PROYECTO FIN DE CARRERA
BUSINESS CONTINUITY PLANNING PARA REDES SOCIALES
AUTOR: CÉSAR ORTEGA VELASCO
MADRID, SEPTIEMBRE DE 2010
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)
INGENIERO EN INFORMÁTICA
Business Continuity Planning para redes sociales
I
AGRADECIMIENTOS
Actualmente no habría sido posible llegar a este punto en mi vida, momento
en el que tengo que agradecer un proyecto fin de carrera, si no hubiese obtenido la
esperanza, pasión, alegría, estimación y humanidad de numerosas personas. Por
todas estas personas agradezco que este momento haya podido ocurrir. Me gustaría
agradecer a mis apreciados compañeros de mi antiguo colegio Alfonso VI, a mis
amigos de la urbanización Las Perdices, a mis apreciados compañeros que me
acompañaron en mi instituto Universidad Laboral, a mis apreciados compañeros que
convivieron conmigo en el colegio mayor San Agustín y a mis apreciados
compañeros de la Universidad Pontificia Comillas.
Además, quiero dedicar en especial unas palabras a mis padres y hermana, ya
que son ellos los que se preocupan, de igual manera que yo por ellos, de que el futuro
de nuestra familia sea una combinación de momentos felices, sentimientos felices y
propósitos felizmente cumplidos. También agradecer a mis tíos y tías, a mi abuela y
a mis primos, que me han acompañado durante mi carrera, preocupándose por mí.
Por último, me gustaría dedicar unas últimas palabras a mis profesores, a los
que se han dedicado y a los que actualmente se dedican a aprobar el esfuerzo para
continuar prolongando nuestra realidad hacia futuras generaciones, de manera que
seamos cada vez más capaces de convivir de la mejor manera posible.
Business Continuity Planning para redes sociales
II
RESUMEN
El proyecto de fin de carrera, que recorre las páginas de este escrito, se
relaciona con uno de los procesos que a menudo integra una compañía que cuenta
con un sistema de gestión de la seguridad de la información. Este proceso se define
como la continuidad de negocio y su objetivo es proporcionar una planificación de lo
que se debe de hacer desde dos perspectivas unificadas, la de continuidad de las
actividades del negocio, así como la de recuperación ante desastres. La planificación
de estas dos perspectivas intenta asegurar la sostenibilidad de una empresa para que
“el día de mañana” un inconveniente como puede ser la pérdida de datos, pérdida en
la capacidad de comunicaciones, pérdida de instalaciones por desastres naturales…
no produzca una interrupción de las actividades del negocio o, lo que puede ser peor,
el cese definitivo del de la empresa.
Según un estudio realizado por la bolsa de comercio, el 43% de las empresas
norteamericanas que han sufrido las consecuencias de un incidente externo sin contar
con un plan de continuidad de negocio han desaparecido, el 51% sobrevive pero
tarda un promedio de dos años en reinsertarse en el mercado y solo el 6% mantiene
su negocio a largo plazo. Esta perspectiva de la realidad ha aumentado la
preocupación empresarial en el ámbito de la continuidad de sus operaciones en el
futuro. En consecuencia, han surgido organizaciones, instituciones, recomendaciones
por parte de empresas… que han configurado la labor de elaborar normas y
estándares como ISO17799 o BS25999 para identificar una buena manera de integrar
Business Continuity Planning para redes sociales
III
la gestión de la continuidad y poder proveer medidas de éxito para el día a día del
negocio. Además, cada día estos aspectos se van integrando en el contexto
regulatorio o legal de cada uno de los países, ya que solucionan determinadas
situaciones que conforman el mantenimiento de la sociedad.
Para la elaboración de un Plan de Continuidad de Negocio (BCP), se deben
de tener en cuenta diversas actividades que van complementándose unas con otras.
Comenzando por el Análisis de Impacto del Negocio (BIA) que obtiene una
visión global de la empresa para determinar qué estrategia debe seguir la continuidad
del negocio, se identifican cuáles son procesos empresariales que resultan más
críticos de cara a la continuidad, así como cuáles son las amenazas, internas o
externas, que puedan afectar de manera más directa a cada uno de los procesos
empresariales.
Prosiguiendo con la evaluación de las diversas estrategias de continuidad, se
puede seleccionar cuales cumplen con las necesidades de continuidad ajustándose de
mejor manera al perfil de costes de la empresa. La selección de cada una de las
estrategias permite la elaboración de planes que determinen lo que hay que hacer en
caso de emergencias, desastres o fortalecimiento de la continuidad de negocio. Estos
planes deben ser implantados y probados, de tal manea que cuando se tengan que
llevar a cabo cada persona esté concienciada y sepa la responsabilidad que debe
acatar, y cumplan su objetivo.
Business Continuity Planning para redes sociales
IV
Por último, la gestión de continuidad necesita de una sucesiva adaptación en
el tiempo de los diversos planes al entorno del negocio, así como una evaluación de
su empleo, para lo que se cuenta con la especificación de unas medidas de
mantenimiento.
Estas páginas han tenido en cuenta todas estas tareas y se dedican a la
implantación de un Plan de Continuidad de Negocio (BCP) en una empresa
denominada RED SOCIAL (sin forma jurídica) que dedica su compromiso a
proporcionar un servicio por medio de una red social en Internet. Dicha empresa se
encuentra en un estado muy reciente de creación en su ciclo de vida. Por lo tanto esta
planificación de la continuidad podrá ir proporcionando un asentamiento para ir
logrando cierta madurez en el futuro.
Business Continuity Planning para redes sociales
V
ABSTRACT
The final degree project that looks through the pages of this text relates to a
process which often integrates a company with a system of safety management of
information. This process is defined as business continuity and aims to provide a
planning what should be done from two unified perspectives, the continuity of
business activities, as well as disaster recovery. Planning for these two perspectives,
seeks to ensure the sustainability of a company that "tomorrow" may be an
inconvenience and loss of data, loss of communications capacity, loss of facilities by
natural disasters ... not a disruption business activities, or what could be worse, the
termination of the company.
According to a study by the stock market, 43% of Americans companies that
have suffered the consequences of an external incident without a business continuity
plan have disappeared, 51% survive but it takes an average of two years reintegrate
into the market and only 6% keeps your business long term. This view of reality has
been growing concern in the field of business continuity of its operations in the
future. Consequently, there have been organizations, institutions, recommendations
by companies ... that have shaped the work of developing rules and standards such as
ISO17799 and BS25999 to identify a good way to integrate the management of
continuity, and to provide measures of success for everyday business. In addition,
each day, these aspects are integrating in the regulatory or legal context of each
Business Continuity Planning para redes sociales
VI
country, because they solve determined situations that are in accordance in keeping
of the society.
For the development of a Business Continuity Plan (BCP) should take
account of various activities that will complement between them.
Starting the Business Impact Analysis (BIA) you get an overview of the
company to determine what strategy must go on the business continuity, which are
identified business processes that are most critical towards the continuity, such as
threats, internal or external, which may affect more directly to each business process.
Continuing with the evaluation of the various strategies of continuity, you
can select which aims the needs of continuity that adjusts the best cost profile of the
company. The selection of each one of these strategies allow for the preparation of
plans to determine what to do in emergencies, disasters or strengthening of business
continuity. These plans must be implemented and tested, in the way they have to
carry out each person is aware and knows the responsibility that must abide, and
fulfils its purpose.
Finally, continuity management requires a subsequent adaptation at the time
of the various plans the business environment and an assessment of their execution,
bearing in mind the specification of maintenance measures.
Business Continuity Planning para redes sociales
VII
These pages have been taken into account all these tasks and are dedicated to
the implementation of Business Continuity Plan (BCP) in a company denominated
RED SOCIAL (unincorporated) who dedicates his commitment to provide a service
through a social network on the Internet. This company is found in a very recent
creation in its life cycle, so this continuity planning might be providing an
emplacement to be gaining some maturity in the future.
Business Continuity Planning para redes sociales
VIII
ÍNDICE
INTRODUCCIÓN AL PROYECTO ....................................................................... 1
1. Motivación del proyecto ............................................................................. 1
2. Objetivos del proyecto ................................................................................ 2
3. La empresa: RED SOCIAL........................................................................ 4
3.1. Visión, misión y valores del negocio ................................................... 5
3.2. Dirección y organización ..................................................................... 6
3.3. Descripción del servicio de la organización ....................................... 9
3.4. Línea base de negocio. ....................................................................... 10
3.5. Infraestructura tecnológica de seguridad ........................................ 12
DESARROLLO Y MANTENIMIENTO DEL PLAN DE CONTINUIDAD DEL
NEGOCIO ................................................................................................................ 13
PARTE I. ANÁLISIS PARA LA IMPLEMENTACIÓN ................................. 17
1. Diagnóstico situación actual (análisis externo) ....................................... 17
1.1. Factores económicos .......................................................................... 17
1.2. Factores político-legales y socioculturales ....................................... 19
1.3. Factores tecnológicos ......................................................................... 21
Business Continuity Planning para redes sociales
IX
2. Análisis de Impacto en el Negocio (análisis interno) .............................. 30
2.1. Identificación de las actividades o procesos de RED SOCIAL ...... 32
2.2. Determinación de los requerimientos de continuidad críticos....... 36
2.3. Evaluación de riesgos para BIA: mapa de riesgos .......................... 39
PARTE II. DISEÑO PARA LA IMPLEMENTACIÓN ................................... 46
1. Roles y responsabilidades asociadas al BCM ......................................... 46
2. Política de continuidad de negocio........................................................... 51
3. Análisis de alternativas y selección de la estrategia de continuidad y
recuperación ante desastres ..................................................................... 54
3.1. Información para la elección de estrategias. ................................... 55
3.2. Estrategias de recuperación .............................................................. 66
3.3. Selección de la estrategia ................................................................... 76
4. Recuperación de desastre: Actividades, recursos y personal ................ 83
4.1. Plan de emergencia ............................................................................ 84
4.2. Plan de continuidad de negocio ........................................................ 89
4.3. Plan de recuperación ante desastres (DRP) .................................... 90
PARTE III. IMPLEMENTACIÓN DE PLANES ............................................. 99
Business Continuity Planning para redes sociales
X
1. Gestión y coordinación de la implantación ............................................. 99
1.1. Plan de concienciación ....................................................................... 99
1.2. Plan de formación ............................................................................ 101
2. Procedimientos de pruebas..................................................................... 104
PARTE IV. EVALUACIÓN Y MANTENIMIENTO ..................................... 109
1. Mantenimiento del plan de continuidad ............................................... 109
2. Mejora continua del plan de continuidad ............................................. 110
PLANIFICACIÓN Y VALORACIÓN ECONÓMICA DEL PFC .................. 112
1. Organización del proyecto ...................................................................... 112
1.1. Organigrama .................................................................................... 112
1.2. Paquetes de trabajo ......................................................................... 114
1.3. Planificación ..................................................................................... 117
1.4. Control .............................................................................................. 118
2. Valoración económica del proyecto ....................................................... 118
CONCLUSIONES ................................................................................................. 120
BIBLIOGRAFÍA ................................................................................................... 122
ANEXOS ................................................................................................................. 124
Business Continuity Planning para redes sociales
XI
A. Glosario de términos ............................................................................... 124
B. Legislación vigente .................................................................................. 145
a) LSSI-CE ................................................................................................ 145
b) LOPD .................................................................................................... 150
c) LISI ....................................................................................................... 152
d) Ley de firma electrónica ..................................................................... 153
C. Índice de tablas y gráficos ...................................................................... 154
Business Continuity Planning para redes sociales
1
INTRODUCCIÓN AL PROYECTO
Este proyecto define una formalización basada sobre guías y estándares
referentes a buenas prácticas, para el proceso de gestión y documentación adecuada
de un plan de continuidad del negocio que se integra como una parte de la estrategia
completa de seguridad de la información para un entorno tan actual como es Internet,
concretamente para la actividad de una empresa que va a instaurar una red social.
1. Motivación del proyecto
Se podrían establecer dos motivos mediante los cuales el autor de este
proyecto fundamenta su elaboración:
Por un lado, la situación económica actual, se constituye por las necesidades
que han aparecido en los últimos veinte años debido a las mejoras tanto en
comunicación como en posibilidades de cálculo y almacenamiento de la información,
mejoras consignadas a los ordenadores y en consecuencia, a Internet. Este cambio de
rumbo establece nuevas vías en la manera de obtener rendimientos económicos ya
que por un lado permite la explotación de un mercado hasta ahora inexistente y al
mismo tiempo establece una nueva necesidad de adaptabilidad al entorno
competitivo. Este cambio o mejora de funcionalidad empresarial, que origina la
necesidad de incorporación de tecnologías de información y la comunicación (TIC) a
las actividades empresariales y que ya se ha asentado en sociedades como la
Business Continuity Planning para redes sociales
2
española, se encuentra en periodo de madurez de tal manera que su aprendizaje se
está interponiendo en las necesidades de convivencia de modo justo y razonable. Por
lo tanto, poco a poco se obtiene una manera correcta en cuanto a la utilización de los
nuevos recursos de información y comunicación. La motivación de este proyecto es
proporcionar una base para la continuidad y recuperación de desastres para una
actividad empresarial establecida como una red social (mediante portal web), de tal
manera que se consiga un enfoque de mejores prácticas de tecnologías de
información hacía un caso real. Además, al ser tan parecidas las amenazas y las
soluciones para asegurar la continuidad de negocio en cada uno de los entornos
empresariales con gestión activa web (portales o páginas web de difícil gestión y
elevado número de usuarios), mediante la publicación de este proyecto se pretende
ayudar a madurar no tan solo la actividad específica de red social, sino que también
sirve a modo de preceptor para otras actividades web como periódicos digitales,
foros de comunicación…
Por otro lado, el segundo motivo es que el autor de este proyecto de fin de
carrera pueda ir estableciendo su profesionalidad en uno de los terrenos que más le
apasionan del conjunto de la Informática, el de la seguridad.
2. Objetivos del proyecto
El propósito principal es implantar y documentar un Plan de Continuidad del
Negocio concorde con la visión, misión y valores de la empresa RED SOCIAL
(detallada más adelante) y asegurar las TIC en el largo plazo, para permitir al
Business Continuity Planning para redes sociales
3
negocio continuar con sus operaciones en caso de una interrupción y restaurar los
servicios normales tan rápida y eficazmente como sea posible. Este plan contempla la
necesidad de dos objetivos conjuntos, la realización tanto del plan de continuidad
como del plan de recuperación de desastres (DRP), de tal manera que ambos planes
sean congruentes entre sí.
NOTA: En una situación de continuidad en el negocio se utilizará el
primer plan mencionado y en el momento en que dicha
continuidad se vea afectada, pasará a usarse el segundo plan
(DRP) para conseguir volver a un estado de normalidad en el
menor tiempo posible, minimizando el efecto de la interrupción e
intentando asegurar la normalidad.
Para llevar a cabo cada objetivo, se procederá a realizar durante este proyecto
el proceso de desarrollo y mantenimiento del Plan de Continuidad del Negocio que
conlleva los siguientes subobjetivos:
• Realizar un análisis de impacto al negocio (BIA) del efecto que tendría la
perdida de procesos de negocio críticos para la organización identificando
y priorizando los sistemas y otros recursos que se requieren para soportar
estos procesos.
• Elegir estrategias apropiadas para recuperar al menos los equipos de
sistemas de información suficientes para soportar los procesos de negocio
críticos hasta que estén disponibles los equipos completos.
Business Continuity Planning para redes sociales
4
• Desarrollar el plan detallado para recuperar los equipos de sistemas de
información.
• Desarrollar un plan detallado para las funciones de negocio críticas para
continuar operando a un nivel aceptable.
• Facultar al personal sobre cómo seguir los planes.
• Probar los planes.
• Dar mantenimiento a los planes a medida que cambia el negocio y se
desarrollan los sistemas.
• Almacenar los planes para que se pueda acceder a ellos a pesar de fallar
los equipos y/o la red.
• Auditar los planes.
Por otro lado, también se debería considerar como objetivo aprobar la
asignatura de proyecto fin de carrera para finalizar satisfactoriamente la titulación de
Ingeniería en Informática y a la vez alcanzar cierto nivel de conocimientos
profesionales sobre la seguridad de las TIC.
3. La empresa: RED SOCIAL
RED SOCIAL se trata de una empresa de reciente constitución sin forma
jurídica.
Business Continuity Planning para redes sociales
5
Se establece en España para encargarse del ofrecimiento de una extensa
función de comunicación a través de un portal en Internet, basado en la interacción
de usuarios a través de medios multimedia (fotografías, videos…) y comentarios
escritos (entre otros servicios). Al ser accesible a través de Internet, se posibilita su
utilización a cualquier persona que tenga acceso a la red de redes. Aunque su
dimensión todavía no está determinada exactamente y no cuenta con un plan de
seguridad concreto, a continuación se describen aspectos de su naturaleza que
aportan en un distinto grado un acercamiento en el compromiso de adecuar la gestión
de continuidad de negocio (GCN) a RED SOCIAL.
3.1. Visión, misión y valores del negocio
Las palabras adecuadas que definen la idea de RED SOCIAL podrían ser
muchas. Al ser un negocio por Internet, se puede aprovechar más el acercamiento
entre personas. Este apartado se lograría gracias a la ventaja de la comunicación (que
posibilita la opción de mantenerse en contacto en todo momento,…), es decir la
ventaja de poder comentar… En definitiva, el acercamiento define la siguiente
visión.
“Se puede ser más libre.”
Establecer una misión de una red social es definir su propio concepto y
reafirmar la anterior visión.
Business Continuity Planning para redes sociales
6
“Hacer posible una comunidad en Internet donde las personas puedan
compartir intereses y actividades.”
Por último, los valores son una característica fundamental para establecer una
sociedad, ya que sin ellos no se podría orientar el rumbo hacia donde “soplan las
velas del barco”. Estos valores que irán manteniéndose y reforzándose constante
durante el ciclo de vida de la empresa, se basan en la directa condescendencia con la
sociedad actual, como con la transparencia, que ningún usuario se sienta engañado,
o el acercamiento, que ningún usuario sienta que no se le está tomando en cuenta, o
en la seguridad, que los usuarios puedan ofrecer absoluta confianza sin temer por su
confidencialidad. Así la organización permitirá una sostenibilidad en el futuro, ya
que sus valores son basados en principios éticos indiscutibles de manera que cada
sociedad se sienta interconectada culturalmente con cualquier actividad conjunta con
RED SOCIAL.
3.2. Dirección y organización
La cultura empresarial de RED SOCIAL administra su acción enmarcada en
la realidad actual de nueva empresa estableciendo así las diversas políticas de la
compañía para cumplir con los compromisos y obligaciones derivados de las
necesidades actuales tanto de responsabilidad social, legalidad, profesionalidad,
financiación, así como de calidad, servicio y seguridad. Este proyecto va a ir
adecuando las medidas necesarias, en cuanto a la seguridad.
Business Continuity Planning para redes sociales
7
Una de las necesidades es ofrecer una buena definición de la organización,
debido a que posteriormente se irán analizando los distintos procesos de negocio para
identificar los distintos “puntos débiles” que puedan afectar a la continuidad de
negocio. Estos procesos o unidades de negocio han quedado definidos, de manera
estratégica de forma que se pudiese establecer un sistema de planificación y control,
de la siguiente manera:
Gráfico 1. Procesos de negocio de RED SOCIAL
En la siguiente tabla se describe cada uno de los procesos o unidades de
negocio en función de las distintas áreas:
Área de Aplicaciones
Análisis, Calidad y
Tecnologías
Diseño, Operatividad y
Usabilidad
Programación
Arquitecturas Móvil
Área Financiera
Clientes
Proveedores
Inversiones y Financiación
Área de Legislación
Legalidad
Defensa del usuario
Área de Recursos Humanos
Contratación
Formación
Comunicación Interna
Área de Comunicaciones
Relaciones Internas
Relaciones externas
Área Comercial
Desarrollos e innovación
Marketing y Servicios
Operaciones
Áreas de Administración
Normativas
Soporte al usuario
Seguridad
Gestión de servicio y
mantenimiento
Gestión TI y Redes
Área de dirección
Decisiones estratégicas.
Normas y políticas.
Business Continuity Planning para redes sociales
8
Área Descripción breve Procesos
Aplicaciones
Se dedica a la gestión y desarrollo de las aplicaciones, tanto para el entorno web para equipos como
para dispositivos móviles.
• Desarrollo de aplicaciones (Análisis, Diseño, Programación y Pruebas).
• Aseguramiento del entorno operativo (real y de pruebas) y de la usabilidad así como la gestión posterior al desarrollo del diseño funcional, visual, de interacción y de desarrollo.
• Implementación de nuevas tecnologías. • Aseguramiento de la Calidad y versiones.
Financiera
Es la encargada de establecer cualquier función directamente
relacionada con la actividad económica de la empresa.
• Gestión de los clientes. • Gestión de los proveedores. • Gestión de las inversiones y la
financiación.
Legislación
Resuelve los aspectos legales que conciernen a la actividad normal de
la empresa.
• Asesoramiento, comunicación e implantación de las medidas legales.
• Aseguramiento de las regulaciones tanto legales como sociales y de valores empresariales referentes a la protección sobre el uso del portal web.
• Educar e informar a los usuarios.
Recursos Humanos
Área encargada de las personas que están trabajando actualmente en la
empresa y de los futuros trabajadores.
• Contratación de nuevo personal. • Formación para el cumplimiento de los
objetivos de negocio. • Comunicaciones referentes a cualquier
aspecto en relación a la gestión del personal
Comunicaciones
Sección centralizada y en la medida de lo posible automatizada, de todas las comunicaciones de la compañía,
tanto internas como externas.
• Comunicación con usuarios, colaboradores o con cualquier otra entidad externa.
• Comunicación de cualquier tipo hacia las áreas de destino de la información.
Comercial
Mantiene el entorno operativo de realización estratégica y se encarga
de promover la innovación.
• Es la pionera en la gestión del desarrollo y la innovación dentro de la compañía.
• Realiza Marketing promoviendo campañas y ofreciendo servicios.
• Se encarga de la gestión de las operaciones así como de su evaluación y gestión.
Administración
Su función es permitir el correcto funcionamiento de procesos críticos
para el negocio.
• Se encarga de la implantación estratégica de las nuevas normativas.
• Dispone la evaluación y organización del soporte a los usuarios.
• Se encarga de la seguridad. • Ofrece la permisibilidad para la ejecución
del servicio y el mantenimiento. • Gestiona la implantación y organización
de las TIC. • Es el encargado de la red interna de la
compañía,
Dirección Impone la estrategia de la
compañía. • Coordina la consecución de las decisiones
estratégicas. • Elabora las políticas y las normas.
Tabla 1. Descripción de procesos de cada una de las áreas de RED SOCIAL
Business Continuity Planning para redes sociales
9
3.3. Descripción del servicio de la organización
En este punto se explica el servicio que proporciona la organización. No
estaría de menos hacer una referencia a que este tipo de servicio ha generado un
interés de estudio elevado, ya que está conformando una nueva manera de que cada
persona se sienta identificada, además de una nueva forma de aprendizaje y al mismo
tiempo de entretenimiento. Es por todos sabido, ya que se puede observar en las
noticias día a día y ya conforma parte de la propia cultura, que la mayor proporción
de personas que utilizan este servicio se encuentra entre la población joven y
adolescente. Esto genera polémica acerca de la privacidad, lo que ha suscitado que
las empresas que ofrecen este servicio de red social dediquen parte de su trabajo a
mantener la seguridad de sus usuarios. Además existe cierta controversia sobre el uso
de estas redes debido a que se podría dedicar un tiempo excesivo a su utilización
(existe un estudio reciente que ha demostrado que los alumnos en edad escolar no
ven disminuido su rendimiento académico1).
