas en las estrategias de recuperación.
    • Documentación del Plan de Crisis y los documentos de recuperación de los entornos.

    Fase 4: Prueba, Mantenimiento y Revisión

    • Desarrollo de planes de prueba y mantenimiento para la infraestructura tecnológica de la empresa.

    Fase 5: Concienciación

    • Concientización del personal técnico y responsables de la empresa sobre el Plan de Continuidad de Negocio.
    • Comunicación de las expectativas del Plan de Continuidad de Negocio al personal.

    Tipos de Copias de Seguridad

    • Existen tres métodos principales para crear copias de seguridad continuas: copia de seguridad completa, copia de seguridad diferencial y copia de seguridad incremental.
    • Cada método tiene ventajas y desventajas específicas.
    • Una estrategia de copia de seguridad típica incluye varios tipos de respaldo.
    • La mayoría de las estrategias comienzan con una copia de seguridad completa y luego se complementan con copias de seguridad incrementales o diferenciales.
    • También se realizan copias de seguridad completas periódicas para garantizar la integridad de los datos.
    • La frecuencia de las copias de seguridad varía según el tipo de datos y las necesidades de la organización.

    Comparación de Métodos

    • Copia de seguridad completa: Realiza una copia de todos los datos, lo que significa que cada copia de seguridad tiene el tamaño completo del conjunto de datos.
    • Copia de seguridad diferencial: Copia solo los cambios realizados desde la última copia de seguridad completa. El volumen de una copia de seguridad diferencial aumenta linealmente con el tiempo desde la última copia de seguridad completa.
    • Copia de seguridad incremental: Copia solo los cambios realizados desde la última copia de seguridad. El volumen de una copia de seguridad incremental corresponde al volumen de datos modificados desde la última copia de seguridad.

    Ejemplo

    • Se considera un conjunto de datos de 100 GB que crece 1 GB al día.
    • Una estrategia de copia de seguridad común implica una copia de seguridad completa cada fin de semana, seguida de copias de seguridad incrementales o diferenciales para capturar los cambios diarios.
    • Para los tres métodos, se realiza una copia de seguridad completa el domingo.
    • Los métodos incrementales y diferenciales solo copian los cambios diarios, lo que reduce el tamaño de la copia de seguridad.

    Reglas de respaldo de datos

    • La regla 3-2-1 se utiliza para garantizar que los datos sensibles estén respaldados correctamente.
    • La regla 3-2-1 implica tener tres copias de los datos: el original más dos copias de respaldo.
    • Se recomienda mantener dos copias en diferentes soportes, como en tu ordenador, la nube o un dispositivo USB.
    • La tercera copia debe estar en un lugar físico distinto, como un disco duro externo en una ubicación diferente.
    • La regla 3-2-1-1-0 es una evolución de la regla 3-2-1 que incluye una copia aislada e inmutable.
    • El objetivo de una copia aislada e inmutable es proteger contra el ransomware al hacerla de solo lectura y ubicarla en un entorno aislado.
    • Esta copia debe revisarse para garantizar que no tenga errores, y puede almacenarse en un centro de datos (CPD) diferente o en la nube.
    • La nube es un lugar ideal para una copia aislada e inmutable, ya que ofrece almacenamiento ilimitado, aislamiento de los CPD productivos y modalidades de almacenamiento que garantizan la no modificación de los datos.

    Continuidad de Negocio

    • La continuidad de negocio es la capacidad de una empresa para sobrevivir a los riesgos internos y externos que afectan sus operaciones.
    • El objetivo es mantener la actividad de la empresa y evitar interrupciones en el desarrollo normal de sus actividades.

    ISO 22301

    • La norma ISO 22301 establece los requisitos para implementar un Sistema de Gestión de Continuidad de Negocio (SGCN).
    • El SGCN identifica las capacidades de la organización para enfrentar incidentes y ofrece claves para mejorar el negocio.

    Gestión de la Continuidad de Negocio

    • Se desarrolla en seis etapas:

      Creación del programa

      • Se define el alcance del programa, se elige a los responsables y se les asignan funciones.

      Comprensión de la compañía

      • Se recopila información sobre las actividades clave, de apoyo y los recursos necesarios.
      • Se evalúa el impacto del negocio y los riesgos relevantes.

      Definición de estrategias

      • Se seleccionan las actividades que permiten a la organización recuperar el servicio en caso de un incidente.

      Elaboración y ejecución de una respuesta

      • Se redactan planes de respuesta a amenazas y se establecen protocolos para actuar de manera correcta.

      Cumplir los acuerdos pactados

      • Se implementa el SGCN con el objetivo de cumplir los planes establecidos.
      • Se realizan ejercicios para evaluar la continuidad y mejorar el sistema.

      Cultura organizacional

      • Todos los empleados deben estar alineados con el SGCN y conocer su rol en el sistema.

    Tipos de proyectos de continuidad de negocio

    • Plan de Continuidad de Negocio (PCN): Incluye aspectos como infraestructura, recursos humanos, sistemas industriales, comunicación y tecnología.

    • Plan de Continuidad TIC: Se centra en los riesgos tecnológicos que pueden afectar a la empresa.

    • Plan de Recuperación ante Desastres (PRD): Gestiona las posibles consecuencias de catástrofes.

