[PFC] Business Continuity Planning para redes sociales · PDF filebusiness activities, as well...

PROYECTO FIN DE CARRERA

BUSINESS CONTINUITY PLANNING PARA REDES SOCIALES

AUTOR: CÉSAR ORTEGA VELASCO

MADRID, SEPTIEMBRE DE 2010

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERO EN INFORMÁTICA

Business Continuity Planning para redes sociales

I

AGRADECIMIENTOS

Actualmente no habría sido posible llegar a este punto en mi vida, momento

en el que tengo que agradecer un proyecto fin de carrera, si no hubiese obtenido la

esperanza, pasión, alegría, estimación y humanidad de numerosas personas. Por

todas estas personas agradezco que este momento haya podido ocurrir. Me gustaría

agradecer a mis apreciados compañeros de mi antiguo colegio Alfonso VI, a mis

amigos de la urbanización Las Perdices, a mis apreciados compañeros que me

acompañaron en mi instituto Universidad Laboral, a mis apreciados compañeros que

convivieron conmigo en el colegio mayor San Agustín y a mis apreciados

compañeros de la Universidad Pontificia Comillas.

Además, quiero dedicar en especial unas palabras a mis padres y hermana, ya

que son ellos los que se preocupan, de igual manera que yo por ellos, de que el futuro

de nuestra familia sea una combinación de momentos felices, sentimientos felices y

propósitos felizmente cumplidos. También agradecer a mis tíos y tías, a mi abuela y

a mis primos, que me han acompañado durante mi carrera, preocupándose por mí.

Por último, me gustaría dedicar unas últimas palabras a mis profesores, a los

que se han dedicado y a los que actualmente se dedican a aprobar el esfuerzo para

continuar prolongando nuestra realidad hacia futuras generaciones, de manera que

seamos cada vez más capaces de convivir de la mejor manera posible.


II

RESUMEN

El proyecto de fin de carrera, que recorre las páginas de este escrito, se

relaciona con uno de los procesos que a menudo integra una compañía que cuenta

con un sistema de gestión de la seguridad de la información. Este proceso se define

como la continuidad de negocio y su objetivo es proporcionar una planificación de lo

que se debe de hacer desde dos perspectivas unificadas, la de continuidad de las

actividades del negocio, así como la de recuperación ante desastres. La planificación

de estas dos perspectivas intenta asegurar la sostenibilidad de una empresa para que

“el día de mañana” un inconveniente como puede ser la pérdida de datos, pérdida en

la capacidad de comunicaciones, pérdida de instalaciones por desastres naturales…

no produzca una interrupción de las actividades del negocio o, lo que puede ser peor,

el cese definitivo del de la empresa.

Según un estudio realizado por la bolsa de comercio, el 43% de las empresas

norteamericanas que han sufrido las consecuencias de un incidente externo sin contar

con un plan de continuidad de negocio han desaparecido, el 51% sobrevive pero

tarda un promedio de dos años en reinsertarse en el mercado y solo el 6% mantiene

su negocio a largo plazo. Esta perspectiva de la realidad ha aumentado la

preocupación empresarial en el ámbito de la continuidad de sus operaciones en el

futuro. En consecuencia, han surgido organizaciones, instituciones, recomendaciones

por parte de empresas… que han configurado la labor de elaborar normas y

estándares como ISO17799 o BS25999 para identificar una buena manera de integrar


III

la gestión de la continuidad y poder proveer medidas de éxito para el día a día del

negocio. Además, cada día estos aspectos se van integrando en el contexto

regulatorio o legal de cada uno de los países, ya que solucionan determinadas

situaciones que conforman el mantenimiento de la sociedad.

Para la elaboración de un Plan de Continuidad de Negocio (BCP), se deben

de tener en cuenta diversas actividades que van complementándose unas con otras.

Comenzando por el Análisis de Impacto del Negocio (BIA) que obtiene una

visión global de la empresa para determinar qué estrategia debe seguir la continuidad

del negocio, se identifican cuáles son procesos empresariales que resultan más

críticos de cara a la continuidad, así como cuáles son las amenazas, internas o

externas, que puedan afectar de manera más directa a cada uno de los procesos

empresariales.

Prosiguiendo con la evaluación de las diversas estrategias de continuidad, se

puede seleccionar cuales cumplen con las necesidades de continuidad ajustándose de

mejor manera al perfil de costes de la empresa. La selección de cada una de las

estrategias permite la elaboración de planes que determinen lo que hay que hacer en

caso de emergencias, desastres o fortalecimiento de la continuidad de negocio. Estos

planes deben ser implantados y probados, de tal manea que cuando se tengan que

llevar a cabo cada persona esté concienciada y sepa la responsabilidad que debe

acatar, y cumplan su objetivo.