Los distintos servicios de RED SOCIAL son los siguientes:
Para usuarios ofrece un perfil con posibilidades de relación con otros perfiles
(admitidos para interrelación pública con el propio usuario o absolutamente con
todos los usuarios… en función de los distintos niveles permitidos de privacidad)
conformando así redes para relacionarse mediante las siguientes vías:
1 Estudio denominado “Generación 2.0” realizado por la Universidad Camilo José Cela
Business Continuity Planning para redes sociales
10
− Interrelación mediante texto, imágenes, música y/o videos de manera pública.
− Interrelación mediante texto de manera privada usuario a usuario.
− Espacio personal donde se puede incluir texto, imágenes, música y/o videos
de manera pública.
− Organización de eventos.
− Posibilidad de verificar las últimas actualizaciones producidas en la red
propia.
Además ofrece la posibilidad de utilizar aplicaciones internas en el mismo
portal web, pertenecer a distintas agrupaciones con posibilidad de relacionarse
mediante texto, música o video, gestión responsable con el resto de usuarios que no
se encuentran asociados al perfil propio y sistemas para geolocalización de lugares.
Para clientes ofrece la posibilidad de acercar sus anuncios de forma personal
a cada usuario por distintas vías (publicidad específica, realización de concursos,
videos y espacios personalizados, organización de eventos).
3.4. Línea base de negocio.
La filosofía web 2.0 establece nuevas oportunidades de negocio para la
constitución de empresas que ofrezcan servicios aventajados basados en la
integración mediante el ofrecimiento de cierto valor. Esta oportunidad de valor
establece una base de negocio muy característica fortalecida por: la concentración de
individuos, grupos sectorizados o por un gran número de personas de manera
universal. Por lo tanto la línea base, comienza con el registro
posterior utilización constante del servicio, para que
cubrir determinadas necesidades
Actualmente este negocio está caracterizado por
publicidad que otras organizaciones puedan ofrecer, pero poco a poco
apareciendo nuevas vías para la obtención de beneficios.
Business Continuity Planning para redes sociales
11
universal. Por lo tanto la línea base, comienza con el registro en el portal web
posterior utilización constante del servicio, para que durante ese tiempo se puedan
cubrir determinadas necesidades para cada uno de los clientes potenciales.
Actualmente este negocio está caracterizado por basar su rentabilidad en la
otras organizaciones puedan ofrecer, pero poco a poco
apareciendo nuevas vías para la obtención de beneficios.
Gráfico 2. Línea base de negocio de RED SOCIAL
Clientes
Business Continuity Planning para redes sociales
en el portal web y la
tiempo se puedan
a cada uno de los clientes potenciales.
basar su rentabilidad en la
otras organizaciones puedan ofrecer, pero poco a poco van
. Línea base de negocio de RED SOCIAL
Business Continuity Planning para redes sociales
12
3.5. Infraestructura tecnológica de seguridad
RED SOCIAL cuenta actualmente con una DMZ escalable provista de
firewall para una red interna con comunicaciones cifradas, una VPN, niveles de
autenticación de usuarios, y UPS.
DESARROLLODEL PLAN DE CONTINUIDAD DENEGOCIO
El Sistema de Gestión de
empresa RED SOCIAL
establecimiento de procesos y mantenimiento de seguridad,
elaboración de un Plan de Continuidad de Negocio (o PCN) p
Continuidad de Negocio (o GCN)
fin de carrera se encarga de la gestión para llevar a cabo dicho plan
Se va a efectuar mediante
desarrollo y el mantenimiento actual y en el futuro
Business Continuity Planning para redes sociales
13
DESARROLLO Y MANTENIMIENTO DEL PLAN DE CONTINUIDAD DE
El Sistema de Gestión de Seguridad de la Información
empresa RED SOCIAL acomete entre todos sus objetivos propuestos
establecimiento de procesos y mantenimiento de seguridad, su ejecución mediante la
elaboración de un Plan de Continuidad de Negocio (o PCN) para la Gestión de
Continuidad de Negocio (o GCN) como una parte del propio SGSI
fin de carrera se encarga de la gestión para llevar a cabo dicho plan.
e va a efectuar mediante una división en distintas partes que permitan el
el mantenimiento actual y en el futuro:
Gráfico 3. Ciclo de mejora continua adaptado de la GCN. (
Business Continuity Planning para redes sociales
Y MANTENIMIENTO DEL PLAN DE CONTINUIDAD DEL
(o SGSI) de la
propuestos para el
ejecución mediante la
ara la Gestión de
como una parte del propio SGSI. Este proyecto
división en distintas partes que permitan el
de la GCN. (GTAG10)
Business Continuity Planning para redes sociales
14
Este ciclo de mejora continua está basado en el círculo de calidad de Deming,
modelo de proceso que define distintas fases Planear, Hacer, Chequear y Actuar1
facilitando una adaptación del mismo para la Gestión de Continuidad del Negocio
(GCN). En este caso la solución propuesta se basa en ir adaptando la planificación y
desarrollo de la continuidad del negocio desde una primera implementación hacia
futuros cambios debidos al entorno y al mantenimiento del plan actual.
Este proyecto se dedica a elaborar una primera implementación, pero al
mismo tiempo define las medidas necesarias para efectuar cambios en el futuro
asegurando de esta forma el ciclo de vida anterior. Por lo tanto, esta primera
implementación se divide en dos bloques, el desarrollo del plan y su posterior
mantenimiento. A continuación se explica gráficamente (mediante el mismo ciclo
anterior pero utilizando la visión del Business Continuity Institute) a grandes rasgos
cuál es la mejor forma para llevar a cabo el plan de continuidad de negocio:
1 Ver ISO 27001: 2005
Business Continuity Planning para redes sociales
15
Gráfico 4. Ciclo de vida de la GCN (BCI_07)
• La primera fase “Comprender la organización” se define como una fase de
análisis y va a corresponder a la PARTE 1 de esta sección del proyecto.
• La segunda fase “Determinar las opciones de GCN” se define como una fase
de diseño y va a corresponder a la PARTE 2 de esta sección del proyecto.
• La tercera fase “Desarrollar e implantar una respuesta GCN” se define
parcialmente incluida en la fase de diseño, correspondiendo el desarrollo para
la documentación de los planes, PARTE 2 de esta sección del proyecto, y
parcialmente como una fase de implantación que va a corresponder a la
PARTE 3 de esta sección del proyecto.
• La cuarta fase “Probar, Mantener y Revisar” se define parcialmente como una
fase de mantenimiento y va a corresponder a la PARTE 4 de esta sección del
proyecto exceptuando las pruebas que deben pertenecer a la PARTE 3 o fase
de implantación.
Business Continuity Planning para redes sociales
16
De esta manera queda definida la actuación
para una primera implementación del Plan de
Continuidad de Negocio y la continuidad del ciclo
para futuras implementaciones.
Gráfico 5. Ciclo de mejora continua para la GCN (DELO08)
Business Continuity Planning para redes sociales
17
PARTE I. ANÁLISIS PARA LA IMPLEMENTACIÓN
En este apartado se va a proceder a investigar la situación actual de la
continuidad en cuanto a seguridad en el entorno externo de continuidad del negocio
de las redes sociales, y después se va a proceder a efectuar el reconocimiento
concreto de las necesidades de continuidad del negocio de la empresa que concierne
a este proyecto o entorno interno de continuidad del negocio (mediante un análisis
de impacto al negocio).
1. Diagnóstico situación actual (análisis externo)
Se va a proceder a analizar los factores que pueden afectar a la continuidad en
aspectos relativos a la seguridad de la empresa.
1.1. Factores económicos
Aunque actualmente este ciclo económico este popularizado como crisis
mundial, su nivel de apreciación en España y en el mundo en general se encuentra
muy sectorizado. Por lo tanto la repercusión de la crisis mundial no está derivando en
la idea de una falta de desarrollo tecnológico, sino en nuevas vías de progreso. La
política económica se encarga de la tarea de acabar con la crisis mundial buscando
nuevas formas de desarrollo económico gracias a planes de acción que subsanen las
situaciones en mayor peligro.
Business Continuity Planning para redes sociales
18
Entonces, el sector de las tecnologías de la información y la comunicación es
un sector que no sufre peligrosamente debido a la crisis mundial. Las repercusiones
son moderadas, perjudicando sobre todo a quien había “apostado” demasiado fuerte
en sectores muy diferenciados.
La evolución mundial en el campo de la tecnología ha abaratado los costes de
recursos tecnológicos y su escasez aunque a veces es cuestionada, no se va a ver
afectada en un largo plazo. Este “abaratamiento” se puede ver reflejado en la
evolución por nivel de rentas familiar de los usuarios de Internet1:
Gráfico 6. Evolución de los usuarios de Internet por niveles de rentas
En conclusión, se puede afirmar que las TIC suponen un negocio con
rentabilidad futura de tal manera que se pueden utilizar con vistas a asegurar a la
continuidad del negocio.
Por otro lado hay que tener en cuenta que es necesario gestionar la aparición
de nuevas vulnerabilidades en los sistemas, por la aparición de nuevas amenazas
provenientes del entorno cambiante. Es necesario verificar el avance derivado de la
1 Fuente: OASI
Business Continuity Planning para redes sociales
19
innovación de la tecnología (ya que podría promover nuevas vías más rentables para
asegurar la continuidad). Este obstáculo ha permitido la aparición de la
especialización en prestación por parte de organizaciones que ofrecen
subcontratación de servicios por periodos, adecuando el avance (rendimiento) actual
de la tecnología, de manera que permiten eliminar los costes generados por
tecnología anticuada no amortizada.
1.2. Factores político-legales y socioculturales
El mero hecho de que las sociedades se conformen enmarcadas por una
política, genera una vinculación con la información: no pueden vivir una sin la otra.
Por ello, actualmente el mejor recurso para un organismo público es la implantación
de un SGSI sólido. En el momento en que una vulnerabilidad afecte un sistema
crítico de información, confidencial tanto para uno o varios ciudadanos como para un
organismo, podría llegar a romperse el status quo de la sociedad. Por lo tanto los
organismos públicos, así como sistemas que alberguen un gran nivel de información
que pueda afectar a la sociedad (y a su privacidad), deben asegurar un progreso en la
gestión de las tecnologías en el largo plazo o se podría llegar a “manchar” su
imagen.
Es necesario profundizar en los factores legales, analizando los que puedan
influir directamente a la hora de “madurar” cualquier aspecto de este proyecto y
cualquier actividad derivada de este. Por no cargar excesivamente esta parte del
documento, los aspectos legales concernientes a las leyes LSSI-CE, LOPD, LISI y
Business Continuity Planning para redes sociales
20
Ley de firma electrónica se han incluido en el Anexo B, esto no quiere decir que no
presenten importancia, ya que determinados aspectos afectan directamente a la GCN
y por lo tanto habrá que tenerlos en cuenta.
Por último, la era de los ordenadores, y desde la aparición de Internet, se vive
cada día en los hogares, colegios, institutos, universidades, centros de trabajo… hasta
el punto de que cualquier persona que pueda disponer de ello ya lo dispone. Internet
avanzó de tal manera, que es el usuario el encargado de realizar un escudriñamiento.
Al recibir una gran cantidad de información se procede a la desinformación (ley de
rendimientos decrecientes). Para que esto no ocurra, el usuario posiciona sus límites.
Así, las empresas que promocionan en la red, son las que saben definir sus propios
límites lo más cercanos a los necesarios por el usuario. Por ello, para mantener un
negocio en la red de redes, es necesaria una calidad inmejorable en este aspecto
demarcando una necesidad especial en el aseguramiento de la continuidad y
mejoramiento de los servicios que han permitido cubrir necesidades nuevas.
Un estudio demuestra el comportamiento de los usuarios antes citado:
“Gartner estudió el comportamiento de internautas de Estados Unidos, Italia
y Reino Unido para ver cómo el lector llega a la información y la distribuye. El 49%
va a los buscadores generales (Google, Yahoo) para encontrar contenidos; sólo el
20% usa el buscador interno del periódico. El 24% manda la información que les
parece interesante a los amigos vía e-mail o Messenger; apenas el 7% la distribuye
Business Continuity Planning para redes sociales
21
por redes sociales. Cuando encuentran una información interesante, el 52% la lee
inmediatamente y el 9% la guarda.”
1.3. Factores tecnológicos
Este punto es el que afecta de mayor manera a la continuidad del negocio, ya
que actualmente existen soluciones que han conseguido proporcionar mayor
seguridad a la empresa para evitar interrupciones y para recuperar los sistemas sin
consecuencias desastrosas. Las siguientes tablas especifican una visión aproximada a
los distintos tipos de tecnología que existen actualmente1 (JAPA06) (DELV02), y
aunque existan más tecnologías que se explicarán más adelante, estas son las más
utilizadas:
1 Información obtenida de la bibliografía y blogs especializados.
Business Continuity Planning para redes sociales
22
Tecnología Descripción Tipos
Firewalls
Sistema que implanta una política de
control de accesos entre dos redes para
autorizar accesos. Existen distintos tipos
(lo habitual es que existan
configuraciones hibridas, de varios
tipos):
Filtros de
paquetes a nivel
IP
(inspeccionando
cabeceras de
paquetes IP)
Proxy de
aplicación
Inspección de
estados
Tecnología Descripción
Switches, Routers
Se basan en transferir y enrutar
información entre redes (estandarizadas
para usar el mismo protocolo) y sus
objetivos de seguridad ofrecen distintas
posibilidades como establecer los
equipos a los que se les permite su
utilización, contraseñas de acceso…
Business Continuity Planning para redes sociales
23
Tecnología Descripción
Sistemas de
detección de intrusos
(IDS)
Tecnología basada en análisis de
protocolo o en pattern-matching para
protección y detección en tiempo real de
ataques mediante interfaz Ethernet.
Tecnología Descripción
Sistemas de
prevención de
intrusos (IPS)
Es parecido a un IDS, ya que tiene la
misma funcionalidad de detección, pero
además se encarga de prevenir contra
intrusiones actuando de forma proactiva
(se conecta en medio de la red cortando
la conexión).
Business Continuity Planning para redes sociales
24
Tecnología Descripción Tipos
Técnicas
criptográficas
Se puede expresar como el conjunto de
técnicas que permiten asegurar que un
mensaje solo es entendible por aquel al
que va dirigido. Estas técnicas permiten
además, asegurar que el mensaje no se
ha modificado, reconocer al emisor del
mensaje, probar la emisión y recepción
del mensaje, etc.
Criptografía de
clave pública.
(Asimétrica)
Tipos:
RSA, DH, El
Gammal, DSA,
Criptografía de
clave privada.
(Simétrica)
Tipos:
DES, 3DES,
IDEA, AES,
CAST,
BLOWFISH,
RC2, RC5, RC4
Tecnología Descripción
Firmas Digitales
Método criptográfico que asocia la
identidad de una persona o de un equipo
informático al mensaje o documento
asegurando la integridad y el no repudio
mediante una función hash.
Business Continuity Planning para redes sociales
25
Tecnología Descripción Tipos
Tarjetas inteligentes
Cualquier tarjeta del tamaño de un
bolsillo con circuitos integrados que
permiten la ejecución de cierta lógica
programada utilizadas para
identificación, control de acceso, firma
digital, monedero electrónico...
Tarjetas de
memoria
Tarjetas con
microprocesadores
y memoria.
Tecnología Descripción
Sistemas de acceso
mediante
contraseñas
Proporciona una estructura definida de
autorización para el acceso a la
información. Pueden ser con posibilidad
de acceso ilimitado, limitados, de un
solo acceso, control limitado, de control
dual…
Business Continuity Planning para redes sociales
26
Tecnología Descripción
Seguridad
inalámbrica
Es la seguridad encargada de las
transmisiones de información mediante
el uso de redes inalámbricas. Las
medidas habituales son que las redes se
mantengan encriptadas mediante
contraseñas (como WPA o WEP),
permitan el acceso a equipos
determinados, no emitan identificador
de emisión… y técnicas más avanzadas
como detección de duplicación de
subredes, salvaguarda de spoofing…
Tecnología Descripción
Seguridad de
aplicación
Es la tecnología que brinda seguridad a
nivel de aplicación como puede ser un
antivirus, un sistema de respaldo
(backup)…
Business Continuity Planning para redes sociales
27
Tecnología Descripción
Acceso remoto
(VPN)
Proporcionan confidencialidad en redes
IP reduciendo costes en las
comunicaciones mediante accesos
remotos, comunicaciones seguras entre
oficinas, teletrabajo…
Tecnología Descripción
Sistemas de Backup
Permiten una gestión en distintos
niveles (en función de las políticas
establecidas) de respaldo de datos ante
incidentes que produzcan perdida de los
datos originales para que estos sigan
existiendo y puedan ser recuperados. Su
utilización se deriva de los fallos o
deterioro de los dispositivos de
almacenamiento de la información.
Tecnología Descripción
Técnicas web de
seguridad
Son las técnicas utilizadas para asegurar
tanto la navegabilidad como la descarga
por Internet, usar antivirus, listas de
sitios de confianza, encriptación…
Business Continuity Planning para redes sociales
28
Tecnología Descripción
Seguridad
perimetral
Sistemas encargados de asegurar la
seguridad física de las instalaciones. Sus
principales posibilidades potenciales
son el uso de sensores, alarmas, video
vigilancia, redes de comunicación
integradas (y otras tecnologías para el
aseguramiento de la seguridad por
medio de los vigilantes y encargados).
Tecnología Descripción
Video vigilancia IP
Cámaras de video que transmiten las
imágenes que captan a través de las
redes y sistemas inalámbricos
suponiendo un coste total menor con
respecto a la video vigilancia analógica.
Business Continuity Planning para redes sociales
29
Tecnología Descripción Tipos
Técnicas biométricas
Se tratan de sistemas de autenticación
basados en características del individuo
con la ventaja de utilizar patrones que
no pueden perderse o ser sustraídos
como las huellas dactilares.
Estáticos: atiende
a la anatomía del
usuario (huellas
digitales,
reconocimiento
facial…)
Dinámicos:
estudian el
comportamiento
humano (voz,
firma…)
Tabla 2. Descripción de tecnologías de seguridad existentes.
NOTA: La página web www.icsalabs.net, proporciona una
certificación de soluciones de tecnologías existentes
actualmente en el mercado (JAPA06).
Por último, la mejora de la tecnología sorprende día a día con su innovación,
por lo tanto (como ya se ha mencionado en los factores económicos) hay que
mostrarse atento a estas mejoras para poder incorporarlas al negocio en caso de que
aporten alguna optimización para la rentabilidad fortaleciendo alguno de los procesos
de negocio. Es decir, hay que mantenerse actualizado respecto a las tecnologías de
seguridad para elegir las medidas apropiadas para proteger la información.
Business Continuity Planning para redes sociales
30
2. Análisis de Impacto en el Negocio (análisis interno)
Un análisis de Impacto de Negocio (Business Impact Analasys - BIA) es el
proceso de análisis de las funciones de negocio y del efecto que una interrupción de
negocio podría tener sobre ellas (BSI_06).
El tipo de riesgo comercial de una organización que se trata de reconocer en
este análisis interno, surge por las interrupciones inesperadas de las funciones
críticas. El reconocimiento de cada una de estas funciones críticas se realiza para el
aseguramiento de la continuidad del nivel mínimo de los servicios que se requieren
para soportar las operaciones del negocio. La manera idónea de efectuar dicho
reconocimiento debe contemplar la evaluación de los riesgos, identificando y
registrando los recursos que sean más importantes para la organización y la
criticidad en sus interrupciones, de modo que posteriormente se puedan diseñar
planes de respuesta y recuperación para orientar a las personas y equipos sobre los
procedimientos que se deben seguir.
Esta es la metodología que permite continuar con el negocio después de una
interrupción y precisa este BIA para alcanzar los siguientes objetivos:
• Describir la misión de las distintas unidades de negocio.
• Identificar las funciones que caracterizan a cada unidad de negocio.
• Identificar tiempos de proceso críticos para cada proceso o área de negocio.
Business Continuity Planning para redes sociales
31
• Estimar el impacto de cada tipo de incidente.
• Estimar el tiempo probable de recuperación para cada tipo de incidente.
AVISO: El análisis de riesgos es una actividad ya muy definida por las
instituciones que se dedican a definir el marco de los SGSI de
una organización. Sin embargo, el Análisis de Impacto de
Negocio contempla este análisis desde una perspectiva
diferente (ya que lo que se trata de obtener son tiempos de
respuesta y no probabilidades directas de impacto). Dicho de
otro modo, una evaluación del riesgo para determinar la
probabilidad e impacto de dichas interrupciones, en términos
de tiempo, escala del daño y período de recuperación.
(ISOI05).
El Business Continuity Institute demuestra esto, con la
siguiente tabla (BCI_07) donde compara la gestión de riesgos
con la gestión de continuidad de negocio:
Business Continuity Planning para redes sociales
32
Tabla 3. Comparación entre Gestión de Riesgos y GCN.
La finalidad de las tareas que cumplimentan cada uno de los objetivos
mediante el análisis de las unidades de negocio y sus relaciones así como el
análisis de riesgos, deberán identificar los procesos de negocio que puedan requerir
estrategias de recuperación.
2.1. Identificación de las actividades o procesos de RED SOCIAL
Para entender las distintas funciones de cada una de las áreas de negocio y su
misión, primero se define cada uno de los procesos relevantes para la continuidad del
negocio así como sus dependencias (se han excluido las funciones del área de
dirección y las dependencias directas hacia ella):
Business Continuity Planning para redes sociales
33
Procesos Dependencias directas
Administración
Implantación de normativas Cualquier unidad de negocio (en función de la normativa),
instituciones de norma, recursos humanos (formación) Soporte a usuarios Comunicaciones externas, usuarios, aplicaciones
Gestión de la seguridad Cualquier unidad de negocio (en función de la medida de
seguridad), recursos humanos (formación)
Gestión del servicio Cualquier unidad de negocio (en función del servicio a
gestionar), recursos humanos (formación), comunicaciones de usuarios y clientes (refinamiento servicio)
Mantenimiento Cualquier unidad de negocio (en función de la necesidad de
mantenimiento), recursos humanos (asignación de personal), peticiones de recursos de mantenimiento
Incorporación y organización de TIC Cualquier unidad de negocio (en función de la TIC),
mercados TIC (análisis)
Gestión de la red interna Cualquier unidad de negocio (en función de la necesidad de red), recursos humanos (asignación de personal), peticiones
de recursos de red, seguridad
Comercial
Innovación y desarrollo Aplicaciones, mercado, inversiones
Gestión del Marketing Mercado, innovación y desarrollo, inversiones, desarrollo
de aplicaciones
Gestión de las operaciones comerciales Cualquier unidad de negocio (en función de la necesidad de
la comunicación interna), clientes, proveedores, usuarios
Comunicaciones
Comunicaciones internas Cualquier unidad de negocio (en función de la
comunicación)
Comunicaciones externas Clientes, proveedores, usuarios, compañías de envío
públicas y privadas
Recursos Humanos
Gestión de RRHH Comunicaciones internas, comunicaciones externas,
seguridad
Formación de RRHH Comunicaciones internas, inversiones, gestión del servicio,
gestión de la formación (localización, profesores…)
Legislación
Gestión legal Cualquier unidad de negocio (en función de la aspecto
legal), organismos públicos, seguridad
Protección de usuarios Usuarios, organismos públicos, seguridad
Financiera
Gestión financiera de clientes Clientes, gestión del servicio
Gestión financiera de proveedores Proveedores, gestión del servicio
Gestión de inversiones y financiación Bancos y/o cajas, Cualquier unidad de negocio (en función
del proyecto)
Aplicaciones
Desarrollo de aplicaciones Aplicaciones, innovación y desarrollo, normativas, gestión
legal, gestión del servicio, mantenimiento, gestión TIC, seguridad
Gestión del entorno operativo Aplicaciones, soporte a usuarios, gestión de calidad y
versiones
Gestión de la usabilidad Aplicaciones, soporte a usuarios, gestión de calidad y
versiones
Implementación de tecnologías Incorporación y organización de las TIC, Gestión del
Servicio, seguridad
Gestión de calidad y versiones Aplicaciones, Soporte a usuarios, análisis de aplicaciones
Tabla 4. Procesos de RED SOCIAL y dependencias directas.