    La norma ISO 22301

    • La norma ISO 22301 proporciona buenas prácticas para gestionar la continuidad del negocio y minimizar el impacto de los riesgos.
    • Se basa en la norma británica BS 25999.
    • La norma contiene 109 requisitos que definen la implementación del SGCN.

    Beneficios de la norma ISO 22301

    • Coordinación entre empleados.
    • Identificación de riesgos y su impacto en la continuidad del negocio.
    • Respuestas adecuadas ante una crisis.
    • Capacidad de recuperación rápida.
    • Mejora de la reputación.
    • Valor agregado frente a la competencia.
    • Mayor confianza de clientes y prospectos.

    Información a documentar

    • Alcance del SGCN.
    • Requisitos legales y normativos.
    • Política de continuidad del negocio.
    • Objetivos de la continuidad del negocio.
    • Competencias del personal.
    • Comunicación con las partes interesadas.
    • Análisis del impacto en el negocio.
    • Evaluación del riesgo.
    • Estructura de respuesta ante incidentes.
    • Planes de continuidad del negocio.
    • Procedimientos de recuperación.
    • Resultados de acciones preventivas.
    • Auditorías internas.
    • Revisión de la dirección.
    • Acciones correctivas.
    • Mejora continua.

    Estructura de la norma

    • La norma está conformada por diez secciones:
      • Introducción

      • Alcance

      • Referencias

      • Normativas

      • Términos de definiciones

      • Requisitos de la norma:

        Contexto

        • Se identifica el alcance del SGCN y se verifica el cumplimiento de los objetivos.

        Liderazgo

        • La dirección debe involucrar a los miembros de la empresa y fomentar el compromiso.

        Planificación

        • Se establecen los objetivos y la implementación del SGCN.

        Apoyo

        • Se proporcionan las herramientas y el personal competente para ejecutar el plan de acción.

        Funcionamiento

        • Se pone en práctica el SGCN una vez definido y capacitado.

        Evaluación

        • Se realizan auditorías regulares para verificar la eficiencia del SGCN y detectar áreas de mejora.

        Mejora

        • Se identifican oportunidades de mejora en diferentes etapas.

    Certificación ISO 22301

    • La certificación permite gestionar mejor los riesgos y adoptar un sistema internacionalmente reconocido.
    • Se obtiene siguiendo una serie de pasos:

    Beneficios de la certificación

    • Se fomenta la cultura de continuidad de negocio dentro de la empresa.
    • Brinda confianza a clientes, proveedores, empleados y otras partes interesadas.
    • Se establecen indicadores medibles para verificar el alcance de los objetivos.
    • Se identifican mejor los riesgos y las oportunidades.
    • Se reducen costos.
    • Se protegen los activos.
    • Se evita la propagación de crisis y la mala reputación.

    Plan de continuidad del negocio

    • El plan de continuidad de negocio garantiza las operaciones normales de la empresa en caso de un incidente.
    • Se establecen planes de contingencia para mitigar riesgos y minimizar impactos.

    Para qué sirve el plan de continuidad de negocio?

    • Restaurar las operaciones tras un incidente.
    • Proteger la reputación de la empresa.
    • Prevenir pérdidas económicas.
    • Garantizar el servicio al cliente y el cumplimiento de plazos.
    • Se puede anticipar a riesgos y preparar planes para emergencias catastróficas.

    Cómo se ejecuta el plan de continuidad de negocio?

    • Se lleva a cabo en etapas:

      Determinación del alcance

      • Se clasifican las áreas de la empresa según la prioridad y se identifican las más vulnerables.

      Análisis de la empresa

      • Se recopila información sobre los procesos críticos y se identifican sus necesidades y soporte.

      Determinación de la estrategia

      • Se determina la capacidad de recuperación de los activos críticos en corto plazo.
      • Se establecen estrategias para casos que requieren un tiempo de recuperación mayor.

      Respuesta a la contingencia

      • Se seleccionan las estrategias a implementar en caso de desastre.
      • Se crea un plan de crisis con toda la información relevante.

      Pruebas, mantenimiento y revisión

      • Se utilizan recursos tecnológicos para crear planes de prueba, mantenimiento y revisión.

      Concienciación

      • Se genera una cultura de conocimiento del plan de acción y se define el rol de cada empleado en el mismo.

    Ventajas del plan de continuidad de negocio

    • Se mantiene el nivel de servicio dentro de límites predefinidos.
    • Se establece un periodo de recuperación.
    • Se determina la capacidad de la empresa para afrontar riesgos de alto impacto.
    • Se mitiga el riesgo de interrupción de servicios.
    • Se gestionan las crisis protegiendo la integridad de las personas y los activos de la empresa.
    • Se garantiza un flujo efectivo de comunicación interna y externa durante una crisis.
    • Se garantiza el principio de “empresa en marcha” para recuperar la operativa crítica lo antes posible.
    • Se minimizan las pérdidas, se contiene el impacto y se minimiza la probabilidad de errores.

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Related Documents

    Description

    Este cuestionario explora los fundamentos del alcance de proyectos centrados en activos y procesos. A través de preguntas clave, se abordará cómo se evalúan y priorizan los sistemas críticos de una organización. También se analizará la importancia del RTO y los recursos necesarios para la continuidad del negocio.

    More Like This

    Use Quizgecko on...
    Browser
    Browser