Business Continuity Planning para redes sociales
34
AVISO: Es necesario mencionar, que un cambio en los procesos de
negocio aquí definidos, hará necesaria la realización de nuevo
de un análisis de impacto del negocio, ya que las estrategias
de recuperación podrían ofrecer soluciones distintas, podrían
desaparecer algunas o aparecer nuevas más sugerentes.
A continuación se describe la misión de cada proceso de negocio. Esta
definición debe permitir percibir ya cuales procesos van a resultar más críticos para
la continuidad de negocio. Sin embargo, en el futuro pueden repercutir determinados
procesos que no se hayan tenido en cuenta en este momento pudiendo identificar un
nivel de criticidad para la continuidad del negocio por ahora poco apreciable. (Como
ya se ha explicado anteriormente, en este momento no se está consolidando el plan
de continuidad de negocio, si no que va a ser un elemento integrante en un ciclo de
vida que irá refinando determinados aspectos a lo largo del tiempo, esta es una
primera implementación.)
Business Continuity Planning para redes sociales
35
Procesos Misión
Administración
Implantación de normativas Aplicar normativa existente y nueva
Soporte a usuarios Soporte a usuarios de la aplicación Gestión de la seguridad Seguridad integral: física, lógica
Gestión del servicio Mejora y actualización del servicio interno y externo
Mantenimiento Mantener los sistemas
Incorporación y organización de TIC Registrar e integrar TIC Gestión de la red interna Diseño, problemas… de la red interna
Comercial
Innovación y desarrollo Expandir horizontes
Gestión del Marketing Desarrollar el Marketing
Gestión de las operaciones comerciales Negociar y acordar
Comunicaciones
Comunicaciones internas Centralizar y automatizar comunicaciones internas
Comunicaciones externas Centralizar comunicaciones externas
Recursos Humanos
Gestión de RRHH Contratar, promocionar organización a trabajadores
potenciales, gestionar nóminas
Formación de RRHH Formar a empleados
Legislación
Gestión legal Incorporar el marco legal a la compañía
Protección de usuarios Defender la privacidad legal y social del usuario
Financiera
Gestión financiera de clientes Relaciones económicas con clientes
Gestión financiera de proveedores Relaciones económicas con proveedores
Gestión de inversiones y financiación Gestionar cuentas, inversiones y préstamos
Aplicaciones
Desarrollo de aplicaciones Crear aplicaciones
Gestión del entorno operativo Mantener el entorno real y de pruebas configurado y
disponible
Gestión de la usabilidad Disponer mejoras de la usabilidad del entorno real
Implementación de tecnologías Mejorar las tecnologías conforme vayan apareciendo
Gestión de calidad y versiones Establecer niveles de calidad software y disponer de
registro de versiones
Tabla 5. Procesos de RED SOCIAL y su misión.
Business Continuity Planning para redes sociales
36
2.2. Determinación de los requerimientos de continuidad críticos
Ahora que se han identificado y entendido un poco más los procesos de
negocio, se procede a establecer un orden para instaurar la recuperación de los
procesos críticos y de esa manera poder determinar una medida del impacto de una
caída proceso por proceso (SANS06). Para ello hay que fijarse en la criticidad de los
tiempos desde el cese de la continuidad, así como en las pérdidas que supone a la
organización que el proceso este sin funcionar durante un tiempo determinado:
Niveles de pérdidas:
AltoMedioBajo
Procesos Tiempo/Pérdidas
3h 6h 1d 3d 1s
Administración
Implantación de normativas
Soporte a usuarios
Gestión de la seguridad
Gestión del servicio
Mantenimiento
Incorporación y organización de TIC
Gestión de la red interna
Comercial
Innovación y desarrollo
Gestión del Marketing
Gestión de las operaciones comerciales
Business Continuity Planning para redes sociales
37
Comunicaciones
Comunicaciones internas
Comunicaciones externas
Recursos Humanos
Gestión de RRHH
Formación de RRHH
Legislación
Gestión legal
Protección de usuarios
Financiera
Gestión financiera de clientes
Gestión financiera de proveedores
Gestión de inversiones y financiación
Aplicaciones
Desarrollo de aplicaciones
Gestión del entorno operativo
Gestión de la usabilidad
Implementación de tecnologías
Gestión de calidad y versiones
Tabla 6. Procesos de RED SOCIAL críticos, RTO´s y pérdidas.
Este estudio separa los procesos críticos de los no críticos. Para ello
simplemente se ha ilustrado cuál de ellos no parece que produzca resultado negativo
para la actividad de la organización (para seguir ofreciendo sus servicios) durante un
tiempo superior a una semana (no quiere decir que sean prescindibles ya que su
ausencia no va a permitir un rendimiento totalmente efectivo de la compañía, pero sí
permisibles de interrupción con respecto a otros procesos que no lo son).
Business Continuity Planning para redes sociales
38
A continuación, se explican cuales son los recursos que va a ser necesario
recuperar en el caso de una caída del sistema. Cada proceso ha sido ordenado por
los niveles de pérdidas en el tiempo, obtenidos de la tabla anterior, y además han sido
eliminando los procesos que no han resultado críticos:
Procesos ordenados Recursos
Materiales Humanos (nº personas)
Gestión del entorno operativo
Aplicación, datos y CPD
(servidores).
Red Interna, VPN y
Teléfonos Internos
2
Comunicaciones internas Aplicación
y datos 1
Mantenimiento Aplicación,
datos, repuestos.
2
Gestión del servicio Aplicación,
datos y CPD
2
Gestión de la seguridad
Aplicación, datos,
DMZ, y CPD
(LDAP)
1
Comunicaciones externas Aplicación
y datos 1
Gestión financiera de clientes Aplicación
y datos 1
Soporte a usuarios Aplicación
y datos 2
Gestión de las operaciones comerciales
Aplicación y datos
1
Gestión financiera de proveedores Aplicación
y datos 1
Gestión de inversiones y financiación Aplicación
y datos 1
Gestión de RRHH Aplicación
y datos 1
Tabla 7. Procesos ordenados de RED SOCIAL críticos y sus recursos.
Esta lista va a permitir identificar que recursos van a ser más críticos y, a
partir de ahí, se va a poder identificar cuales va a ser necesario gestionar para que no
Business Continuity Planning para redes sociales
39
falten en un determinado momento en el que se pueda entorpecer la continuidad del
negocio.
La gestión de los recursos materiales puede tener distintos puntos de vista,
como: la duplicación, aseguración (mediante compañías de seguros), nueva
adquisición en caso de pérdida… El plan de recuperación de desastres (DRP), que
se diseñara en la siguiente parte de este proyecto, será el encargado de establecer
estas condiciones.
La gestión de los recursos humanos necesita una especial atención, ya que en
el caso de que esté en juego vidas humanas deben establecerse planes especiales para
el aseguramiento de su integridad. Estos son los planes de emergencia, e igualmente
se diseñaran en la siguiente parte de este plan.
2.3. Evaluación de riesgos para BIA: mapa de riesgos
Como lo verdaderamente importante del Análisis de Impacto del Negocio
(AIN) son los tiempos de recuperación y no las probabilidades de impacto, no es
necesario establecer un análisis de riesgo exhaustivo. En este tipo de análisis
exhaustivos, establecer las probabilidades de que las amenazas exploten
vulnerabilidades ofrece una imposición de salvaguardas. No tendría sentido la
elección de salvaguardas que minimicen el impacto como medida de un BIA, ya que
este objetivo se acomete desde otra perspectiva. En este caso lo que interesa es poder
medir de alguna manera el tiempo (ver el apartado anterior de este análisis), y tener
Business Continuity Planning para redes sociales
40
en cuenta el factor de riesgo en el momento de elegir si los procesos de negocio
resultan críticos para la continuidad de negocio o por el contrario, no perciben
ningún riesgo (y en consecuencia ningún impacto).
La evaluación de riesgos de un BIA, identifica las incidencias de seguridad
que pueden provocar un desastre (amenazas). ISO define estas incidencias
englobándolas en los siguientes grupos (ISOI05):
a) pérdida del servicio, equipo o medios;
b) mal funcionamiento o sobre-carga del sistema;
c) errores humanos;
d) incumplimientos de las políticas o lineamientos;
e) violaciones de los acuerdos de seguridad física;
f) cambios del sistema no controlados;
g) mal funcionamiento del software o hardware;
h) violaciones de acceso.
Por lo tanto, y como ya se ha explicado antes, este análisis es parecido a un
análisis de riesgos pero con peculiaridades distintas y para llevarlo a cabo, se han
estudiado los tipos de incidencias (JAPA06) en función de su probabilidad y nivel de
criticidad usando un mapa de riesgos (DELO08), para definir una clasificación de
riesgos:
Business Continuity Planning para redes sociales
41
Niveles de probabilidad y Criticidad
AltoMedioBajo
Tipo de incidencia Descripción de la incidencia Probabilidad Nivel de
Criticidad Natural N1
Fuego
Natural N2
Daños por agua
Natural N3
Otros desastres naturales
Industrial I1
Fuego
Industrial I2
Daños por agua
Industrial I3
Emanaciones electromagnéticas
Industrial I4
Contaminación mecánica
Industrial I5
Contaminación electromagnética
Industrial I6
Avería de origen físico o lógico
Industrial I7
Corte del suministro eléctrico
Industrial I8
Condiciones inadecuadas de temperatura y humedad
Industrial I9
Fallo de servicios de comunicaciones
Industrial I0
Interrupción de otros servicios o suministros esenciales
Industrial I11
Degradación de los soportes de almacenamiento de la información
Errores y fallos no intencionados E1
Errores de los usuarios
Errores y fallos no intencionados E2
Errores del administrador
Errores y fallos no intencionados E3
Errores de monitorización (log)
Errores y fallos no intencionados E4
Errores de configuración
Errores y fallos no intencionados E5
Deficiencias en la organización
Errores y fallos no intencionados E6
Difusión de software dañino
Errores y fallos no intencionados E7
Errores de (re-)encaminamiento
Errores y fallos no intencionados E8
Errores de secuencia
Errores y fallos no intencionados E9
Escapes de información
Errores y fallos no intencionados E10
Alteración de la información
Errores y fallos no intencionados E11
Introducción de falsa información
Errores y fallos no intencionados E12
Degradación de la información
Errores y fallos no Destrucción de la información
Business Continuity Planning para redes sociales
42
intencionados E13 Errores y fallos no intencionados E14
Divulgación de información
Errores y fallos no intencionados E15
Vulnerabilidades de los programas (software)
Errores y fallos no intencionados E16
Errores de mantenimiento/actualización de programas (software)
Errores y fallos no intencionados E17
Errores de mantenimiento/actualización de equipos (software)
Errores y fallos no intencionados E18
Caída del sistema por agotamiento de recursos
Errores y fallos no intencionados E19
Perdida de equipos
Errores y fallos no intencionados E20
Indisponibilidad del personal
Ataques deliberados A1
Manipulación de la configuración
Ataques deliberados A2
Suplantación de la identidad del usuario
Ataques deliberados A3
Abuso de privilegios de acceso
Ataques deliberados A4
Uso no previsto
Ataques deliberados A5
Difusión de software dañino
Ataques deliberados A6
Re-encaminamiento de mensajes
Ataques deliberados A7
Alteración de secuencia
Ataques deliberados A8
Acceso no autorizado
Ataques deliberados A9
Análisis de tráfico
Ataques deliberados A10
Repudio
Ataques deliberados A11
Interceptación de información (escucha)
Ataques deliberados A12
Modificación de información
Ataques deliberados A13
Introducción de falsa información
Ataques deliberados A14
Corrupción de falsa información
Ataques deliberados A15
Destrucción de la información
Ataques deliberados A16
Divulgación de información
Ataques deliberados A17
Manipulación de programas
Ataques deliberados A18
Denegación de servicio
Ataques deliberados A19
Robo de equipos
Ataques deliberados A20
Ataque destructivo
Ataques deliberados A21
Ocupación enemiga
Ataques deliberados A22
Indisponibilidad del personal
Ataques deliberados A23
Extorsión
Ataques deliberados A24
Ingeniería Social
Tabla 8. Tabla de riesgos probabilidad/nivel de criticidad.
Business Continuity Planning para redes sociales
43
Business Continuity Planning para redes sociales
Business Continuity Planning para redes sociales
44
Gráfico 7. Mapa de riesgos probabilidad/nivel de criticidad.
Business Continuity Planning para redes sociales
probabilidad/nivel de criticidad.
Business Continuity Planning para redes sociales
45
Esta última etapa del análisis, ofrece un último punto de vista para establecer
en la siguiente parte de este proyecto las distintas estrategias de recuperación.
Business Continuity Planning para redes sociales
46
PARTE II. DISEÑO PARA LA IMPLEMENTACIÓN
El BCP contiene el plan de recuperación de desastres (DRP) y el plan para la
continuidad de negocio. Este apartado se dedica al diseño de estos dos planes en
conjunto. Una labor que incluye la definición de las estrategias y las alternativas de
recuperación adecuadas. También contiene la labor de equipar al personal de
respuesta para asegurar la integridad y la disponibilidad de los recursos de
información de la organización.
1. Roles y responsabilidades asociadas al BCM
Una buena instauración de las responsabilidades de seguridad, no solo de las
concernientes al BCP si no de las de la seguridad integral de la empresa, establece
una buena práctica para asegurar la continuidad del negocio. La identificación de las
responsabilidades es uno de los asuntos con un nivel más alto dificultad. Por lo tanto,
a continuación se explican las responsabilidades estandarizadas que como mínimo
permiten el funcionamiento de la gestión de continuidad del negocio (GCN).
La empresa RED SOCIAL cuenta en su área de Administración con una
persona encargada de administrar los aspectos relacionados con la seguridad, física y
lógica. Esta persona, para mantener una buena gestión se responsabiliza del
desarrollo de la estrategia de la seguridad de la información para lo que debe de
contar con el compromiso de la dirección, definir roles y responsabilidades,
establecer los canales de comunicación de la información que apoyen los las
Business Continuity Planning para redes sociales
47
actividades de gobierno de la seguridad de la información, identificar temas legales y
regulatorios y establecer y mantener las políticas de seguridad. Para la seguridad
íntegra tiene que llevar a cabo como mínimo las siguientes actividades1:
a) Análisis, evaluación y administración de riesgos.
b) Administración de clasificación de datos.
c) Seguridad de redes.
d) Acceso a los sistemas.
e) Administración de cambios.
f) Análisis de Impacto al Negocio (BIA).
g) Presentación de información.
h) Manejo de crisis.
i) Continuidad de la organización.
j) Monitoreo de la seguridad.
Las tareas que el responsable de seguridad debe ejecutar en cuanto a la
realización concreta de la GCN son las siguientes:
a) Evaluación de riesgos y evaluación de impacto al negocio.
b) Definición de la estrategia de recuperación.
c) Documentación de los planes de recuperación.
d) Capacitación que incluya los procedimientos de recuperación.
e) Actualización de los planes de recuperación.
1 Fuente: ISACA.
Business Continuity Planning para redes sociales
48
f) Prueba de los planes de recuperación.
g) Auditoría de los planes de recuperación.
Por otro lado, una buena gestión de la seguridad íntegra de la organización no
sería posible sin un compromiso directo de la Dirección. ISO declara la función de la
Dirección como:
Debiera apoyar activamente la seguridad dentro de la organización a través
de una dirección clara, compromiso demostrado, asignación explícita y
reconociendo las responsabilidades de la seguridad de la información (ISOI05),
además emite la siguiente lista de responsabilidades:
a) asegurar que los objetivos de seguridad de la información estén identificados,
cumplan con los requerimientos organizacionales y estén integrados en los
procesos relevantes;
b) formular, revisar y aprobar la política de seguridad de la información;
c) revisar la efectividad de la implementación de la política de seguridad de la
información;
d) proporcionar una dirección clara y un apoyo gerencial visible para las
iniciativas de seguridad;
e) proporcionar los recursos necesarios para la seguridad de la información;
f) aprobar la asignación de roles y responsabilidades específicas para la
seguridad de la información a lo largo de toda la organización;
Business Continuity Planning para redes sociales
49
g) iniciar planes y programas para mantener la conciencia de seguridad de la
información;
h) asegurar que la implementación de los controles de seguridad de la
información sea coordinado en toda la organización.
Para terminar, mencionar que la seguridad en la organización conforma un
gran “puzle”, y cada unidad de negocio es una “pieza” común. Por lo tanto, todas las
actividades de las personas que pertenecen a la organización deberán sincronizarse
para obtener una respuesta contundente de seguridad (y en continuidad de negocio).
El responsable de la seguridad es el encargado de concienciar y capacitar
(debiendo ser apoyado por la Dirección) a cada una de las personas de la
organización, garantizando la consistencia de los siguientes aspectos (ISOI05):
a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con
la política de seguridad de la información;
b) identificar cómo manejar las no-conformidades;
c) aprobar las metodologías y procesos para la seguridad de la información; por
ejemplo, la evaluación del riesgo, la clasificación de la información;
d) identificar cambios significativos en las amenazas y la exposición de la
información y los medios de procesamiento de la información ante amenazas;
e) evaluar la idoneidad y coordinar la implementación de los controles de la
seguridad de información;
f) promover de manera efectiva la educación, capacitación y conocimiento de la
seguridad de la información a través de toda la organización;
Business Continuity Planning para redes sociales
50
g) evaluar la información recibida del monitoreo y revisar los incidentes de
seguridad de la información, y recomendar las acciones apropiadas en
respuesta a los incidentes de seguridad de información identificados.
Para conseguir la concienciación y capacitación el aspecto que se debe tratar
con más cuidado, es establecer las áreas de las cuales son responsables las distintas
personas, cumpliéndose lo siguiente (ISOI05):
a) se debieran identificar y definir claramente los activos y procesos de
seguridad asociados con cada sistema particular;
b) se debiera designar la entidad responsable de cada activo o proceso de
seguridad y se debieran documentar los detalles de esta responsabilidad;
c) se debieran definir y documentar claramente los niveles de autorización.
En el caso concreto que concierne a este proyecto, GCN, es importante
establecer responsabilidades para un manejo correcto en caso de un incidente de
seguridad con impacto negativo. Más adelante se declaran estas responsabilidades
en los distintos planes de modo que las acciones estén planificadas de antemano y no
sorprendan (punto 4).
Business Continuity Planning para redes sociales
51
2. Política de continuidad de negocio
Se desarrolla en este apartado la política de continuidad de negocio. Una
política que se define para respaldar las metas y objetivos de negocio. Se trata de una
declaración de conceptos y expectativas que deben aplicarse. En consecuencia, la
política de continuidad tiene que ser congruente con los objetivos del negocio de
RED SOCIAL y a la par que este plan debe de revisarse con cierta periodicidad para
asegurar su correcto diseño e implementación.
A continuación se describe la política de continuidad de negocio de RED
SOCIAL:
NOTA: Así como este documento tiene un carácter confidencial para
los empleados vinculados con RED SOCIAL, la política
detallada en este punto es de uso público.
POLÍTICA - GESTIÓN DE CONTINUIDAD DE NEGOCIO “RED SOCIAL”
A. CONTENIDO
Recoge un enfoque de las expectativas de negocio para la implantación de una
adecuada gestión de la continuidad de RED SOCIAL. Se acogen medidas
necesarias para garantizar la continuidad de negocio, planificar respuestas ante
Business Continuity Planning para redes sociales
52
desastres y asegurar la localización y misión de cada una de las unidades críticas
de negocio.
B. PROPÓSITO
La política define la necesidad de la gestión de continuidad de negocio para el
desarrollo y mantenimiento del plan de continuidad de negocio de RED
SOCIAL.
C. ÁMBITO
Esta política está destinada para el personal técnico y de gestión de RED
SOCIAL.
D. POLÍTICA
i. Los siguientes planes deben ser creados:
a. Plan de emergencia.
b. Plan de recuperación ante desastres (DRP).
c. Plan de continuidad de negocio.
Para la creación de los planes será obligatorio determinar un análisis
de impacto del negocio (BIA) y una selección de estrategias de
recuperación ante interrupciones.
Business Continuity Planning para redes sociales
53
Estos planes deberán contener una especificación de
responsabilidades en el caso de que tengan que ponerse en marcha.
Se deberá asegurar la disponibilidad de una copia de los planes en
cualquier situación de interrupción del negocio.
ii. Los planes deben ser llevados a la acción.
Para comprobar su validez, los planes deben ser probados y auditados
gestionando las posibles necesidades potenciales de medidas
correctivas que puedan surgir.
Las pruebas deben ser debidamente cumplimentadas por todas las
personas implicadas que además deberán estar capacitadas para su
consecución.
iii. Los planes deben ser mantenidos y actualizados.
Se procederá a su actualización en un periodo definido incluido en
cada plan o cuando las necesidades de RED SOCIAL lo dispongan.
iv. Se deberá garantizar el cumplimento de las distintas regulaciones
vigentes que hacen referencia a la continuidad del negocio.
Business Continuity Planning para redes sociales
54
v. La interrupción de negocio deberá afectar en la medida de lo posible
de la menor manera tanto a los usuarios de los servicios de RED
SOCIAL como a los clientes de las distintas áreas de negocio.
vi. Esta política debe revisarse e incorporar criterios para su revisión.
Según queda dispuesto en la política de revisiones de RED SOCIAL,
esta política deberá incorporar el nombre de la persona o personas que
hayan efectuado la revisión en el apartado correspondiente de
histórico de revisiones.
E. APLICACIÓN
Cualquier empleado que viole los términos de esta política puede estar sujeto a
medidas disciplinarias que podrán incluir la finalización de su contrato.
F. HISTÓRICO DE REVISIÓN
Actualmente no se han producido revisiones de esta política.
3. Análisis de alternativas y selección de la estrategia de continuidad y recuperación ante desastres
En este punto se trazan distintas estrategias de continuidad y de recuperación
de desastres para posteriormente elegir, las que tengan una combinación óptima de
factores.
Business Continuity Planning para redes sociales
55
3.1. Información para la elección de estrategias.
Después del análisis realizado en la PARTE I, se pueden especificar las
posibles estrategias de continuidad y recuperación y ofrecer una buena gestión de
continuidad de negocio eligiendo entre ellas (la selección de una estrategia debe
utilizarse para desarrollar posteriormente los planes). Deberá elegirse la que más se
adapte a las necesidades y percepción de costes para su posterior implementación.
Como ya se ha explicado anteriormente, las soluciones propuestas en el
momento de su elección deben poder implantarse de una manera óptima de acuerdo
con el nivel de pérdidas por interrupciones de procesos críticos (obtenido gracias al
BIA). Las mejores opciones son: medidas de bajo coste que adopten una disminución
alta del riesgo para niveles altos de pérdida (Gráfico 8, Opción 1), el problema es que
esta situación no es la más habitual, por lo que se suelen escoger medidas
intermedias (Gráfico 8, Opción 2) y desechar las medidas de alto coste (Gráfico 8,
Opción 3). Así mismo, como es lógico, también es habitual desechar las medidas de
alto coste, cuando el nivel que producen las pérdidas es muy bajo (Gráfico 8, Opción
4). El problema surge cuando las medidas son de coste medio y las pérdidas también
(Gráfico 8, Opción 5), pero este análisis consigue atajar ese problema gracias a la
medida del riesgo, si el riesgo es muy alto lo habitual es adoptar las medidas y si el
riesgo es medio o bajo, lo normal es desecharlas, ya que no merece la pena el gasto
en salvaguardas por valor de la pérdida, mientras se está ofreciendo un servicio que
establece niveles de riesgo en su continuidad bajo.
Business Continuity Planning para redes sociales
56
Gráfico 8. Relación coste/perdidas para selección de estrategias de continuidad.
(Los números de la izquierda son meramente representativos)
3.1.1. Alternativas hardware fuera de sitio (controles físicos)
Las alternativas hardware que se ofrecen en función de los procesos permiten
soluciones llamadas “fuera de sitio” (se encuentran emplazadas en lugares distintos a
donde se encuentra la organización) y se utilizan en particular para desastres que
inhabilitan el equipo físico principal (como cortes en la energía eléctrica). Estas
estrategias de recuperación son (SANS06):
• Sitio espejo (Mirrored Site): Este tipo de estrategias de corto plazo (su
utilización es como máximo de hasta varias semanas después de un desastre o
emergencia importante) está totalmente equipada con equipos de oficina y
0
1
2
3
4
5
6
7
Opción 1 Opción 2 Opción 3 Opción 4 Opción 5
Coste
Perdidas
Business Continuity Planning para redes sociales
57
contiene hardware, software, información, redes y energía, operativos. Un
programador automático se encarga de equilibrar las cargas de las
computadoras para que las aplicaciones se puedan ejecutar en cualquiera de
los dos sitios.
• Hot Site: Este tipo de Estrategias está completamente equipada con equipos
de oficina y contiene hardware, software, redes y energía. Es mantenido
operacional a la espera de recibir las personas que harían uso de sus servicios,
programas, archivos de datos y documentación. El coste incluye un coste de
suscripción básico, renta mensual, cargos por pruebas, costes de activación
cuando el sitio se utilice para una amenaza real y cargos por uso.
• Warm Site: Este tipo de estrategias está parcialmente configurada y
equipada con parte del hardware, software, redes y energía pero sin la
computación principal (CPD). Este sitio móvil podría tener también equipos y
escritorios para un grupo de trabajo. Es mantenido operacional a la espera de
recibir la orden de trasladarse hacia el sitio en donde se hará la recuperación.
Se basa en que se puede obtener rápidamente un CPD para una instalación de
emergencia. Puede estar funcionando en varias horas, sin embargo, la
ubicación y la instalación de la CPD podría llevar varios días o semanas.
• Cold Site (y centros portátiles): consiste típicamente en una disposición con
adecuado espacio e infraestructura para soportar los sistemas tecnológicos.
No contiene dispositivos tecnológicos tales como teléfonos, computadores,
redes o servidores. Solo tiene el ambiente físico y básico como cableado
eléctrico, aire acondicionado… De todas las estrategias ésta es la menos
Business Continuity Planning para redes sociales
58
costosa pero la que toma más tiempo para que quede operativa y funcionando
(puede llevar varias semanas).
• Cintas de backup: unidad de almacenamiento masivo de datos en cinta,
denominada de respuesta rápida y sencilla al problema de las copias de
seguridad. Ofrecen la ventaja de que el medio magnético es removible,
confiable, duradero y de capacidades casi ilimitadas. A nivel software ofrecen
además, la posibilidad de grabación de datos en formato comprimido, y
método de corrección de errores avanzado.
Consideraciones a tener en cuenta
− El sitio elegido no debe estar sujeto al mismo desastre natural que el sitio
original.
− Debe existir un grado razonable de compatibilidad de hardware/software.
− Tiene que asegurarse la disponibilidad de los recursos en caso de
necesitarlos así como su escalado para que no falte capacidad de trabajo.
− Es necesario hacer pruebas periódicas.
Para elegir entre las anteriores alternativas, es muy importante establecer el
tiempo necesario para la recuperación ya que es un factor clave para determinar
estrategias de recuperación para que las pérdidas no lleguen a situaciones
incosteables (a continuación, en el apartado 3.1.2 se detallan de mejor manera las
variables de tiempo).
Business Continuity Planning para redes sociales
59
Gráfico 9. Comparativa coste/tiempo de estrategias de recuperación.
Por último mencionar, que al elegir una alternativa hardware de respaldo es
importante saber de antemano el número de clientes simultáneos, el número posible
de usuarios del sitio, las reglas para el uso de los recursos… Elaborar una estrategia
de recuperación necesita equilibrar todos los parámetros, los diferentes tipos de sitios
de recuperación y sus costes.
3.1.2. Variables de tiempo y nivel de servicio
Para la evaluación del tiempo y nivel de servicio existen estandarizados los
siguientes1:
1 Fuente: ISACA
Business Continuity Planning para redes sociales
60
• Ventana de interrupción: tiempo soportable hasta recuperar los servicios/
aplicaciones críticos.
• RTO: tiempo máximo para regresar a la normalidad.
• RPO: antigüedad máxima de los datos que se han de restablecer.
• SDO: nivel de servicio que debería soportarse durante el modo de proceso
alterno.
• MTO: tiempo máximo que puede soportarse la operación en un modo
alterno.
3.1.3. Continuidad de los servicios de comunicaciones y servidores
Se deben prever las capacidades de telecomunicación adecuadas: circuitos
telefónicos de voz, redes de área amplia, redes de área local y proveedores externos
de intercambio electrónico de datos.
Los métodos para proporcionar la continuidad de las comunicaciones son1:
• Redundancia: Se consigue con una variedad de soluciones como:
− Capacidad adicional a la máxima necesitada.
− Múltiples rutas entre routers.
− Protocolos de enrutamiento dinámicos especiales (como OSPF,
EGRP…).
1 Fuente: ISACA
Business Continuity Planning para redes sociales
61
− Contar con dispositivos de conexión de apoyo.
− Guardar los archivos de configuración
• Enrutamiento alternativo: Enrutar la información mediante un medio
alterno como cable de cobre o fibra óptica, redes de marcación telefónica…
utilizando dos redes por si la principal no está disponible.
• Enrutamiento diverso: Enrutar tráfico a través de cable duplicado en el
mismo conducto o otra ubicación distinta.
• Redes de larga distancia.
• Protección de circuito de última milla: Se realiza mediante múltiples
métodos de comunicación.
• Recuperación de voz: Asegurar las comunicaciones por voz mediante
cableado duplicado, dividir voz y datos…
Así mismo, es necesario determinar los umbrales de cortes de la energía
eléctrica (2 horas, 8 horas, 24 horas), es decir MTO, para seleccionar las fuentes de
energía alterna (o UPS) para los servidores. Otra manera de asegurar el servicio, ante
incidentes de falta de recursos, es mediante servidores duplicados con balanceo de
carga.
3.1.4. Protección de los sistemas de almacenamiento de datos
RAID (consultar Anexo A) ofrece mejoras en el desempeño y capacidades
tolerantes a fallos mediante soluciones de hardware y software, descomponiendo
Business Continuity Planning para redes sociales
62
datos y escribiéndolos en una serie de discos múltiples. Proporcionan potencial para
tener datos continuos y rentables ya sea en la ubicación habitual o fuera de sitio. Los
distintos niveles que existen en esta tecnología son (DELV02):
• RAID-0: Distribuye automáticamente la información en diversos discos, por
lo que en caso de un fallo de uno de ellos no se perdería toda la información
sino únicamente la del disco dañado. La recuperación mediante copias de
seguridad se hace más rápida. No utiliza ningún sistema para proporcionar
redundancia en la información almacenada por lo que no debería ser llamados
RAID.
• RAID-1: Utiliza la técnica “espejo” (mirroring) para proveer la mejor
redundancia tolerable a fallos disponible (los discos guardan exactamente la
misma información por parejas). Cuando un disco espejo falla, el segundo
toma su lugar. El problema se presenta cuando se escriben datos deteriorados
en un disco, pues son duplicados con los mismos defectos en el espejo, Esta
técnica generalmente es poco práctica y costosa, especialmente cuando se
almacenan datos en el orden de magnitudes grandes. Inclusive con los bajos
costes de los discos duros, RAID-1 solo tiene sentido para datos de misión
crítica que deben estar disponibles permanentemente en línea. Este nivel
requiere al menos dos discos para su implantación.
• RAID-2: Utiliza códigos de corrección de errores de Hamming. Se empleaba
en discos que no poseían detección de errores incorporada. Todos los drivers
SCSI modernos incorporan detección automática de error por lo que este
nivel carece de aplicación práctica para discos SCSI.
Business Continuity Planning para redes sociales
63
• RAID-3: Introduce el chequeo de paridad, o la corrección de errores.
Distribuye los datos a través de múltiples discos al nivel de bytes, y añade
redundancia mediante la utilización de un disco de paridad dedicado, que
detecta errores en los datos almacenados producidos por un fallo de cualquier
disco y los reconstruye mediante algoritmos especiales. Si el fallo se produce
en el disco de paridad, se pierde la redundancia, pero se mantiene intacta la
información original. Debido a que RAID-3 escribe los datos en grandes
grupos de datos de bytes de nivel de información, es una alternativa
apropiada para aplicaciones multimedia que envían y reciben grandes
archivos. RAID-3 requiera al menos tres discos para su implementación (2 de
datos y 1 de paridad).
• RAID- 4: Distribuye los datos en múltiples discos a nivel de bloques (la
diferencia principal con el nivel 3), con información de paridad almacenada
en un solo disco. La información de paridad permite la recuperación del fallo
de cualquier disco. El rendimiento de un RAID-4 es muy bueno para lectura
(similar a RAID-0). La escritura, sin embargo, requiere que la información de
paridad sea actualizada cada vez. Esto vuelve lenta la escritura aleatoria, en
particular, pero la escritura secuencial se mantiene bastante rápida. Debido a
que únicamente un disco del conjunto almacena información redundante, el
coste por megabyte de un RAID-4 puede ser bastante bajo.
• RAID- 5: Es la alternativa más popular. Crea datos de paridad,
distribuyéndolos a través de todos los discos (excepto en aquel disco en que
se almacena la información original), obviando la necesidad de un disco de
paridad dedicado. El RAID-5 es el más completo de todos los niveles de
Business Continuity Planning para redes sociales
64
redundancia por distribución, porque si un disco falla, la información de
paridad en los otros permite la reconstrucción inmediata y online de toda su
información. Aún más, el RAID-5 escribe datos en los discos al nivel de
bloques (en lugar de trabajar a nivel de bytes), volviéndolo más apropiado
para múltiples transacciones pequeñas como e-mail, procesadores de texto,
hojas de cálculo, y aplicaciones de bases de datos. RAID-5 requiere al menos
tres discos para su implementación. RAID-6 es igual pero añade otro bloque
de paridad.
En conclusión, los niveles 0 y 1 tienen mejor desempeño cuando están
basados en software, y los niveles 3,5 y 6 son mejores (mayor rápidez) en hardware.
Los niveles restantes son soluciones de alto coste con escalabilidad limitada (excepto
RAID-2 que casi nunca se utiliza porque es intensivo en recursos).
3.1.5. Pólizas de seguros y proveedores
La póliza de seguros es por lo general una póliza contra múltiples daños,
diseñada para proporcionar una cobertura de varios tipos de SI. Los tipos de
cobertura disponibles son1:
• Equipo e instalaciones SI
• Reconstrucción de medios (software)
• Gastos adicionales: Cubre los costes adicionales por continuar con las
operaciones después de un daño o destrucción. 1 Fuente: ISACA
Business Continuity Planning para redes sociales
65
• Interrupción del negocio: Cubre la pérdida de ganancias.
• Documentos y registro de valor
• Errores u omisiones
• Cobertura de fidelidad: Cubre contra pérdida por actos deshonestos y
fraudulentos.
• Transporte de medios: Cubre las posibles pérdidas cuando se están
transportando recursos de la organización de un sitio a otro.
Para contratar un seguro o el servicio de un proveedor es necesario tener en
cuenta la configuración: definición de desastre, velocidad de disponibilidad,
suscriptores por sitio de respaldo (en el caso de que haya varios), suscriptores por
área de respaldo, preferencia, cobertura de seguro, periodo de uso, comunicaciones,
garantías, auditoría, pruebas, fiabilidad, sanciones, personal y software.
3.1.6. Otros recursos
Anteriormente se han identificado en este proyecto las siguientes tecnologías
de seguridad que podrían proporcionar una solución para elegir la estrategia de
continuidad:
Firewalls, Switches y Routers, Sistemas de detección de intrusos (IDS),
Sistemas de prevención de intrusos (IPS), Técnicas criptográficas, Firmas
Digitales, Tarjetas inteligentes, Sistemas de acceso mediante contraseñas,
Seguridad inalámbrica, Seguridad de aplicación, Acceso remoto (VPN),
Business Continuity Planning para redes sociales
66
Sistemas de Backup, Técnicas web de seguridad, Seguridad perimetral, Video
vigilancia IP y Técnicas biométricas.
3.2. Estrategias de recuperación
A continuación se utiliza una combinación de factores (criticidad de los
procesos de la organización obtenida del BIA, coste, tiempo requerido para la
recuperación) para identificar las distintas estrategias que utilizan soluciones de las
descritas en el apartado anterior.
NOTAS: Las amenazas existentes pueden neutralizarse, minimizar la
probabilidad de que ocurran o minimizar el efecto en caso de
que ocurra un accidente. El coste de la recuperación es, el
coste de prepararse para posibles interrupciones y el coste de
ponerlas a funcionar en caso de una interrupción.
Estrategias según los distintos procesos críticos de negocio:
AVISO: Para cada incidente, la primera tabla describe el incidente y las
siguientes tablas los alcances y estrategias posibles.
Business Continuity Planning para redes sociales
67
• Incidente 1
Incidente Pérdida o inutilización permanente de los activos de la
compañía.
Tiempo medio crítico de pérdidas
Gestión del entorno operativo Inmediato
Comunicaciones Internas Inmediato
Mantenimiento Inmediato
Gestión del servicio 4 horas
Gestión de la seguridad 7 horas
Comunicaciones externas 1 día
Gestión financiera de clientes 1 día
Soporte a usuarios 3 días
Gestión de las operaciones
comerciales 3 días
Gestión financiera de
proveedores 1 semana
Gestión de Inversiones y
financiación 1 semana
Gestión de RRHH 1 semana
Nivel medio de criticidad de amenazas de
probabilidad alta
No existen amenazas de probabilidad alta que puedan
provocar este incidente
Nivel medio de criticidad de amenazas de
probabilidad media
No existen amenazas de probabilidad media que puedan
provocar este incidente
Nivel medio de criticidad de amenazas de
probabilidad baja Alto
Alcance Pérdida completa del entorno operativo
RTO Horas
RPO Desde el momento anterior a la interrupción
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 1
Business Continuity Planning para redes sociales
68
Solución Sitio espejo
Coste Alto
Nº de estrategia 2
Solución Hot Site
Coste Alto
Nº de estrategia 3
Solución Warm Site
Coste Medio
Nº de estrategia 4
Solución Cold Site
Coste Medio
Nº de estrategia 5
Solución Cintas de backup
Coste Bajo
Nº de estrategia 6
Solución Contratación de un seguro
Coste Medio
Alcance Robo o destrucción intencionada de recursos
RTO Horas
RPO Desde el momento anterior a la interrupción
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 7
Solución Seguridad física
Coste Alto
Nº de estrategia 6
Solución Contratación de un seguro
Coste Medio
Tabla 9. Estrategias de continuidad para incidente 1.
Business Continuity Planning para redes sociales
69
• Incidente 2
Incidente Interrupción de comunicación de la compañía.
Tiempo medio crítico de pérdidas
Gestión del entorno operativo Inmediato
Comunicaciones Internas Inmediato
Mantenimiento Inmediato
Gestión del servicio 4 horas
Gestión de la seguridad 7 horas
Comunicaciones externas 1 día
Gestión financiera de clientes 1 día
Soporte a usuarios 3 días
Gestión de las operaciones
comerciales 3 días
Gestión financiera de
proveedores 1 semana
Gestión de Inversiones y
financiación 1 semana
Gestión de RRHH 1 semana
Nivel medio de criticidad de amenazas de
probabilidad alta Medio
Nivel medio de criticidad de amenazas de
probabilidad media Medio
Nivel medio de criticidad de amenazas de
probabilidad baja Medio
Alcance Interrupción de la red interna
RTO 1 hora
RPO Las comunicaciones se interrumpen y deberán emitirse
de nuevo
SDO Medio
MTO Horas
Nº de estrategia 8
Business Continuity Planning para redes sociales
70
Solución Protección circuito de última milla
Coste Alto
Nº de estrategia 9
Solución Redes de larga distancia
Coste Medio
Nº de estrategia 10
Solución Enrutamiento diverso
Coste Medio
Nº de estrategia 11
Solución Enrutamiento alternativo
Coste Medio
Nº de estrategia 12
Solución Redundancia de red interna
Coste Bajo
Alcance Interrupción de los teléfonos
RTO 1 hora
RPO Las comunicaciones se interrumpen y deberán emitirse
de nuevo
SDO Medio
MTO Horas
Nº de estrategia 13
Solución Cableado duplicado
Coste Alto
Nº de estrategia 14
Solución Contacto por teléfonos móviles
Coste Bajo
Tabla 10. Estrategias de continuidad para incidente 2.
Business Continuity Planning para redes sociales
71
• Incidente 3
Incidente Pérdida de datos o degradación de datos de servicio a
usuarios externos o internos
Tiempo medio crítico de pérdidas
Gestión del entorno operativo Inmediato
Comunicaciones Internas Inmediato
Mantenimiento Inmediato
Gestión del servicio 4 horas
Gestión de la seguridad 7 horas
Comunicaciones externas 1 día
Gestión financiera de clientes 1 día
Soporte a usuarios 3 días
Gestión de las operaciones
comerciales 3 días
Gestión financiera de
proveedores 1 semana
Gestión de Inversiones y
financiación 1 semana
Gestión de RRHH 1 semana
Nivel medio de criticidad de amenazas de
probabilidad alta Medio
Nivel medio de criticidad de amenazas de
probabilidad media Alto
Nivel medio de criticidad de amenazas de
probabilidad baja Alto
Alcance Imposibilidad de acceso a datos
RTO En función del tipo de dato
RPO Desde el momento anterior a la interrupción
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 15
Business Continuity Planning para redes sociales
72
Solución RAID-6
Coste Alto
Nº de estrategia 16
Solución RAID-5
Coste Alto
Nº de estrategia 17
Solución RAID-4
Coste Alto
Nº de estrategia 18
Solución RAID-3
Coste Medio
Nº de estrategia 19
Solución RAID-2
Coste Bajo
Nº de estrategia 20
Solución RAID-1
Coste Medio
Nº de estrategia 21
Solución RAID-0
Coste Bajo
Alcance Pérdida total de recursos de almacenamiento
RTO 3 horas
RPO Desde el momento anterior a la interrupción
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 5
Solución Sistema de respaldo y recuperación (Backup)
Coste Alto
Tabla 11. Estrategias de continuidad para incidente 3.
Business Continuity Planning para redes sociales
73
• Incidente 4
Incidente Pérdida de confidencialidad datos de servicio a usuarios
externos o internos
Tiempo medio crítico de pérdidas
Gestión del entorno operativo Inmediato
Comunicaciones Internas Inmediato
Mantenimiento Inmediato
Gestión del servicio 4 horas
Gestión de la seguridad 7 horas
Comunicaciones externas 1 día
Gestión financiera de clientes 1 día
Soporte a usuarios 3 días
Gestión de las operaciones
comerciales 3 días
Gestión financiera de
proveedores 1 semana
Gestión de Inversiones y
financiación 1 semana
Gestión de RRHH 1 semana
Nivel medio de criticidad de amenazas de
probabilidad alta Medio
Nivel medio de criticidad de amenazas de
probabilidad media Alto
Nivel medio de criticidad de amenazas de
probabilidad baja Alto
Alcance Vulnerabilidades de acceso a soportes físicos datos
RTO 1 día
RPO No hay que recuperar datos
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 22
Business Continuity Planning para redes sociales
74
Solución Logs de acceso
Coste Bajo
Nº de estrategia 23
Solución Autenticación fuerte: un solo acceso
Coste Alto
Nº de estrategia 24
Solución Niveles de autenticación
Coste Medio
Nº de estrategia 25
Solución Técnicas biométricas
Coste Alto
Nº de estrategia 26
Solución Tarjetas inteligentes
Coste Alto
Alcance Vulnerabilidades en las comunicaciones
RTO 1 día
RPO No hay que recuperar datos
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 27
Solución Firmas digitales
Coste Medio
Nº de estrategia 28
Solución Cifrado de comunicaciones
Coste Bajo
Tabla 12. Estrategias de continuidad para incidente 4.
Business Continuity Planning para redes sociales
75
• Incidente 5
Incidente Falta de recursos humanos
Tiempo medio crítico de pérdidas
Gestión del entorno operativo Inmediato
Comunicaciones Internas Inmediato
Mantenimiento Inmediato
Gestión del servicio 4 horas
Gestión de la seguridad 7 horas
Comunicaciones externas 1 día
Gestión financiera de clientes 1 día
Soporte a usuarios 3 días
Gestión de las operaciones
comerciales 3 días
Gestión financiera de
proveedores 1 semana
Gestión de Inversiones y
financiación 1 semana
Gestión de RRHH 1 semana
Nivel medio de criticidad de amenazas de
probabilidad alta Bajo
Nivel medio de criticidad de amenazas de
probabilidad media Bajo
Nivel medio de criticidad de amenazas de
probabilidad baja Bajo
Alcance Indisponibilidad de transporte
RTO -
RPO No hay que recuperar datos
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 29
Solución Automatización del servicio básico
Business Continuity Planning para redes sociales
76
Coste Alto
Nº de estrategia 30
Solución Transportes auxiliares
Coste Medio/Bajo (en función del de personal faltante)
Nº de estrategia 31
Solución Duplicación de funciones asignadas a una persona
Coste Alto/Bajo (en función del de personal faltante)
Alcance Inasistencia generalizada
RTO El mínimo en función de la posibilidad de asistencia (ya
sea huelga, pandemia…)
RPO No hay que recuperar datos
SDO No existe modo de proceso alterno
MTO No existe modo de proceso alterno
Nº de estrategia 29
Solución Automatización del servicio básico
Coste Alto
Tabla 13. Estrategias de continuidad para incidente 5.
3.3. Selección de la estrategia
La recuperación de cada uno de los procesos de negocio, va a utilizar las
siguientes estrategias. La selección de una estrategia de recuperación depende de:
• Criticidad del proceso comercial y las aplicaciones que soportan a los
procesos.
• Coste
• Tiempo requerido para la recuperación
• Seguridad
Business Continuity Planning para redes sociales
77
• Fiabilidad
Por lo tanto, después de la diversidad de estrategias ofrecidas en el punto
anterior se han elegido las que mejor combinan estas características. Son las
siguientes:
• INCIDENTE 1
Pérdida o inutilización permanente de los activos de la compañía.
Elegir una estrategia para este incidente, proporciona la posibilidad de
una alternativa hardware “fuera de sitio”. La criticidad de una amenaza de
seguridad para este incidente es alta, sin embargo la probabilidad es baja. Por
lo tanto, como la compañía se encuentra actualmente en una fase reciente de
constitución, se procede a asumir este riesgo y más adelante, cuando se
obtenga una mayor consolidación de la compañía se deberá revisar de nuevo
este aspecto, ya que los tiempos críticos (y las consecuentes pérdidas) deben
ser tenidos en cuenta. Las estrategias elegidas son:
• ESTRATEGIA 5: Cintas de Backup
Esta estrategia es la más acorde con la actividad actual de la compañía, ya
que las demás proporcionan soluciones que minimizan en mayor medida
las amenazas y las pérdidas, pero a costes tan elevados para la capacidad
actual de RED SOCIAL que de momento resultan inalcanzables.
Business Continuity Planning para redes sociales
78
• ESTRATEGIA 6: Contratación de un seguro
La contratación de una póliza de seguro va a ser necesaria. Por
consiguiente, esta estrategia no aporta un gran nivel de decisión en el
momento de su elección. Habrá que prestar especial atención a las
condiciones del seguro de manera que los activos críticos de la compañía
(ver punto 2.2) puedan asegurarse en el futuro.
• INCIDENTE 2
Interrupción de comunicación de la compañía.
Este incidente es de criticidad media por lo tanto se va a proceder a su
solución de la siguiente manera:
• ESTRATEGIA 12: Redundancia de red interna
Se va a intentar asegurar en un primer punto la redundancia de la red
interna, para ello se va a poner a trabajar a las personas designadas.
• ESTRATEGIA 10: Enrutamiento diverso
Se va a disponer a los empleados en caso de un fallo de gran tiempo de
comunicaciones de las posibilidades que sean necesarias para permitir el
acceso a las comunicaciones, ya sea mediante conexiones en el hogar para
teletrabajo o conexión por la línea móvil de telefonía. Esta es una medida
Business Continuity Planning para redes sociales
79
preventiva, hasta que se instale completamente la estrategia a
continuación.
• ESTRATEGIA 11: Enrutamiento alternativo
Se va a proceder a duplicar el cable actual con las mejores soluciones de
coste que se encuentren en el mercado de forma progresiva. Primero se
empezará por las redes más críticas hasta las menos críticas. Esta solución
intenta alcanzar una mayor fiabilidad para poco a poco conseguir la
protección del circuito de última milla.
• ESTRATEGIA 14: Contacto por teléfonos móviles.
En la situación en que los teléfonos se encuentren indisponibles, se
tomarán medidas para hacer posible la comunicación mediante teléfonos
móviles.
• INCIDENTE 3
Pérdida de datos o degradación de datos de servicio a usuarios externos o
internos.
El nivel de probabilidad medio de criticidad es alto.
El nivel de probabilidad alto de criticidad es medio.
El nivel de probabilidad bajo de criticidad es alto.
Business Continuity Planning para redes sociales
80
Por lo tanto deberán destinarse medidas cuanto antes, que ofrezcan
una buena configuración de fiabilidad y coste. Al ser los datos una parte de
las más críticas para la continuidad de servicios de la red social (su
indisponibilidad tiene establecido tiempos críticos), las medidas adoptadas
son:
• ESTRATEGIA 15: RAID-6
Quizás en el largo plazo parece una de las mejores soluciones para los
datos que utilizan el servicio de la red social, por lo tanto se utilizará esta
estrategia para almacenar los datos de los usuarios externos a la
compañía. Además también se almacenarán los datos de la aplicación. Se
conjuntará como ya se ha visto antes con cintas de backup.
• ESTRATEGIA 21: RAID-0
En caso de fallo, existen datos en la compañía de los procesos que no son
tan críticos en cuanto a tiempos (como los que necesitan disponibilidad al
día siguiente del incidente). Por lo tanto se utilizará RAID-0 conjunto a
backup para este tipo de datos.
• ESTRATEGIA 5: Sistema de respaldo y recuperación backup. (ya citada
en el incidente 1)
Business Continuity Planning para redes sociales
81
• INCIDENTE 4
Pérdida o inutilización permanente de los activos de la compañía.
El nivel de probabilidad medio de criticidad es alto.
El nivel de probabilidad alto de criticidad es medio.
El nivel de probabilidad bajo de criticidad es alto.
Por lo tanto deberán destinarse medidas cuanto antes que ofrezcan una
buena configuración de fiabilidad y coste. Al ser los datos una parte de las
más críticas para la continuidad de servicios de la red social, las medidas
adoptadas son:
• ESTRATEGIA 21: Logs de acceso
Se va a incorporar un registro de logs de acceso que solo va a poder ser
visitado por determinados niveles de autenticación (dirección y
seguridad).
• ESTRATEGIA 23: Niveles de autenticación.
Ya se cuenta con esta estrategia. Se establecen niveles de autenticación en
función a la información a la que se desea acceder. Estos niveles, están
establecidos para acceder a la información del servidor interno y
repartidos entre las distintas áreas de negocio.
Business Continuity Planning para redes sociales
82
• ESTRATEGIA 27: Cifrado de comunicaciones
Ya se cuenta con esta estrategia. Aunque actualmente se está implantando
la infraestructura de clave pública (PKI) que va a permitir además la
siguiente estrategia.
• ESTRATEGIA 26: Firmas digitales
Va a permitir la firma de documentos, tanto como para uso interno, como
de cara a transacciones externas.
• INCIDENTE 5
Pérdida o inutilización permanente de los activos de la compañía.
Este incidente no presenta un riesgo excesivo, por lo tanto para
asegurar los tiempos críticos de las distintas funciones de negocio se va a
tomar la siguiente medida que tiene un coste relativamente bajo (varía en
función de los empleados que no puedan acudir a sus puestos de trabajo).
• ESTRATEGIA 29: Transportes auxiliares
Se establecerá un orden con prioridad para las personas de procesos
críticos que no puedan llegar a su puesto de trabajo y no cuenten con
medios suficientes para desempeñar sus labores, en el caso de que la
afluencia de empleados sea mínima.
Business Continuity Planning para redes sociales
83
4. Recuperación de desastre: Actividades, recursos y personal
Se definen los planes para la continuidad del negocio, para su redacción se ha
intentado en la medida de lo posible cumplir con los siguientes objetivos (DELO08):
• Genéricos, simples, realistas, entendibles y probados.
• Proteger la imagen pública.
• Mantener el servicio.
• Minimizar impactos financieros.
• Reducir efectos operacionales de un desastre (reanudación y recuperación
de procesos).
• Reanudar las operaciones y factores de soporte.
• Satisfacer las obligaciones para con empleados, clientes y terceros.
NOTA: Así como este documento tiene un carácter confidencial para
los empleados vinculados con RED SOCIAL, los planes
detallados en este punto son públicos y se debe asegurar la
disponibilidad de los mismos ante cualquier situación que
perturbe la continuidad de negocio.
Business Continuity Planning para redes sociales
84
4.1. Plan de emergencia
Este plan es el encargado de preservar la seguridad de los empleados de la
organización en el caso de que ocurra cualquier incidencia que pueda dañar su
integridad. Se ha confeccionado consultando los consejos y recomendaciones de los
servicios públicos de atención al ciudadano para situaciones de emergencia y
urgencia en España1.
1 http://www.112.es/
Business Continuity Planning para redes sociales
85
PLAN DE EMERGENCIA DE “RED SOCIAL”
A. DECLARACIÓN DE LA EMERGENCIA
Se considerará emergencia:
i. Fuego en las instalaciones.
ii. Terremotos.
iii. Inundaciones.
iv. Daños físicos con necesidad de atención médica.
v. Catástrofe.
B. RESPONSABILIDADES
Las personas responsables de asegurar la situación de emergencia son los
servicios profesionales a disposición del ciudadano. Mientras acuden al lugar
de la emergencia, la ejecución de las siguientes tareas facilitará su posterior
misión así como la integridad física de los afectados:
− Avisar al teléfono de emergencia 112.
− Proveer a la instalación con botiquines de asistencia.
− Comprobar el buen estado de los extintores.
− En caso de incendio, intentar apagar los sistemas eléctricos.
− Revisar las partes de las instalaciones que puedan desprenderse.
− Extremar las precauciones de algunos objetos que puedan caerse, en
particular los pesados.
Business Continuity Planning para redes sociales
86
− Revisar las instalaciones que puedan romperse: tendido eléctrico,
conducciones de agua, gas y saneamientos.
− Distribuir los procedimientos de actuación por el edificio.
− Señalar las salidas de emergencia.
− Señalar la enfermería o área donde se encuentre el botiquín
− Dirigir las evacuaciones.
Debe existir una persona o equipo en la empresa encargado de estas acciones
ante emergencias.
C. PROCEDIMIENTO DE EVACUACIÓN ANTE INCENDIOS
1. De la voz de alarma (usando las alarmas indicadas).
2. No utilice el ascensor y evite las corrientes de aire, cierre la puerta de
la habitación donde se produjo el fuego.
3. Proceda a la evacuación siguiendo las vías y salida de emergencia
indicadas.
4. Camine deprisa pero sin correr y de forma ordenada, sin empujar.
Protéjase del humo caminando a gatas al lado de las paredes y
tapando, nariz y boca con un paño húmedo.
5. No se detenga hasta situarse suficientemente lejos del lugar del
siniestro.
Business Continuity Planning para redes sociales
87
i. Si el fuego es pequeño y tiene a mano un extintor, ataque la
base de las llamas después de haber alejado los objetos que
puedan propagar el fuego (no utilice agua).
ii. No fume.
iii. Si se incendia su ropa, no corra. Túmbese en el suelo y ruede
sobre sí mismo.
iv. En caso de NO PODER ABANDONAR el lugar por el fuego:
− Enciérrese en una habitación.
− Tape las ranuras de la puerta, preferiblemente con trapos
mojados para evitar que entre el humo.
− Hágase ver por la ventana.
D. PROCEDIMIENTO ANTE TERREMOTOS
1. Buscar refugio debajo de los dinteles de las puertas o de algún mueble
sólido, como mesas o escritorios, o bien, junto a un pilar o pared
maestra.
2. Mantenerse alejado de ventanas, cristaleras, vitrinas, tabiques y
objetos que pueden caerse y llegar a golpearle.
3. No utilizar el ascensor, podría quedar atrapado en su interior.
4. Utilizar linternas para el alumbrado y evitar el uso de velas, cerillas, o
cualquier tipo de llama durante o inmediatamente después del
temblor.
Business Continuity Planning para redes sociales
88
5. Ir hacia un área abierta, alejándose de los edificios dañados.
6. Procurar no acercarse ni penetrar en edificios dañados. El mayor
peligro por caída de escombros, revestimientos, cristales, etc…, está
en la vertical de las fachadas.
E. PROCEDIMIENTO ANTE INUNDACIONES
1. Localizar los puntos más altos.
2. Cerrar agujeros de puertos y ventanas y salidas de ventilación.
3. Colocar lo que se quiera salvar en los puntos más altos.
4. Desconectar la corriente.
F. PROCEDIMIENTO ANTE DAÑOS FÍSICOS
Accidentes graves
1. Llamar a los servicios de emergencia.
2. A los accidentados se les proveerán los primeros auxilios en caso de
ser necesario.
3. Si se trata de un daño de gravedad, no mover al afectado en la medida
de lo posible hasta que acudan los servicios de emergencia.
Accidentes leves
1. Si se trata de heridas o quemaduras leves se proporcionará ayuda
mediante el botiquín.
Business Continuity Planning para redes sociales
89
G. PROCEDIMIENTO ANTE CATÁSTROFES
1. Siga las consignas de las autoridades.
2. Mantenga la calma, piense y luego actúe.
3. No telefonee; deje las líneas libres para los equipos de socorro.
4. Una catástrofe no es un espectáculo, no curiosee: podría entorpecer o
impedir los trabajos de los equipos de socorro.
4.2. Plan de continuidad de negocio
Este plan se encarga de prever las interrupciones que puedan surgir para
mantener la actividad normal de los procesos de negocio. Trata las normas,
procedimientos, responsabilidades y utilización de recursos en el caso de que se
produzca una interrupción de las operaciones de negocio en su localización
habitual, para restaurar la funcionalidad, así como las normas, procedimientos,
responsabilidades y utilización de recursos para asegurar que no se produzcan las
interrupciones. Se ha confeccionado basándose en las estrategias determinadas por
este Plan de Continuidad del Negocio, así como por las que ya existían en la
organización.
Business Continuity Planning para redes sociales
90
PLAN DE CONTINUIDAD DE “RED SOCIAL”
A. DECLARACIÓN DE LA CONTINUIDAD
Se considerará continuidad de negocio:
i. Mantenimiento de las copias de Backup.
ii. Recuperación de las copias de Backup.
iii. Métodos de enrutamiento diverso disponibles.
iv. Modo de enrutamiento alternativo.
v. Contacto mediante teléfonos móviles.
vi. Registro de logs de acceso a la información.
vii. Sistema de firmas digitales.
viii. Solicitación de transportes
B. RESPONSABILIDADES (responsables)
Se describen las responsabilidades:
PARA EL MANTENIMIENTO Y RECUPERACIÓN DE COPIAS DE
BACKUP
− Conocer la instalación del equipo de backup.
− Entender los manuales de funcionamiento del sistema de backup.
− Configurar los servicios de respaldo según los procedimientos de este
plan.
Business Continuity Planning para redes sociales
91
− Atender incidencias para la recuperación de los datos.
− Revisar su correcto funcionamiento periódicamente.
− Realizar pruebas de recuperación de datos.
PARA LOS MÉTODOS DE ENRUTAMIENTO DIVERSO
− Confeccionar un registro de usuarios.
− Establecer jerarquías para su utilización.
− Contratar métodos diversos de enrutamiento con proveedores.
− Asegurar la correcta utilización corporativa de estos métodos.
PARA EL MODO DE ENRUTAMIENTO ALTERNATIVO
− Automatizar la red para el funcionamiento en caso de necesidad de
respaldo.
− Elaborar un registro para acceso a la red inalámbrica.
− Asegurar la disponibilidad para los procesos críticos del negocio.
− Preservar la instalación de red alternativa.
PARA EL CONTACTO MEDIANTE TELÉFONOS MÓVILES
− Adquisición de teléfonos de uso organizativo.
− Proveer de un sistema de contacto.
− Controlar el uso abusivo.
Business Continuity Planning para redes sociales
92
PARA EL REGISTRO DE LOGS DE ACCESO A LA INFORMACIÓN
− Mantener la concordancia con los niveles de autenticación.
− Conservar la antigüedad de los registros.
− Asegurar esta información para que no pueda ser eliminada.
− Revisión periódica del funcionamiento.
PARA EL SISTEMA DE FIRMAS DIGITALES
− Elaborar información para su utilización.
− Establecer un procedimiento para la instauración.
− Construir la infraestructura de clave privada (PKI).
− Gestionar incidentes.
PARA LA SOLUCIÓN DE TRANSPORTES
− Elegir proveedores de transporte.
− Elaborar un procedimiento de solicitación.
− Controlar el uso abusivo.
Deben existir personas o equipos en la empresa encargados de estas acciones
para que se preserve la continuidad de negocio.
Business Continuity Planning para redes sociales
93
C. SOBRE LA INFORMACIÓN DE LA NECESIDAD DE MEDIDAS DE
BACKUP
Existe la posibilidad de informar sobre una indisponibilidad de los datos
según las siguientes vías:
1. A través del portal interno de la compañía.
2. A través de las notificaciones automáticas de los usuarios externos.
3. Contactando directamente con el área de comunicaciones,
especificando que datos fallan, donde y cuando se originó el fallo.
En todo caso, el área de comunicaciones será la encargada de solicitar la
recuperación de datos a gestión del servicio.
D. PROCEDIMIENTO DE RECUPERACIÓN DE DATOS
1. Recibir notificación de falta de datos (mediante las medidas indicadas
en C).
2. Identificación del problema mediante la consola de recuperación.
3. En el caso de que se detecte fallo, identificar la criticidad de los
sistemas para el restaurar los datos.
4. Establecer el momento de recuperación.
Business Continuity Planning para redes sociales
94
5. Informar a las personas que puedan influir en la recuperación el cese
de sus actividades hasta que esta se complete. (en caso de ser
necesario)
Este procedimiento se encuentra automatizado para la gestión de datos de
los usuarios de la red social y solo afectará a la marcha correcta de las
actividades de los empleados.
E. PROCEDIMIENTO DE ENRUTAMIENTO DIVERSO
1. Identificar errores en la red (mediante envío automático de paquetes)
2. Intentar restaurar el servicio. (mediante labores de mantenimiento)
3. En caso de que no se consiga restaurar, se determinará la resolución
inmediata atendiendo a si proviene de uno de los procesos críticos:
Gestión del entorno operativo Comunicaciones internas Mantenimiento Gestión del servicio Gestión de la seguridad Comunicaciones externas Gestión financiera de clientes Soporte a usuarios Gestión de las operaciones comerciales Gestión financiera de proveedores Gestión de inversiones y financiación Gestión de RRHH
Sí se trata de cualquier otra unidad de negocio, se esperará a la
solución por las labores de mantenimiento.
Business Continuity Planning para redes sociales
95
4. Se dispondrá de los sistemas alternativos, en este orden: red
inalámbrica, red de telefonía móvil, conexiones externas.
5. En caso de que no se pueda proporcionar ninguno de los sistemas
alternativos anteriores se intentará gestionar la recuperación de la red
mediante prioridad máxima.
F. PROCEDIMIENTO PARA LA CONCESIÓN DE TELÉFONOS MÓVILES.
1. Se deben especificar las razones de la solicitud.
2. Se debe comprobar el uso anterior de telefonía móvil por parte del
solicitante para evitar usos abusivos (mediante las alertas de uso
abusivo).
3. Registro del momento de préstamo y de devolución.
G. PROCEDIMIENTO PARA LA SOLICITUD DE FIRMAS DIGITALES
1. Se debe percibir la solicitud por parte del usuario.
2. Una vez recibida la solicitud se procede al registro.
3. Se emite la petición de certificado (validado y archivado).
4. Se informa confidencialmente de las claves y de su expiración.
Convenientemente se avisará sobre el uso de las firmas digitales y se
despejará cualquier duda que pueda surgir.
Business Continuity Planning para redes sociales
96
H. PROCEDIMIENTO PARA LA SOLICITUD DE RENOVACIÓN DE
FIRMAS DIGITALES
1. Se debe percibir la solicitud por parte del usuario o por parte de la
autoridad de certificación.
2. Una vez recibida la solicitud se procede al registro de la renovación.
3. Se emite la petición de renovación certificado (esta se encarga de
validarlo y archivarlo).
4. Se informa confidencialmente de las claves y de su expiración.
I. PROCEDIMIENTO PARA SOLICITUD DE TRANSPORTE
ALTERNATIVO
a) Se deben explicar los motivos.
b) Se deben verificar los motivos.
c) Se procede a la solicitud de transporte según las siguientes
alternativas:
a. Limitado número de personas
i. Disposición de servicios de taxi.
b. Alto número de personal crítico
i. Disposición de autobuses que paren en centros
urbanos.
Business Continuity Planning para redes sociales
97
4.3. Plan de recuperación ante desastres (DRP)
Este plan hace referencia a normas, procedimientos, responsabilidades del
personal y utilización de recursos en el caso de que se produzca una perdida
completa del entorno operativo. Las estrategias escogidas como solución ante
desastres han sido un sistema de cintas de backup (que utilizan el plan de
continuidad del punto anterior) y una póliza de seguros, y no una alternativa
hardware y software “fuera de sitio”. El coste que supone actualmente para RED
SOCIAL una de estas estrategias “fuera de sitio” es excesivo, por lo tanto
actualmente no existe la posibilidad de definición de este plan.
En el caso, en que más adelante se decida la implantación de medidas ante
desastres, este plan debe contener detallado como mínimo:
− Declaración de desastres: Se debe determinar que será considerado como
desastre y como se declararan.
− Disposiciones antes del desastre: Se deberá establecer cuál es la
configuración del negocio, la disposición física de los elementos, la
configuración de los elementos de TIC y las necesidades de recursos
humanos así como la información de contacto.
− Procedimiento ante desastres: Se especificarán los pasos a seguir en caso de
ocurrir un desastre.
Business Continuity Planning para redes sociales
98
− Identificación de los procesos de negocio y recursos de TIC que deben
recuperarse: Se detallará el orden de recuperación de los procesos y los
recursos que necesitan.
− Identificar los responsables y las responsabilidades: Se explicará qué se
debe hacer y qué personas deben llevarlo a cabo.
− Definir la secuencia de recuperación: En este apartado se enumerarán los
pasos para cada una de las opciones de recuperación identificando los
recursos que se están recuperando en cada momento.
El futuro mantenimiento del Plan de Continuidad de Negocio posibilitará
la formalización de este plan siempre que sea acorde con las posibilidades de
financiación de RED SOCIAL.
Business Continuity Planning para redes sociales
99
PARTE III. IMPLEMENTACIÓN DE PLANES
Llevar a cabo las actividades que definen el plan de continuidad del negocio
es una tarea que requiere una labor conjunta por todas las personas implicadas en
algunos de sus aspectos, y que además requiere una conciencia a nivel global. Por
tanto este apartado define una estrategia para que los empleados de RED SOCIAL
acomoden la seguridad de la continuidad en sus quehaceres cotidianos y además
establece como se va a proporcionar la formación necesaria.
Por último los procedimientos que establecen la continuidad, necesitan estar
probados y documentados de tal manera que se obtenga una justificación del
cumplimiento de los objetivos que los hicieron prácticos.
1. Gestión y coordinación de la implantación
Una buena gestión en este aspecto, en la implantación, viene determinada por
diversas metas que a continuación se definen:
1.1. Plan de concienciación
Las personas de toda la organización deben de presentarse capaces de
enfrentarse a las situaciones que perturben la actividad habitual del negocio por lo
tanto deben conocer la realidad de lo que se ha establecido en el diseño de este plan.
En una situación producida por cualquier interrupción, una notificación sobre dicho
Business Continuity Planning para redes sociales
100
incidente no debe suponer sorpresa alguna, ya que cada empleado debería conocer de
antemano que ese momento podría llegar a producirse y actuar en consecuencia. De
esta manera se puede conseguir una recuperación rápida y eficaz de cualquier
incidente relacionado con la seguridad, ya que la respuesta ante ese incidente tendrá
una ejecución sistemática y por lo tanto minimizaría el impacto. Para conseguir una
correcta implantación de esta capacitación ya se han tomado mediadas a lo largo de
todo el diseño.
Por ejemplo, los planes de emergencia deben estar visibles en las
instalaciones, así las personas pueden ser conscientes de ellos. Otro ejemplo es la
asignación de responsabilidades, que deben estar presentes en la rutina diaria por
medios, como su especificación en el momento de la distribución de los planes, la
formación y las pruebas. Otro ejemplo, es el uso de consolas en el día a día que
cuenten con entornos que presentan la gestión de la continuidad de negocio. Un
último ejemplo puede ser la petición de datos para la elaboración de una lista de
personal (como para la recogida de datos de teléfonos móviles para evitar la no
operatividad de las comunicaciones por voz). Todas estas medidas equilibran los
procesos continuos, es decir, permiten que la seguridad de la empresa se manifieste
en las capacidades laborales de los empleados y proporcionan maneras de actuar que
facilitan un contexto de recuerdo.
La disponibilidad de los planes asegura que se pueda utilizar ese recuerdo en
el futuro, ya que en ellos está definida la forma de actuar. Pero su consulta no debe
ser exclusiva en los momentos en los que se produzca un incidente y por lo tanto son
Business Continuity Planning para redes sociales
101
necesarios los planes de formación que se explican a continuación. La
concienciación debe ser un aspecto a tener muy en cuenta, y una buena gestión de
continuidad de negocio debe ir recordándola con cierta asiduidad.
1.2. Plan de formación
La formación garantiza que una persona actúe como facilitador o director
para coordinar las tareas que forman parte de los planes, supervisar su ejecución,
coordinarse con la Dirección y tomar decisiones según sea necesario.
ISO 27001 define las siguientes tareas en cuanto a la capacitación
(formación):
a) Determinar las capacidades necesarias para el personal que realiza
trabajo que afecta al SGSI;
b) Proporcionar la capacitación o realizar otras acciones (por ejemplo;
emplear el personal competente) para satisfacer las necesidades;
c) Evaluar la efectividad de las acciones tomadas;
d) Mantener registros de educación, capacitación, capacidades,
experiencia y calificaciones.
Siguiendo con esa metodología, se creará un registro que se deberá
controlar de la siguiente manera1:
1 Fuente: ISO 27001
Business Continuity Planning para redes sociales
102
Se deben establecer y mantener registros para proporcionar evidencia de
conformidad con los requerimientos de capacitación. Deberá ser protegido y
controlado. Debe de mantenerse legible, fácilmente identificable y recuperable. Se
deben documentar e implementar los controles necesarios para la identificación,
almacenaje, protección, recuperación, tiempo de retención y disposición de los
registros.
Entonces para la consecución de esas tareas, se administrará la formación
mediante la siguiente tabla:
FORMACIÓN EMPLEADO MÉTODO CALIFICACIÓN DÍA MES AÑO
Tabla 14. Registro de formación de empleados.
La columna de formación debe contener las distintas actividades de
capacitación para poder cumplir con los planes. Por consiguiente, va a rellenarse con
las siguientes posibilidades:
− Situación de emergencia
− Mantenimiento y recuperación de copias de backup
− Métodos de enrutamiento diverso
− Modo de enrutamiento alternativo
− Contacto mediante teléfonos móviles
Business Continuity Planning para redes sociales
103
− Registro de logs de acceso
− Sistema de firmas digitales
− Servicios de transportes
− …
NOTA: Estas distintas capacitaciones deberían formar a él/los
empleados mediante la manera de llevar a cabo las
responsabilidades que están descritas en el punto B de los
planes.
La columna de método deberá especificar el tipo de método empleado para
llevar a cabo la formación. Los métodos posibles son: reparto de documentación y
realización de test, reuniones y manejo del entorno, asistir a clases formativas
mediante certificación… La columna de calificación contendrá el valor que se asigna
a la formación de cada empleado. Este valor puede ser difícil de designar, por lo
tanto se deberá comprobar la formación mediante pruebas (siguiente punto de este
documento).
La columna de empleado, contendrá a los empleados ordenados
alfabéticamente de modo que su nombre solo aparecerá una vez por cada formación.
Por último, el tiempo definirá cuando se produzco la última formación, y solo
la gestión del registro podrá proporcionar medidas que dispongan capacitar de nuevo
Business Continuity Planning para redes sociales
104
a un empleado. Por ejemplo, un cambio o actualización de una tecnología podría ser
significativo como evento para volver a realizar una formación.
2. Procedimientos de pruebas
Probar los planes ayuda a asegurar que se puedan ejecutar según se requiera
durante un incidente real. Además permite efectuar modificaciones en función de la
información obtenida por la prueba, para elaborar estrategias alternativas o reforzar
las ya existentes. Por otro lado, las pruebas cuentan con un aspecto difícil, y es que
mientras se están realizando se suele producir una interrupción provocada. Esta
interrupción deberá minimizarse en la medida de lo posible. Por ejemplo podrán
hacerse las pruebas durante los fines de semana, o si requieren la presencia de
empleados en horas donde haya un menor rendimiento.
Semejante a la formación, se deben registrar las pruebas para que se pueda
gestionar si se han producido con éxito o hay que mejorar algunos aspectos. La
siguiente tabla especifica cómo se debe llevar este registro:
OBJETIVO DE
LA PRUEBA
TIPO DE
PRUEBA
PROCESOS
AFECTADOS
DURACIÓN
ESTIMADA
DURACIÓN
REAL RESULTADO DÍA MES AÑO VALORACIÓN
Tabla 15. Registro de pruebas.
El objetivo de la prueba establece las tareas que se van a llevar a cabo.
Deberá basarse en determinar las distintas tareas en orden de consecución de un
Business Continuity Planning para redes sociales
105
objetivo mayor, como puede ser: probar el modo de enrutamiento alternativo, probar
la recuperación de copias de backup… Estas tareas pueden:
− Verificar la integridad y la precisión del plan de continuidad del
negocio.
− Evaluar el desempeño del personal involucrado.
− Evaluar el nivel demostrado de formación y concienciación de los
empleados.
− Evaluar la coordinación.
− Medir la habilidad y la capacidad del sitio alterno.
− Evaluar la capacidad de recuperación.
− …
El tipo de prueba se engloban en tres: pruebas de papel/teóricas, pruebas de
preparación o prueba operativa completa. Los distintos tipos de prueba que ofrece el
estándar ISO/IEC 17799 son los siguientes (ISOI05):
El programa de pruebas para el(los) plan(es) de continuidad debieran
indicar cómo y cuándo se debiera probar cada elemento del plan. Cada elemento
del(los) plan(es) debiera(n) ser probado(s) frecuentemente:
a) prueba flexible de simulación (table-top testing) de varios escenarios
(discutiendo los acuerdos de recuperación comercial utilizando
ejemplos de interrupciones);
Business Continuity Planning para redes sociales
106
b) simulaciones (particularmente para capacitar a las personas en sus
papeles en la gestión post-incidente/crisis);
c) prueba de recuperación técnica (asegurando que los sistemas de
información puedan restaurarse de manera efectiva;
d) prueba de recuperación en el local alternativo (corriendo los
procesos comerciales en paralelo con las operaciones de
recuperación lejos del local principal);
e) pruebas de los medios y servicios del proveedor (asegurando que los
servicios y productos provistos externamente cumplan con el
compromiso contraído);
f) ensayos completos (probando que la organización, personal, equipo,
medios y procesos puedan lidiar con las interrupciones).
Los procesos afectados dejarán claro cuáles son los procesos involucrados en
la prueba, pudiendo ser desde uno, a toda la compañía.
La duración estimada deberá ser la calculada de cada estrategia de
continuidad definida en la fase de diseño de este plan de continuidad del negocio, y
la duración real deberá ser la medida durante la ejecución de la prueba.
NOTA: No todas las estrategias tienen presentes tiempos, en ese
caso estas columnas se dejarán en blanco,
Business Continuity Planning para redes sociales
107
El resultado ofrecerá una visión de sí la prueba ha resultado positiva o por el
contrario negativa y se reflejará mediante la valoración. En el resultado se
especificarán detalles como si se logró la cantidad de utilidad esperada y deberá
contener datos numéricos (que pueden ser números, porcentajes, precisión…) sobre
determinados aspectos en función de los recursos probados. Estos datos deberán
recogerse durante la prueba y se irán analizando en la fase de prueba. Por lo tanto,
antes de la prueba deberá establecerse una hoja para ir anotando posteriormente los
resultados obtenidos. Esta columna hará referencia a un documento que recoge estos
datos. Por otro lado, la valoración estimará en qué grado la prueba ha resultado un
éxito o un fracaso. Esta valoración se realizará mediante tres niveles: fracaso (color
rojo), éxito total (color verde) y éxito parcial con necesidad de mejorar diversos
aspectos (color amarillo). Esta valoración final corresponde a la fase después de la
prueba.
NOTA: Una prueba se encuentra determinada por tres fases, antes de la
prueba, prueba y después de la prueba.
Por último, el día mes y año hará la distinción entre las distintas veces que se
haga una misma prueba.
NOTA: Sí se realiza varias veces una prueba en un mismo día, o
incluso en distintos días consecutivos, el documento de
resultados podrá ofrecer una distinción entre las distintas
pruebas, pero la valoración final será exclusivamente de la
Business Continuity Planning para redes sociales
108
última hecha, ya que se considerará la misma prueba
ejecutada pero más de una vez.
Business Continuity Planning para redes sociales
109
PARTE IV. EVALUACIÓN Y MANTENIMIENTO
El proceso de continuidad de negocio tiene que garantizar que los planes se
actualicen y adapten constantemente para que reflejen los objetivos y las condiciones
actuales de RED SOCIAL.
1. Mantenimiento del plan de continuidad
La continua revisión de los planes que se realiza mediante pruebas, auditorias
en los sistemas, gestión de incidentes reales que puedan ocurrir, cambios que se
produzcan en el negocio, medidas que se crean oportunas, consejos, comentarios… y
más sucesos, dictan requisitos que establecen cambios en el Plan de Continuidad del
Negocio (PCN). Por lo tanto la persona encargada de la seguridad en RED SOCIAL
se encargará de tomar medidas para poder acceder a toda esa información y
determinar si se deben producir cambios en este plan. Una buena solución consiste
en el establecimiento de un patrón de búsqueda de posibilidades de mejora y su
utilización frecuente, como herramienta que proporcione gran capacidad de
mantenimiento. Además un factor clave de cambio en los aspectos que son
potenciales de mejora es el estudio del entorno día a día, mediante cambios en el
análisis de riesgo, adaptaciones más exactas de tiempos, evaluación de posibles
estrategias que sean adaptables al entorno actual, así como la elaboración de la
concienciación, formación y pruebas. Por lo tanto, asegurar el mantenimiento del
plan es una labor que necesita una gran capacidad de gestión y a la vez un
conocimiento muy alto del ámbito empresarial.
Business Continuity Planning para redes sociales
110
2. Mejora continua del plan de continuidad
Como ya se ha explicado anteriormente en este proyecto, la Gestión de
Continuidad de Negocio, forma parte de un ciclo de vida que debe irse manteniendo.
Por lo tanto, este plan deberá revisarse en el futuro. Estas revisiones se deben
formalizar mediante dos perspectivas. La primera es adoptando un patrón continuo
de revisión en el tiempo, que formalizará la necesidad tanto legal como empresarial,
de auditar este plan. Esta tarea se puede llevar a cabo mediante una autoevaluación o
mediante una auditoría externa. La segunda perspectiva, se basa en la realidad
organizativa de las empresas y sus continuos cambios. Esta realidad conforma
diferencias que afectan a los objetivos de la planificación de la continuidad de
negocio. Por ejemplo, el desarrollo o adquisición de nuevas aplicaciones, el cambio
de la arquitectura hardware, el cambio en las estrategias de negocio, el cambio en las
necesidades estratégicas de seguridad actuales…, son posibilidades. Estas dos
perspectivas enfrentan a la vez el ciclo de mejora continua.
RED SOCIAL se enfrenta en su futuro a muchos cambios, ya que se
encuentra en un estado muy cercano a su creación, esto va a provocar que este plan
vaya a variar numerosamente en poco tiempo. Por lo tanto los objetivos de mejora
van a quedar determinados en el corto plazo por estos cambios y se va a adoptar una
filosofía de seguridad muy cercana al proceso de crecimiento de la empresa.
Mediante este transcurso hasta que se vaya consolidando de una manera más
practicable, se va a emprender un proceso de mejora de este plan de tal forma que no
Business Continuity Planning para redes sociales
111
deba de superar los tres meses. Más adelante, en función a los cambios de RED
SOCIAL se irá alargando este tiempo, hasta alcanzar el objetivo que dicta la LOPD
de dos años. El modo de realizar las auditorías podría ser interno, hasta que el
proyecto alcance los dos años de madurez, momento en el que se evaluará la
posibilidad de realizar una auditoría externa llevada a cabo por una entidad que lleve
tiempo dedicándose a la continuidad de negocio. Otro punto de vista podría ser
realizar una auditoría externa inmediatamente para conseguir una mayor
alternativa de éxito ante incidentes que obstaculizan la continuidad, también llevado
a cabo por una entidad que lleve tiempo dedicándose a la continuidad de negocio. La
solución de estas dos soluciones solo podrá ser determinada por la dirección de la
empresa, ya que es la encarga de proporcionar el coste asociado a la seguridad.
Business Continuity Planning para redes sociales
112
PLANIFICACIÓN Y VALORACIÓN ECONÓMICA DEL PFC
1. Organización del proyecto
La organización inicial de este proyecto fin de carrera detallada a
continuación define la lista de acciones que se han seguido desde su comienzo hasta
su finalización, así como, la asignación de roles y responsabilidades de las personas
que han influido de forma directa y la planificación llevada a cabo de cada una de las
acciones dentro del marco establecido por la asignatura de Proyectos Fin de Carrera
de la Universidad Pontificia Comillas – Escuela técnica Superior de Ingeniería
(ICAI) para la gestión de proyectos fin de carrera de la titulación de Ingeniería
Informática. Por último se detallan las medidas de control adoptadas.
1.1. Organigrama
Los distintos roles o puestos de trabajo de este proyecto son los que quedan
definidos en el siguiente organigrama:
Business Continuity Planning para redes sociales
113
Gráfico 10. Organigrama del proyecto fin de carrera.
A continuación se describen las responsabilidades de cada uno de los roles o
puestos de trabajo:
Director
• Acepta dirigir proyectos. • Establece sus necesidades. • Proporciona ideas. • Revisa la documentación. • Da vistos buenos.
Coordinador
• Da de alta el proyecto. • Revisa la presentación de los documentos. • Revisa y corrige la documentación. • Aprueba la presentación. • Establece una nota final.
Jefe de proyecto
• Identifica objetivos.
Business Continuity Planning para redes sociales
114
• Elige metodología de trabajo. • Establece la dimensión del proyecto. • Consigue los recursos necesarios. • Elabora la planificación.
Gerente de seguridad y redactor
• Establece un conocimiento adecuado a buenas prácticas. • Estructura el plan. • Redacta el plan. • Evalúa y corrige el plan.
1.2. Paquetes de trabajo
Una definición que trata de acercar el sentido de la utilización de paquetes de
trabajo, sería la separación de las acciones que hay que llevar a cabo para la
finalización de una parte divisible de trabajo. En este caso la parte divisible de
trabajo es el proyecto y se subdivide en los siguientes paquetes de trabajo:
Gráfico 11. División de los paquetes de trabajo.
A continuación se ofrece una descripción detallada de cada uno de estos
paquetes de trabajo:
Business Continuity Planning para redes sociales
115
• Paquete de trabajo WP_01 – Alcance del proyecto.
Actividades − Coordinación entre director y jefe del proyecto.
Gestión − Director y Jefe del proyecto
• Paquete de trabajo WP_02 – Búsqueda de Información.
Entradas − Alcance del proyecto.
Actividades − Investigación. − Estado.
Gestión − Gestor de seguridad y Director
• Paquete de trabajo WP_03 – Estructurar y preelaborar
Entradas − Información.
Actividades − Organizar. − Estructurar.
Gestión − Director, gestor de seguridad y redactor
• Paquete de trabajo WP_04 – Redactar
Entradas − Documentación − Estructura.
Actividades − Redactar.
Salidas − Plan terminado sin corregir ni evaluar.
Gestión − Redactor
Business Continuity Planning para redes sociales
116
• Paquete de trabajo WP_05 – Evaluación y corrección.
Entradas − Plan terminado sin corregir ni evaluar.
Actividades − Evaluar. − Corregir
Salidas − Nota. − Plan terminado.
Gestión − Redactor, gestor de seguridad, jefe de proyecto, director y
coordinador. La nota es establecida únicamente por el coordinador.
Business Continuity Planning para redes sociales
117
1.3. Planificación
En este apartado se puede observar como ha quedado consumada la
planificación temporal de cada uno de los paquetes de trabajo así como su duración
en número de días.
Gráfico 12. Planificación temporal de paquetes de trabajo.
Alcance del
proyecto
Búsqueda de
info.Estructurar y
preelaborarRedactar
Evaluac. y
corrección
Business Continuity Planning para redes sociales
118
1.4. Control
Un control reiterado acordado no existe como tal en este proyecto. Existe una
revisión para correcciones tanto de sintaxis, ortografía y estructura en la etapa final
de la planificación, así como una instrucción en proyectos de este tipo durante la
asignatura dedicada, por parte del coordinador. Por parte del director, existe un
acercamiento para proporcionar información y claridad sobre el dominio del tema, y
a la vez una revisión de manera análoga a su realización.
2. Valoración económica del proyecto
Las siguientes tablas establecen la valoración económica del proyecto de la
siguiente manera:
• La primera tabla resume la relación de horas/hombre para cada
uno de los paquetes de trabajo.
NOTA: Hay que tener en cuenta que debido a que el proyecto
se ha realizado durante un año académico, la carga de
trabajo no se distribuye por igual a lo largo de la
duración del proyecto.
Business Continuity Planning para redes sociales
119
• En la segunda tabla se recoge el cálculo de totales, mediante la
suma de los recursos humanos, a los recursos de
impresión/encuadernación.
WP_01 WP_02 WP_03 WP_04 WP_05 TOTAL Director 1 0.5 3 0 1 5.5
Coordinador 0 0 0.5 0.5 1 2 J.Proyecto 30 90 20 110 50 300
G.Seguridad y Redactor
TOTAL 31 90.5 23.5 110.5 52 307.5 €
Tabla 16. Relación horas/hombre PFC
h €/h Director 5.5 60 330
Coordinador 2 60 120 J.Proyecto 300 30 9000
G.Seguridad y redactor Subtotal. RRHH - - 9450
Impresión/Encuadernación - - 100 TOTAL - - 9550 €
Tabla 17. Resultados costes PFC
Business Continuity Planning para redes sociales
120
CONCLUSIONES
La gestión y redacción de proyectos de ingeniería conlleva una labor que
necesita de diversos conocimientos que se adquieren por el estudio a lo largo de los
años. Enfrentarse a la redacción de un proyecto bien documentado, sólo es posible
con el manejo de un vocabulario específico que permite un entendimiento claro y
preciso de las tareas que se quieren llevar a cabo. La gestión adecuada del proceso de
planificación de proyectos cuenta con la dificultad de la predicción basada en
estudios y experiencia que necesita de la verificación de los resultados en entorno
reales. No haber establecido un contacto directo con las tecnologías de la
información y la comunicación conforma una dificultad añadida para la ejecución de
la planificación, y más en el caso de un plan de continuidad del negocio.
Las empresas a lo largo de su ciclo de vida producen cambios significativos,
que afectan directamente a su composición y que habrá que gestionar de forma
excelente para atajar los problemas que puedan surgir en el futuro. Los costes de las
alternativas para atajar estos problemas, son un aspecto que puede ser revelador de la
situación de cada empresa, y determinan la posibilidad de desenvolverse en el
entorno. Existen situaciones en las que se intentan establecer estrategias sólidas y las
soluciones deben ser bien planteadas para determinar una buena solución.
Un análisis de impacto recogido en este documento, ayuda a entender la
criticidad de los procesos que tienen lugar en cada una de las áreas de negocio y
Business Continuity Planning para redes sociales
121
además permite la constitución de las responsabilidades que se deben llevar a la
acción desarrollando la capacidad de síntesis, ya no solo en el terreno de la
seguridad, si no en el ámbito completo de las compañías. Además permite conocer la
organización de la empresa y establecer medidas para hacer su futuro más sostenible.
El plan de continuidad de negocio es un proceso que se encuentra en continua
adaptación. Exige una unión íntegra con la empresa ya que necesita de la
colaboración de todos sus empleados y al mismo tiempo configura una dificultad por
las complejas relaciones que se deben mantener. Además, su gestión necesita de una
conexión con los objetivos estratégicos de las empresas ya que estas delimitan la
ejecución de las soluciones. Las tecnologías de la información y la comunicación
también se encuentran muy ligadas a la continuidad del negocio y sus capacidades
deben de ser identificadas, tanto de las que se encuentran actualmente funcionando,
como de las posibilidades que ofrece y ofrecerá el mercado.
Las clarificaciones de los objetivos de un sistema de gestión de la seguridad
de información proporcionan una visión que exige una dedicación profesional
merecedora un gran nivel de comprensión de la técnica y un compromiso de
responsabilidad.
Business Continuity Planning para redes sociales
122
BIBLIOGRAFÍA
Para la realización del proyecto “Business Continuity Planning para redes
sociales”, el autor ha utilizado las siguientes fuentes de información. A lo largo de
este documento, pueden aparecer citaciones entre paréntesis referidas a:
[BCI_07] The Business Continuity Institute, “Guía para instaurar Buenas
Prácticas Globales en Gestión de Continuidad de Negocio” traducido
al castellano por ISMS Forum Spain, basado en BS25999-1, BCI.
2007.
[BSI_06] British Standards Institute, “BS25999-1:2006”, BSI. 2006.
[DELO08] Deloitte, Diapositivas de AULAS EMPRESA sobre “Business
Continuity Plan” acompañada de anotaciones a partir de la
conferencia “Gestión de las TIC ante contingencias y catástrofes: el
plan de continuidad de negocio” organizada por la OFICINA DE
ANTIGUOS ALUMNOS de la Universidad Pontificia Comillas,
Deloitte, Barcelona y Madrid. Febrero 2008 (diapositivas) y Enero
2010 (conferencia).
[DELV02] Julián del Valle, “AUDITORÍA INFORMÁTICA Glosario de
términos”, Dintel, Madrid. Noviembre 2002.
Business Continuity Planning para redes sociales
123
[GTAG10] The Institute of internal Auditors, “Global Technology Audit Guide
GTAG® 10: Business Continuity Management presentation”, The
Institute of internal Auditors.
[ISOI05] International Standard Organization/International Electrotechnical
Commission, “Estándar Internacional ISO/IEC 17799” apartados 6, 13
y 14, ISO/IEC. Junio 2005.
[JAPA06] Javier Jarauta Sánchez y Rafael Palacios Hielscher, Apuntes de la
asignatura cuatrimestral SEGURIDAD INFORMÁTICA: capítulos 1,
2, 3, 9, 10 y práctica 1 correspondientes al, 5º curso de Ingeniería
Informática (curso académico 2009-2010), Escuela Técnica Superior
de Ingeniería (ICAI) de la Universidad Pontificia Comillas, Madrid.
2006
[SANS06] SANS Institute, “Preparing for a Disaster: Determining the Essential
Functions That Should Be Up First”, SANS Institute InfoSec Reading
Room. 2006.
Business Continuity Planning para redes sociales
124
ANEXOS
A. Glosario de términos
El siguiente glosario surge por la gran cantidad de términos específicos y
técnicos en torno a la Gestión de Continuidad de Negocio. Se ha confeccionado a
partir de las aclaraciones que el autor de este proyecto ha considerado oportunas y
utilizando definiciones aparecidas en distintos documentos pertenecientes a la
bibliografía (DELV02) (JAPA06).
A
� Activo
Componente del sistema al que la Organización le asigna un valor
(Tangibles, Intangibles).
� Amenaza
Ocurrencia de un evento que cause un impacto no deseado (Accidentales,
Intencionados). Los tipos más comunes de amenazas son:
• Errores.
• Accidentes.
• Daño/ataque malicioso.
• Incidentes/fenómenos naturales.
• Fraude.
Business Continuity Planning para redes sociales
125
• Robo.
• Falla en equipo/software.
• Perdida de servicios.
� Análisis de Impacto al Negocio (AIN) (BIA)
Determina el impacto de perder el soporte de cualquier recurso de una
organización, establece el aumento de dicha perdida con el tiempo,
identifica los recursos mínimos que es necesario cubrir y prioriza la
recuperación de los procesos y sistemas de soporte. Es el método clave para
realizar una buena Gestión de Continuidad del Negocio, ya que determina
impactos y tiempos.
� Análisis de riesgos
Se trata de la selección de salvaguardas para reducir la probabilidad de que
las diversas amenazas produzcan impacto al afectar a las distintas
vulnerabilidades que puedan perjudicar directamente o indirectamente a los
distintos activos de la compañía. En otras palabras, se quiere considerar el
valor de la información desde la perspectiva del daño potencial o
consecuencias significativas que resulten de intrusión o divulgación no
intencional. Es el método clave para realizar una buena Gestión de Riesgos,
ya que determina impactos y probabilidades.
Business Continuity Planning para redes sociales
126
� Autenticación
Verificación de la autenticidad de una persona o sistema que solicita acceso
a un recurso para determinar su legitimidad antes de que se le otorgue
acceso al recurso solicitado. Suele ir acompañado por una identificación
(como un número de cuenta, id de usuario…).
B
� Backup (copia de respaldo)
Duplicación de archivos de datos para propósitos de almacenamiento,
seguridad y/o recuperación.
� Business Continuity Institute (BCI)
El Instituto de Continuidad de Negocio (Business Continuity Institute en
inglés) dedica su labor a promocionar las normas más elevadas en materia
de competencias profesionales y ética de las prestaciones y del
mantenimiento de servicios y planificación de la continuidad de negocios.
A través de su plan de certificación, el instituto proporciona a sus miembros
un estatus internacionalmente reconocido puesto que la afiliación
profesional del BCI demuestra la capacidad de sus miembros a llevar a cabo
una gestión de continuidad de negocio a un nivel muy elevado.
� Business Continuity Planning
Es la traducción al inglés de Plan o Gestión de Continuidad del Negocio.
(Ver la definición de dicho término en el lugar correspondiente.)
Business Continuity Planning para redes sociales
127
� Business Impact Analisis (BIA)
Es la traducción al inglés de Análisis de Impacto al Negocio. (Ver la
definición de dicho término en el lugar correspondiente.)
C
� Centro de respaldo (Backup)
Sitio alterno para continuar con las actividades de TI/SI cuando el centro
principal del centro de proceso de datos (CPD) no está disponible durante un
periodo de tiempo prolongado. Existen distintos tipos dependiendo de:
• Tiempo que se necesite para hacerlos operativos (cold, warm, hot,
espejo)
• Propiedad (propio, arrendado, compartido)
• La movilidad (portátil, fijo)
• etc
� Cold site
Alternativa de recuperación en caso de desastres consistente en disponer de
una ubicación con los elementos básicos (aire acondicionado, potencia
eléctrica, etc…), y lista para recibir el equipo informático. La puesta en
funcionamiento con esta alternativa puede durar desde varios días hasta
varias semanas.
Business Continuity Planning para redes sociales
128
� Confidencialidad
Protección de información privada o confidencial contra divulgación no
autorizada.
� Criptografía
La criptografía (kryptos = oculto + graphe = escritura) es el arte de escribir
en clave o de forma enigmática. En principio se puede expresar como el
conjunto de técnicas que permiten asegurar que un mensaje solo es
entendible por aquel al que va dirigido. En la actualidad, estas técnicas
permiten además, asegurar que el mensaje no se ha modificado, reconocer al
emisor del mensaje, probar la emisión y recepción del mensaje, etc.
D
� Detección de Intrusos
Proceso de monitorear los incidentes que ocurren en un sistema o red
informático para detectar señales de problemas en la seguridad.
� Disaster Recovery Plan (DRP)
Es la traducción al inglés de Plan de Recuperación de Desastre. (Ver la
definición de dicho término en el lugar correspondiente.)
Business Continuity Planning para redes sociales
129
� Disponibilidad
Garantía de que los sistemas de información y los datos estén listos para su
uso cuando se les necesita (suele expresarse como porcentaje de tiempo que
se puede utilizar un sistema para trabajo productivo).
E
� Encriptación
Transformar los datos de tal forma que sean ilegibles o ininteligibles a
menos de que se aplique un método para deshacer la encriptación y volver a
obtener datos legibles.
F
� Firewall (Cortafuegos)
Sistema o combinación de sistemas que impone una defensa entre dos o más
redes formando una barrera entre un ambiente seguro y otro abierto (como
Internet).
� Firma digital (electrónica)
Conjunto de datos asociado a un mensaje que permite asegurar la identidad
del firmante y la integridad del mensaje. La firma digital no implica que el
mensaje este cifrado. El firmante generará mediante una función hash, un
resumen o huella digital del mensaje. Este resumen o huella digital lo cifrará
con su clave privado y el resultado es lo que se denomina firma digital, que
Business Continuity Planning para redes sociales
130
enviará adjunto al mensaje original. Cualquier receptor del mensaje podrá
comprobar que el mensaje no fue modificado desde su creación porque
podrá generar el mismo resumen o misma huella digital aplicando la misma
función al mensaje. Además podrá comprobar su autoría, descifrando la
firma digital con la clave pública del firmante, lo que dará como resultado
de nuevo el resumen o huella digital del mensaje.
� Función Hash
Algoritmo matemático que aplicado a un bloque de información de longitud
arbitraria produce una salida única de longitud constante (o fija)
generalmente de 128 o 256 bits. Una función hash tiene, entre otras, las
siguientes propiedades: dos mensajes iguales producen huellas digitales
iguales; dos mensajes parecidos producen huellas digitales completamente
diferentes; dos huellas digitales idénticas pueden ser el resultado de dos
mensajes iguales o de dos mensajes completamente diferentes; una función
hash es irreversible, no se puede deshacer, por tanto su comprobación se
realizará aplicando de nuevo la misma función hash al mensaje original.
G
� Gestión de continuidad del Negocio (GCN)
Designar la metodología, basada en normas, estándares y buenas prácticas,
para planificar, implementar y evaluar un documento final o Plan de
Continuidad del Negocio. Su traducción desde el inglés produce una
Business Continuity Planning para redes sociales
131
controversia ya que a veces se utiliza el término Plan de Continuidad del
Negocio para hacer referencia a este término.
� Gestión de Riesgos
Designar la metodología, basada en normas, estándares y buenas prácticas,
para:
1. Identificar y valorar activos.
2. Identificar y valorar amenazas.
3. Identificar las medidas de seguridad existentes.
4. Identificar y valorar vulnerabilidades.
5. Identificar restricciones y objetivos de seguridad.
6. Determinar medidas del riesgo.
7. Determinar el impacto.
8. Identificar y seleccionar las medidas de protección (salvaguardas).
H
� Hot site
Centro operacional, dispuesto para proceso de datos, equipado con los
elementos hardware y software necesarios para ser usados en caso de
desastre o cualquier otro tipo de contingencia. Permite la reanudación de las
operaciones en menos de 48 horas.
Business Continuity Planning para redes sociales
132
I
� Impacto
Por lo general es una pérdida financiera directa a corto plazo o una pérdida
financiera final (indirecta) a largo plazo. Se incluyen las siguientes:
• Pérdida directa de dinero (efectivo o crédito).
• Incumplimiento de la legislación.
• Pérdida de reputación/buen nombre.
• Reducción en el valor de las acciones.
• Poner en peligro al personal o a los clientes.
• Violaciones a la confidencialidad.
• Pérdida de oportunidades de negocio.
• Reducción en el desempeño/eficiencia operativos.
• Interrupción en las actividades de negocio.
� Integridad
Que la información sea precisa, completa y válida de acuerdo con los
valores y expectativas del negocio.
� Interrupciones a la energía eléctrica máximas tolerables (MTO)
Tiempo máximo que la organización puede soportar el procesamiento en un
modo alterno. Después de este tiempo, pueden surgir problemas diferentes e
importantes, en particular si los SDO alternos son menores a los usuales, y
la cantidad de información necesaria para estar actualizado puede aumentar
Business Continuity Planning para redes sociales
133
a un grado incontrolable. Corresponde a las siglas MTO que provienen de la
traducción del término desde el inglés.
� Intrusion Detection System
Es la traducción al inglés de Sistemas de detección de intrusos. (Ver la
definición de dicho término en el lugar correspondiente.)
J
K
L
M
� Maximum Tolerable Outages (MTO)
Es la traducción al inglés de Interrupciones a la energía eléctrica
máximas tolerables. (Ver la definición de dicho término en el lugar
correspondiente.)
Business Continuity Planning para redes sociales
134
N
� No repudio
Seguridad de que una parte no podrá negar después de haber originado los
datos, dando pruebas de la integridad y origen de los datos. La firma
digital proporciona el no repudio.
� Norma
Métricas o procesos que se utilizan para determinar si los procedimientos
cumplen con los requerimientos de las políticas. Proporcionan los
parámetros o límites suficientes para que se pueda determinar una política
sin ambigüedades. Pueden variar (mientras las políticas permanecen
estáticas).
O
� Objetivo de Entrega del Servicio (SDO)
Niveles de servicio que se alcanzan durante el modo alterno de proceso
hasta que se restablece la situación normal. Corresponde a las siglas SDO
que provienen de la traducción del término desde el inglés.
� Objetivo de Punto de Recuperación (RPO)
Medición del punto anterior a un corte de energía al cual se debe restablecer
los datos, o dicho de otra forma, el punto en el cuál fueron interrumpidas las
actividades del sistema debido a la ocurrencia de un determinado evento.
Business Continuity Planning para redes sociales
135
Corresponde a las siglas RPO que provienen de la traducción del término
desde el inglés.
� Objetivo de Tiempo de Recuperación (RTO)
Tiempo establecido para la recuperación de una función o recurso del
negocio después de que ha ocurrido un desastre o dicho de otra forma, el
tiempo entre el punto de interrupción, y el punto en el cuál los sistemas
sensibles en el tiempo deben estar funcionando nuevamente, con los datos
actualizados. Corresponde a las siglas RTO que provienen de la traducción
del término desde el inglés.
P
� PFC
Siglas correspondientes a Proyecto Fin de Carrera y acrónimo utilizado en la
Universidad Pontificia Comillas – Escuela Técnica Superior de Ingeniería
(ICAI), para designarlo.
� Plan de Continuidad del Negocio (PCN)
[1] Resultado de la aplicación de una metodología
interdisciplinaria usada para crear y validar planes logísticos
concernientes a cómo una organización debe recuperar y
restaurar sus funciones críticas, ya sea parcialmente o totalmente
interrumpidas, dentro de un tiempo predeterminado y después de
Business Continuity Planning para redes sociales
136
una interrupción o desastre. Conjuntamente se utiliza para
asegurar la continuidad de las operaciones de negocio.
[2] Al mismo tiempo son las palabras que se usan para designar la
propia metodología, basada en normas, estándares y buenas
prácticas, para planificar, implementar y evaluar el documento
final (definido en [1]). En este caso también se podría denominar
Gestión de Continuidad del Negocio (GCN).
La sobrecarga en el uso de este término, se debe a su adaptación en su
traducción desde el inglés al español, ya que en Inglés se designa de igual
manera tanto a la gestión como al resultado (documento final) de esa
gestión.
� Plan de Recuperación de Desastre (DRP)
Una serie de RRHH, físicos, técnicos y de procedimientos orientados a
recuperar, dentro del tiempo y costo mínimos, una actividad interrumpida
por una emergencia o desastre. Corresponde a las siglas DRP que provienen
de la traducción del término desde el inglés.
� Política
Declaración de alto nivel de conceptos y expectativas de modo que queda
constituido el dominio de decisión.
Business Continuity Planning para redes sociales
137
� Privacidad
Libertad ante intrusión o divulgación no autorizada de información sobre
personas.
� Procedimientos
Incluyen en detalle los pasos necesarios para cumplir con las tareas
específicas. Además, incluyen resultados esperados y presentaciones, así
como condiciones requeridas para la ejecución del procedimiento y los
pasos alternativos para cuando ocurren resultados inesperados. Son claros,
sin ambigüedades y con términos exactos como “debe” o “podría”. Van
acompañados de información útil para su ejecución como sugerencias,
ejemplos, descripciones…
� Pruebas de penetración.
Prueba en vivo de la efectividad de las defensas de la seguridad mediante la
imitación de acciones que llevan a cabo atacantes en la vida real.
Q
R
� RAID (Redundant Array of Independent Disks)
Matriz redundante de discos independientes que consiste en la agrupación
de varias unidades de disco magnético formando una única unidad lógica de
Business Continuity Planning para redes sociales
138
almacenamiento. Se define el concepto nivel para indicar la técnica
empleada para la agrupación y relación de la información en los soportes,
estableciendo diferentes medidas para la protección de datos (RAID-0,
RAID-1, RAID-2, RAID-3, RAID-4, RAID-5)
� Recovery Point Objective (RPO)
Es la traducción al inglés de Objetivo de Punto de Recuperación. (Ver la
definición de dicho término en el lugar correspondiente.)
� Recovery Time Objective (RTO)
Es la traducción al inglés de Objetivo de Tiempo de Recuperación. (Ver la
definición de dicho término en el lugar correspondiente.)
� Recursos Humanos (RRHH)
Trabajo que aporta el conjunto de los empleados o colaboradores de esa
organización. Pero lo más frecuente es llamar así a la función que se ocupa
de seleccionar, contratar, formar, emplear y retener a los colaboradores de la
organización
� Red Social
Comunidad en Internet de personas que comparten intereses y actividades, o
que están interesados en explorar los intereses y las actividades de otros, y
que requiere el uso de software.
Business Continuity Planning para redes sociales
139
� Redes privadas virtuales (VPN)
Red privada que se construye utilizando la estructura pública de
comunicaciones para conectar los nodos. Estos sistemas utilizan el cifrado y
otros mecanismos de seguridad para asegurar que únicamente los usuarios
autorizados pueden tener acceso a la red privada virtual y que los datos no
pueden ser interceptados. Corresponde a las siglas VPN que provienen de la
traducción del término desde el inglés.
� Riesgo
Posibilidad de que una amenaza se realice. Se puede identificar
dividiéndolo en las áreas de riesgo comercial de la organización: ambiental
(competidores, perdida catastrófica, confidencialidad…), comercial
(relaciones de accionistas, legal/regulatorio, disponibilidad de capital…) y
de procesos (satisfacción del cliente, liderazgo, integridad, fraude
administrativo, liquidación…).
� Riesgo residual
Cantidad de riesgo que permanece aun después de que se han implementado
controles y acciones preventivas.
Business Continuity Planning para redes sociales
140
S
� Salvaguarda
Medida de control para reducir el riesgo asociado a una determinada
amenaza.
� Service Delivery Objective (SDO)
Es la traducción al inglés de Objetivo de Entrega de Servicio. (Ver la
definición de dicho término en el lugar correspondiente.)
� Sistema de detección de Intrusos (IDS)
Inspecciona la actividad en la seguridad del host y la red para identificar
patrones sospechosos que pudieran ser indicadores de un ataque al sistema o
a la red. Corresponde a las siglas IDS que provienen de la traducción del
término desde el inglés.
� Sistema de prevención de Intrusos (IPS)
Aporta las características de un IDS pero además de detectar intrusiones, las
previene de manera proactiva interponiéndose en el flujo de datos.
Corresponde a las siglas IPS que provienen de la traducción del término
desde el inglés.
� Sistema de Gestión de Seguridad de la Información (SGSI)
Se trata del esquema general de procesos y procedimientos de seguridad de
la Información (centrándose en la seguridad de las TIC ) que se emplea para
Business Continuity Planning para redes sociales
141
garantizar que la organización realiza todas las tareas necesarias para
alcanzar sus objetivos en seguridad.
T
� Tarjetas inteligentes
Cualquier tarjeta del tamaño de un bolsillo con circuitos integrados que
permiten la ejecución de cierta lógica programada utilizadas para
identificación, control de acceso, firma digital, monedero electrónico...
Internamente pueden componerse de CPU, ROM, EEPROM, RAM.
Actualmente el DNI electrónico instaurado en España se basa en esta
tecnología.
� Tecnologías de la Información y la Comunicación (TIC)
Elementos y técnicas utilizadas en el tratamiento y la transmisión de las
informaciones, principalmente de informática, Internet y
telecomunicaciones.
U
� UPS (Uninterrumpible Power Supply)
Dispositivo que gracias a sus baterías, puede proporcionar energía eléctrica
tras un apagón a todos los dispositivos que tenga conectados. Otra de sus
funciones es la de mejorar la calidad de la energía eléctrica que llega a los
aparatos, filtrando subidas y bajadas de tensión y eliminando armónicos de
Business Continuity Planning para redes sociales
142
la red en el caso de usar corriente alterna. Dan energía eléctrica a equipos
llamados cargas críticas, como pueden ser aparatos médicos, industriales o
informáticos que requieren tener siempre alimentación y que ésta sea de
calidad, debido a la necesidad de estar en todo momento operativos y sin
fallos (picos o caídas de tensión).
V
� Ventana de interrupción
El tiempo que una compañía puede esperar desde el punto de falla hasta el
restablecimiento de los servicios o aplicaciones, mínimos y críticos.
Después de ese tiempo, las perdidas progresivas ocasionadas por la
interrupción son excesivas para la organización.
� Vulnerabilidad
Debilidad o ausencia de medidas de salvaguarda. Algunos ejemplos son los
siguientes:
• Software defectuoso.
• Equipo configurado en forma inapropiada.
• Cumplimiento forzoso inadecuado.
• Diseño deficiente de redes.
• Procesos defectuosos o incontrolados.
• Administración inadecuada.
• Personal insuficiente.
Business Continuity Planning para redes sociales
143
• Falta de conocimiento de usuarios.
• Falta de funcionalidad en la seguridad.
• Falta de mantenimiento apropiado.
• Elección deficiente de contraseñas.
• Tecnología no probada.
• Transmisión de comunicaciones no protegidas.
• Falta de redundancia.
W
� Warm Site
Alternativa de recuperación en caso de desastres consistente en disponer de
una sede equipada con los elementos de infraestructura y parte o todos los
dispositivos necesarios a falta del ordenador. Con esta alternativa se pueden
tardar días en establecer de nuevo las operaciones.
X
Y
Business Continuity Planning para redes sociales
144
Z
� Zona desmilitarizada (DMZ)
Zona donde se albergan los servidores a los que el firewall permite un
acceso parcial, generalmente se emplea para servidores Web, servidores
FTP y servidores de correo.
Business Continuity Planning para redes sociales
145
B. Legislación vigente
Se han identificado las siguientes leyes aplicables para la organización RED
SOCIAL que tienen relación con la continuidad de los Sistemas de Información.
a) LSSI-CE
La Ley de Servicios de la Sociedad de la Información y del Comercio
Electrónico (o LSSI-CE) establece los criterios de servicios en Internet cuando sean
parte de la actividad económica:
• Servicios por Internet
− Mostrar en la web: Nombre, NIF, dirección, correo electrónico.
− Datos de inscripción registral incluyendo nombre del dominio.
− Mostrar precios de los productos y servicios,
− Contratación y tramitación on-line.
− Autenticación mediante certificados y establecer canales seguros SSL.
• Sobre la publicidad por Internet
− Prohibición de los spam (email no solicitado).
− Posibilidad de borrarse de las listas de correo informativo.
• Sobre los prestadores de servicios ISP, Hosting
Business Continuity Planning para redes sociales
146
− Colaborar con los órganos públicos para resolución de incidencias:
almacenamiento de logs y eventos para rastreo.
− Informar a los clientes sobre medidas de seguridad a aplicar.
− No son responsables de contenidos ilícitos si no los elaboran,
− Sí son responsables si los conocen y no los retiran o no los comunican.
• Sobre titulares de páginas personales
− Solo sujetas a la ley si tienen publicidad por la que perciban ingresos.
− Identificar claramente la publicidad y la identidad: nombre, tfno, fax,
eMail, NIF.
A continuación se han copiado los aspectos más relevantes con las palabras
exactas de esta ley:
LLeeyy 3344//22000022,, ddee 1111 ddee jjuull iioo,, ddee sseerrvviicciiooss ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn yy ddee ccoommeerrcciioo
eelleeccttrróónniiccoo..
““ ……LLaa pprreessttaacciióónn ddee sseerrvviicciiooss ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn nnoo eessttaarráá ssuujjeettaa aa aauuttoorriizzaacciióónn
pprreevviiaa……””
““ ……EEnn ccaassoo ddee qquuee uunn ddeetteerrmmiinnaaddoo sseerrvviicciioo ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn aatteennttee oo ppuueeddaa
aatteennttaarr ccoonnttrraa llooss pprriinncciippiiooss qquuee ssee eexxpprreessaann aa ccoonnttiinnuuaacciióónn,, llooss óórrggaannooss ccoommppeetteenntteess ppaarraa ssuu
pprrootteecccciióónn,, eenn eejjeerrcciicciioo ddee llaass ffuunncciioonneess qquuee tteennggaann lleeggaallmmeennttee aattrr iibbuuiiddaass,, ppooddrráánn aaddooppttaarr llaass
mmeeddiiddaass nneecceessaarriiaass ppaarraa qquuee ssee iinntteerrrruummppaa ssuu pprreessttaacciióónn oo ppaarraa rreettii rraarr llooss ddaattooss qquuee llooss vvuullnneerraann..
LLooss pprriinncciippiiooss aa qquuee aalluuddee eessttee aappaarrttaaddoo ssoonn llooss ssiigguuiieenntteess::
aa.. LLaa ssaallvvaagguuaarrddaa ddeell oorrddeenn ppúúbbll iiccoo,, llaa iinnvveessttiiggaacciióónn ppeennaall ,, llaa
sseegguurriiddaadd ppúúbbll iiccaa yy llaa ddeeffeennssaa nnaacciioonnaall ..
Business Continuity Planning para redes sociales
147
bb.. LLaa pprrootteecccciióónn ddee llaa ssaalluudd ppúúbbll iiccaa oo ddee llaass ppeerrssoonnaass ffííssiiccaass oo
jjuurrííddiiccaass qquuee tteennggaann llaa ccoonnddiicciióónn ddee ccoonnssuummiiddoorreess oo uussuuaarriiooss,,
iinncclluussoo ccuuaannddoo aaccttúúeenn ccoommoo iinnvveerrssoorreess..
cc.. EEll rreessppeettoo aa llaa ddiiggnniiddaadd ddee llaa ppeerrssoonnaa yy aall pprriinncciippiioo ddee nnoo
ddiissccrriimmiinnaacciióónn ppoorr mmoottiivvooss ddee rraazzaa,, sseexxoo,, rreell iiggiióónn,, ooppiinniióónn,,
nnaacciioonnaall iiddaadd,, ddiissccaappaacciiddaadd oo ccuuaallqquuiieerr oottrraa cciirrccuunnssttaanncciiaa
ppeerrssoonnaall oo ssoocciiaall ,, yy
dd.. LLaa pprrootteecccciióónn ddee llaa jjuuvveennttuudd yy ddee llaa iinnffaanncciiaa……””
““ ……CCoonnssttaanncciiaa rreeggiissttrraall ddeell nnoommbbrree ddee ddoommiinniioo…… ……SSuu nnoommbbrree oo ddeennoommiinnaacciióónn ssoocciiaall ;; ssuu
rreessiiddeenncciiaa oo ddoommiiccii ll iioo oo,, eenn ssuu ddeeffeeccttoo,, llaa ddiirreecccciióónn ddee uunnoo ddee ssuuss eessttaabblleecciimmiieennttooss ppeerrmmaanneenntteess eenn
EEssppaaññaa;; ssuu ddiirreecccciióónn ddee ccoorrrreeoo eelleeccttrróónniiccoo yy ccuuaallqquuiieerr oottrroo ddaattoo qquuee ppeerrmmiittaa eessttaabblleecceerr ccoonn ééll uunnaa
ccoommuunniiccaacciióónn ddiirreeccttaa yy eeffeeccttiivvaa……””
““ ……CCuuaannddoo eell sseerrvviicciioo ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn hhaaggaa rreeffeerreenncciiaa aa pprreecciiooss,, ssee ffaaccii ll ii ttaarráá
iinnffoorrmmaacciióónn ccllaarraa yy eexxaaccttaa ssoobbrree eell pprreecciioo ddeell pprroodduuccttoo oo sseerrvviicciioo,, iinnddiiccaannddoo ssii iinncclluuyyee oo nnoo llooss
iimmppuueessttooss aappll iiccaabblleess yy,, eenn ssuu ccaassoo,, ssoobbrree llooss ggaassttooss ddee eennvvííoo oo eenn ssuu ccaassoo aaqquueell lloo qquuee ddiissppoonnggaann llaass
nnoorrmmaass ddee llaass CCoommuunniiddaaddeess AAuuttóónnoommaass ccoonn ccoommppeetteenncciiaass eenn llaa mmaatteerriiaa……””
““ ……DDeebbeerr ddee rreetteenncciióónn ddee ddaattooss ddee ttrrááffiiccoo rreellaattiivvooss aa llaass ccoommuunniiccaacciioonneess eelleeccttrróónniiccaass……””
““ ……OObbll iiggaacciioonneess ddee iinnffoorrmmaacciióónn ssoobbrree sseegguurriiddaadd……””
““ ……RReessppoonnssaabbii ll iiddaadd ddee llooss pprreessttaaddoorreess ddee sseerrvviicciiooss qquuee rreeaall iizzaann ccooppiiaa tteemmppoorraall ddee llooss ddaattooss
ssooll iiccii ttaaddooss ppoorr llooss uussuuaarriiooss..
LLooss pprreessttaaddoorreess ddee uunn sseerrvviicciioo ddee iinntteerrmmeeddiiaacciióónn qquuee ttrraannssmmiittaann ppoorr uunnaa rreedd ddee
tteelleeccoommuunniiccaacciioonneess ddaattooss ffaaccii ll ii ttaaddooss ppoorr uunn ddeessttiinnaattaarriioo ddeell sseerrvviicciioo yy,, ccoonn llaa úúnniiccaa ffiinnaall iiddaadd ddee
hhaacceerr mmááss eeffiiccaazz ssuu ttrraannssmmiissiióónn uull tteerriioorr aa oottrrooss ddeessttiinnaattaarriiooss qquuee llooss ssooll iiccii tteenn,, llooss aallmmaacceenneenn eenn ssuuss
ssiisstteemmaass ddee ffoorrmmaa aauuttoommááttiiccaa,, pprroovviissiioonnaall yy tteemmppoorraall ,, nnoo sseerráánn rreessppoonnssaabblleess ppoorr eell ccoonntteenniiddoo ddee eessooss
ddaattooss nnii ppoorr llaa rreepprroodduucccciióónn tteemmppoorraall ddee llooss mmiissmmooss,, ssii ::
aa.. NNoo mmooddii ffiiccaann llaa iinnffoorrmmaacciióónn..
Business Continuity Planning para redes sociales
148
bb.. PPeerrmmiitteenn eell aacccceessoo aa eell llaa ssóólloo aa llooss ddeessttiinnaattaarriiooss qquuee ccuummppllaann llaass
ccoonnddiicciioonneess iimmppuueessttaass aa ttaall ffiinn,, ppoorr eell ddeessttiinnaattaarriioo ccuuyyaa
iinnffoorrmmaacciióónn ssee ssooll iiccii ttaa..
cc.. RReessppeettaann llaass nnoorrmmaass ggeenneerraallmmeennttee aacceeppttaaddaass yy aappll iiccaaddaass ppoorr eell
sseeccttoorr ppaarraa llaa aaccttuuaall iizzaacciióónn ddee llaa iinnffoorrmmaacciióónn..
dd.. NNoo iinntteerrffiieerreenn eenn llaa uuttii ll iizzaacciióónn ll ííccii ttaa ddee tteeccnnoollooggííaa ggeenneerraallmmeennttee
aacceeppttaaddaa yy eemmpplleeaaddaa ppoorr eell sseeccttoorr,, ccoonn eell ffiinn ddee oobbtteenneerr ddaattooss
ssoobbrree llaa uuttii ll iizzaacciióónn ddee llaa iinnffoorrmmaacciióónn,, yy
ee.. RReettii rraann llaa iinnffoorrmmaacciióónn qquuee hhaayyaann aallmmaacceennaaddoo oo hhaacceenn iimmppoossiibbllee
eell aacccceessoo aa eell llaa,, eenn ccuuaannttoo tteennggaann ccoonnoocciimmiieennttoo eeffeeccttiivvoo ddee::
11.. QQuuee hhaa ssiiddoo rreettii rraaddaa ddeell lluuggaarr ddee llaa rreedd eenn qquuee ssee
eennccoonnttrraabbaa iinniicciiaallmmeennttee..
22.. QQuuee ssee hhaa iimmppoossiibbii ll ii ttaaddoo eell aacccceessoo aa eell llaa,, oo
33.. QQuuee uunn ttrr iibbuunnaall uu óórrggaannoo aaddmmiinniissttrraattiivvoo ccoommppeetteennttee hhaa
oorrddeennaaddoo rreettii rraarrllaa oo iimmppeeddiirr qquuee ssee aacccceeddaa aa eell llaa……””
““ ……RReessppoonnssaabbii ll iiddaadd ddee llooss pprreessttaaddoorreess ddee sseerrvviicciiooss ddee aalloojjaammiieennttoo oo aallmmaacceennaammiieennttoo ddee ddaattooss..
LLooss pprreessttaaddoorreess ddee uunn sseerrvviicciioo ddee iinntteerrmmeeddiiaacciióónn ccoonnssiisstteennttee eenn aallbbeerrggaarr ddaattooss pprrooppoorrcciioonnaaddooss
ppoorr eell ddeessttiinnaattaarriioo ddee eessttee sseerrvviicciioo nnoo sseerráánn rreessppoonnssaabblleess ppoorr llaa iinnffoorrmmaacciióónn aallmmaacceennaaddaa aa ppeettiicciióónn
ddeell ddeessttiinnaattaarriioo,, ssiieemmpprree qquuee::
aa.. NNoo tteennggaann ccoonnoocciimmiieennttoo eeffeeccttiivvoo ddee qquuee llaa aaccttiivviiddaadd oo llaa iinnffoorrmmaacciióónn
aallmmaacceennaaddaa eess ii ll ííccii ttaa oo ddee qquuee lleessiioonnaa bbiieenneess oo ddeerreecchhooss ddee uunn tteerrcceerroo
ssuusscceeppttiibblleess ddee iinnddeemmnniizzaacciióónn,, oo
bb.. SSii lloo ttiieenneenn,, aaccttúúeenn ccoonn ddii ll iiggeenncciiaa ppaarraa rreettii rraarr llooss ddaattooss oo hhaacceerr
iimmppoossiibbllee eell aacccceessoo aa eell llooss……””
““ ……RReessppoonnssaabbii ll iiddaadd ddee llooss pprreessttaaddoorreess ddee sseerrvviicciiooss qquuee ffaaccii ll ii tteenn eennllaacceess aa ccoonntteenniiddooss oo
iinnssttrruummeennttooss ddee bbúússqquueeddaa..
LLooss pprreessttaaddoorreess ddee sseerrvviicciiooss ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn qquuee ffaaccii ll ii tteenn eennllaacceess aa oottrrooss
ccoonntteenniiddooss oo iinncclluuyyaann eenn llooss ssuuyyooss ddiirreeccttoorriiooss oo iinnssttrruummeennttooss ddee bbúússqquueeddaa ddee ccoonntteenniiddooss nnoo sseerráánn
rreessppoonnssaabblleess ppoorr llaa iinnffoorrmmaacciióónn aa llaa qquuee ddiirr ii jjaann aa llooss ddeessttiinnaattaarriiooss ddee ssuuss sseerrvviicciiooss,, ssiieemmpprree qquuee::
Business Continuity Planning para redes sociales
149
aa.. NNoo tteennggaann ccoonnoocciimmiieennttoo eeffeeccttiivvoo ddee qquuee llaa aaccttiivviiddaadd oo llaa
iinnffoorrmmaacciióónn aa llaa qquuee rreemmiitteenn oo rreeccoommiieennddaann eess ii ll ííccii ttaa oo ddee qquuee
lleessiioonnaa bbiieenneess oo ddeerreecchhooss ddee uunn tteerrcceerroo ssuusscceeppttiibblleess ddee
iinnddeemmnniizzaacciióónn,, oo
bb.. SSii lloo ttiieenneenn,, aaccttúúeenn ccoonn ddii ll iiggeenncciiaa ppaarraa ssuupprriimmiirr oo iinnuuttii ll iizzaarr eell
eennllaaccee ccoorrrreessppoonnddiieennttee……””
““ ……LLaa eennttiiddaadd ppúúbbll iiccaa eemmpprreessaarriiaall RReedd..eess eess llaa aauuttoorriiddaadd ddee aassiiggnnaacciióónn,, aa llaa qquuee ccoorrrreessppoonnddee llaa
ggeessttiióónn ddeell rreeggiissttrroo ddee nnoommbbrreess ddee ddoommiinniioo ddee IInntteerrnneett bbaajjoo eell ..eess,, ddee aaccuueerrddoo ccoonn lloo eessttaabblleecciiddoo eenn llaa
ddiissppoossiicciióónn aaddiicciioonnaall sseexxttaa ddee llaa LLeeyy 1111//11999988,, ddee 2244 ddee aabbrrii ll ,, GGeenneerraall ddee TTeelleeccoommuunniiccaacciioonneess......””
““ ……EEll eennvvííoo mmaassiivvoo ddee ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess ppoorr ccoorrrreeoo eelleeccttrróónniiccoo uu oottrroo mmeeddiioo ddee
ccoommuunniiccaacciióónn eelleeccttrróónniiccaa eeqquuiivvaalleennttee oo eell eennvvííoo,, eenn eell ppllaazzoo ddee uunn aaññoo,, ddee mmááss ddee ttrreess
ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess ppoorr llooss mmeeddiiooss aalluuddiiddooss aa uunn mmiissmmoo ddeessttiinnaattaarriioo,, ccuuaannddoo eenn ddiicchhooss
eennvvííooss nnoo ssee ccuummppllaann llooss rreeqquuiissii ttooss eessttaabblleecciiddooss eenn eell aarrttííccuulloo 2211......”” ((II nnffrraacccciióónn ggrraavvee))
““ ……EEll iinnccuummppll iimmiieennttoo ddee llaa oobbll iiggaacciióónn ddee ssuussppeennddeerr llaa ttrraannssmmiissiióónn,, eell aalloojjaammiieennttoo ddee ddaattooss,, eell
aacccceessoo aa llaa rreedd oo llaa pprreessttaacciióónn ddee ccuuaallqquuiieerr oottrroo sseerrvviicciioo eeqquuiivvaalleennttee ddee iinntteerrmmeeddiiaacciióónn,, ccuuaannddoo uunn
óórrggaannoo aaddmmiinniissttrraattiivvoo ccoommppeetteennttee lloo oorrddeennee,, eenn vviirrttuudd ddee lloo ddiissppuueessttoo eenn eell aarrttííccuulloo 1111......””
((II nnffrraacccciióónn mmuuyy ggrraavvee))
““ ……LLaass ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess rreeaall iizzaaddaass ppoorr vvííaa eelleeccttrróónniiccaa ddeebbeerráánn sseerr ccllaarraammeennttee
iiddeennttii ffiiccaabblleess ccoommoo ttaalleess yy llaa ppeerrssoonnaa ffííssiiccaa oo jjuurrííddiiccaa eenn nnoommbbrree ddee llaa ccuuaall ssee rreeaall iizzaann ttaammbbiiéénn
ddeebbeerráá sseerr ccllaarraammeennttee iiddeennttii ffiiccaabbllee..
EEnn eell ccaassoo eenn eell qquuee tteennggaann lluuggaarr aa ttrraavvééss ddee ccoorrrreeoo eelleeccttrróónniiccoo uu oottrroo mmeeddiioo ddee ccoommuunniiccaacciióónn
eelleeccttrróónniiccaa eeqquuiivvaalleennttee iinncclluuiirráánn aall ccoommiieennzzoo ddeell mmeennssaajjee llaa ppaallaabbrraa ppuubbll iicciiddaadd oo llaa aabbrreevviiaattuurraa
ppuubbll ii……””
““ ……QQuueeddaa pprroohhiibbiiddoo eell eennvvííoo ddee ccoommuunniiccaacciioonneess ppuubbll iiccii ttaarriiaass oo pprroommoocciioonnaalleess ppoorr ccoorrrreeoo
eelleeccttrróónniiccoo uu oottrroo mmeeddiioo ddee ccoommuunniiccaacciióónn eelleeccttrróónniiccaa eeqquuiivvaalleennttee qquuee pprreevviiaammeennttee nnoo hhuubbiieerraann ssiiddoo
ssooll iiccii ttaaddaass oo eexxpprreessaammeennttee aauuttoorriizzaaddaass ppoorr llooss ddeessttiinnaattaarriiooss ddee llaass mmiissmmaass..
LLoo ddiissppuueessttoo eenn eell aappaarrttaaddoo aanntteerriioorr nnoo sseerráá ddee aappll iiccaacciióónn ccuuaannddoo eexxiissttaa uunnaa rreellaacciióónn
ccoonnttrraaccttuuaall pprreevviiaa,, ssiieemmpprree qquuee eell pprreessttaaddoorr hhuubbiieerraa oobbtteenniiddoo ddee ffoorrmmaa ll ííccii ttaa llooss ddaattooss ddee ccoonnttaaccttoo
ddeell ddeessttiinnaattaarriioo yy llooss eemmpplleeaarraa ppaarraa eell eennvvííoo ddee ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess rreeffeerreenntteess aa pprroodduuccttooss oo
Business Continuity Planning para redes sociales
150
sseerrvviicciiooss ddee ssuu pprrooppiiaa eemmpprreessaa qquuee sseeaann ssiimmii llaarreess aa llooss qquuee iinniicciiaallmmeennttee ffuueerroonn oobbjjeettoo ddee
ccoonnttrraattaacciióónn ccoonn eell ccll iieennttee..
EEnn ttooddoo ccaassoo,, eell pprreessttaaddoorr ddeebbeerráá ooffrreecceerr aall ddeessttiinnaattaarriioo llaa ppoossiibbii ll iiddaadd ddee ooppoonneerrssee aall
ttrraattaammiieennttoo ddee ssuuss ddaattooss ccoonn ffiinneess pprroommoocciioonnaalleess mmeeddiiaannttee uunn pprroocceeddiimmiieennttoo sseennccii ll lloo yy ggrraattuuii ttoo,,
ttaannttoo eenn eell mmoommeennttoo ddee rreeccooggiiddaa ddee llooss ddaattooss ccoommoo eenn ccaaddaa uunnaa ddee llaass ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess
qquuee llee ddiirr ii jjaa……””
b) LOPD
Existe otra ley organizada en la actualidad bajo la Ley Orgánica de
Protección de datos, que para la actividad de una empresa como RED SOCIAL
obliga a declarar ficheros con datos personales en Agencia de Protección de datos así
como establecer las siguientes medidas (una red social gestiona datos muy personales
de los usuarios, por lo tanto la Agencia de Protección de Datos la clasifica en el nivel
más alto):
− Creación de un documento de seguridad, de obligado cumplimiento para el
personal que tenga acceso a los datos.
− Adopción de medidas para que el personal conozca las normas de seguridad.
− Creación de un registro de incidencias.
− Creación de una relación de usuarios (procesos o personas) que tengan
acceso al sistema de información.
− Establecer mecanismos de control de acceso.
− Establecer mecanismos de control de soporte.
− Identificación del responsable de seguridad.
Business Continuity Planning para redes sociales
151
− Control periódico para verificar el cumplimiento en lo dispuesto en el
documento de seguridad.
− Definir además las medidas para reutilizar o desechar un soporte.
− Auditoría interna o externa. Al menos cada 2 años.
− Mecanismo para identificar todo usuario que intente acceder al sistema.
Limitar el número de intentos.
− Normas sobre gestión de los soportes.
− Medidas complementarias sobre:
o Distribución y gestión de soportes de copias de seguridad.
o Registro de accesos lógicos: logs con usuario, hora, tipo
o Control y registro de accesos físicos
o Copias de respaldo y recuperación
− Comunicaciones cifradas en caso de realizar transmisión de datos
Además la LOPD establece que las siguientes medidas con respecto a los
derechos de las personas a las que pueda hacer referencia la información:
• Derechos básicos: Derecho de consulta al registro general de protección de
datos. El registro es de consulta pública y gratuita.
• Servicios gratuitos que debe ofrecer la empresa
o Derecho de acceso. Consulta gratuita de los datos personales de la
persona que los solicite.
o Derecho de rectificación. plazo de 10 días
Business Continuity Planning para redes sociales
152
o Derecho de cancelación (derecho a borrar el dato). plazo de 10 días
o Derecho de oposición (eliminación de datos cuyo tratamiento no
requiera consentimiento).
c) LISI
Medidas orientadas a impulsar la sociedad de la información en el sector
privado bajo tres líneas fundamentales: facturación electrónica, contratación
electrónica e interlocución entre clientes, partners y proveedores:
• Facturación electrónica.
− Uso de medios electrónicos en los procesos de contratación.
• Obligación de disponer de un medio de interlocución telemática
− Prestación de servicios al público de especial trascendencia económica.
• Ofertas públicas de contratación electrónica entre empresas.
• Utilización de caracteres de las lenguas oficiales de España en “.es”.
• Extensión de servicios de banda ancha.
• Mejora de los niveles de seguridad y confianza en Internet.
• Requerimientos de información para fines estadísticos y de análisis.
• Acceso de las personas con discapacidad a las TIC.
• Transferencia tecnológica a la sociedad.
• Cesión de contenidos para su puesta a disposición de la sociedad.
• Regulación del juego.
Business Continuity Planning para redes sociales
153
d) Ley de firma electrónica
Equipara la firma electrónica a la firma física, estableciendo su validez legal y
regula:
− Prestadores de servicios de certificación.
− Certificados reconocidos.
− Dispositivos seguros de creación de firmas.
Business Continuity Planning para redes sociales
154
C. Índice de tablas y gráficos
Estos son los gráficos y tablas que han servido para acompañar la realización
y comprensión de este proyecto fin de carrera:
GRÁFICOS
Gráfico 1. Procesos de negocio de RED SOCIAL ...................................................... 7
Gráfico 2. Línea base de negocio de RED SOCIAL ................................................. 11
Gráfico 3. Ciclo de mejora continua adaptado de la GCN. (GTAG10) ..................... 13
Gráfico 4. Ciclo de vida de la GCN (BCI_07) .......................................................... 15
Gráfico 5. Ciclo de mejora continua para la GCN (DELO08) .................................. 16
Gráfico 6. Evolución de los usuarios de Internet por niveles de rentas ..................... 18
Gráfico 7. Mapa de riesgos probabilidad/nivel de criticidad. .................................... 44
Gráfico 8. Relación coste/perdidas para selección de estrategias de continuidad. .... 56
Gráfico 9. Comparativa coste/tiempo de estrategias de recuperación. ...................... 59
Gráfico 10. Organigrama del proyecto fin de carrera. ............................................. 113
Gráfico 11. División de los paquetes de trabajo. ..................................................... 114
Gráfico 12. Planificación temporal de paquetes de trabajo. .................................... 117
Business Continuity Planning para redes sociales
155
TABLAS
Tabla 1. Descripción de procesos de cada una de las áreas de RED SOCIAL ............ 8
Tabla 2. Descripción de tecnologías de seguridad existentes. ................................... 29
Tabla 3. Comparación entre Gestión de Riesgos y GCN. ......................................... 32
Tabla 4. Procesos de RED SOCIAL y dependencias directas. .................................. 33
Tabla 5. Procesos de RED SOCIAL y su misión. ..................................................... 35
Tabla 6. Procesos de RED SOCIAL críticos, RTO´s y pérdidas. .............................. 37
Tabla 7. Procesos ordenados de RED SOCIAL críticos y sus recursos. ................... 38
Tabla 8. Tabla de riesgos probabilidad/nivel de criticidad. ....................................... 42
Tabla 9. Estrategias de continuidad para incidente 1. ................................................ 68
Tabla 10. Estrategias de continuidad para incidente 2. .............................................. 70
Tabla 11. Estrategias de continuidad para incidente 3. .............................................. 72
Tabla 12. Estrategias de continuidad para incidente 4. .............................................. 74
Tabla 13. Estrategias de continuidad para incidente 5. .............................................. 76
Tabla 14. Registro de formación de empleados. ...................................................... 102
Tabla 15. Registro de pruebas. ................................................................................. 104
Tabla 16. Relación horas/hombre PFC .................................................................... 119
Tabla 17. Resultados costes PFC ............................................................................. 119