IV

Por último, la gestión de continuidad necesita de una sucesiva adaptación en

el tiempo de los diversos planes al entorno del negocio, así como una evaluación de

su empleo, para lo que se cuenta con la especificación de unas medidas de

mantenimiento.

Estas páginas han tenido en cuenta todas estas tareas y se dedican a la

implantación de un Plan de Continuidad de Negocio (BCP) en una empresa

denominada RED SOCIAL (sin forma jurídica) que dedica su compromiso a

proporcionar un servicio por medio de una red social en Internet. Dicha empresa se

encuentra en un estado muy reciente de creación en su ciclo de vida. Por lo tanto esta

planificación de la continuidad podrá ir proporcionando un asentamiento para ir

logrando cierta madurez en el futuro.


V

ABSTRACT

The final degree project that looks through the pages of this text relates to a

process which often integrates a company with a system of safety management of

information. This process is defined as business continuity and aims to provide a

planning what should be done from two unified perspectives, the continuity of

business activities, as well as disaster recovery. Planning for these two perspectives,

seeks to ensure the sustainability of a company that "tomorrow" may be an

inconvenience and loss of data, loss of communications capacity, loss of facilities by

natural disasters ... not a disruption business activities, or what could be worse, the

termination of the company.

According to a study by the stock market, 43% of Americans companies that

have suffered the consequences of an external incident without a business continuity

plan have disappeared, 51% survive but it takes an average of two years reintegrate

into the market and only 6% keeps your business long term. This view of reality has

been growing concern in the field of business continuity of its operations in the

future. Consequently, there have been organizations, institutions, recommendations

by companies ... that have shaped the work of developing rules and standards such as

ISO17799 and BS25999 to identify a good way to integrate the management of

continuity, and to provide measures of success for everyday business. In addition,

each day, these aspects are integrating in the regulatory or legal context of each


VI

country, because they solve determined situations that are in accordance in keeping

of the society.

For the development of a Business Continuity Plan (BCP) should take

account of various activities that will complement between them.

Starting the Business Impact Analysis (BIA) you get an overview of the

company to determine what strategy must go on the business continuity, which are

identified business processes that are most critical towards the continuity, such as

threats, internal or external, which may affect more directly to each business process.

Continuing with the evaluation of the various strategies of continuity, you

can select which aims the needs of continuity that adjusts the best cost profile of the

company. The selection of each one of these strategies allow for the preparation of

plans to determine what to do in emergencies, disasters or strengthening of business

continuity. These plans must be implemented and tested, in the way they have to

carry out each person is aware and knows the responsibility that must abide, and

fulfils its purpose.

Finally, continuity management requires a subsequent adaptation at the time

of the various plans the business environment and an assessment of their execution,

bearing in mind the specification of maintenance measures.


VII

These pages have been taken into account all these tasks and are dedicated to

the implementation of Business Continuity Plan (BCP) in a company denominated

RED SOCIAL (unincorporated) who dedicates his commitment to provide a service

through a social network on the Internet. This company is found in a very recent

creation in its life cycle, so this continuity planning might be providing an

emplacement to be gaining some maturity in the future.


VIII

ÍNDICE

INTRODUCCIÓN AL PROYECTO ....................................................................... 1

1. Motivación del proyecto ............................................................................. 1

2. Objetivos del proyecto ................................................................................ 2

3. La empresa: RED SOCIAL........................................................................ 4

3.1. Visión, misión y valores del negocio ................................................... 5

3.2. Dirección y organización ..................................................................... 6

3.3. Descripción del servicio de la organización ....................................... 9

3.4. Línea base de negocio. ....................................................................... 10

3.5. Infraestructura tecnológica de seguridad ........................................ 12

DESARROLLO Y MANTENIMIENTO DEL PLAN DE CONTINUIDAD DEL

NEGOCIO ................................................................................................................ 13

PARTE I. ANÁLISIS PARA LA IMPLEMENTACIÓN ................................. 17

1. Diagnóstico situación actual (análisis externo) ....................................... 17

1.1. Factores económicos .......................................................................... 17

1.2. Factores político-legales y socioculturales ....................................... 19

1.3. Factores tecnológicos ......................................................................... 21


IX

2. Análisis de Impacto en el Negocio (análisis interno) .............................. 30

2.1. Identificación de las actividades o procesos de RED SOCIAL ...... 32

2.2. Determinación de los requerimientos de continuidad críticos....... 36

2.3. Evaluación de riesgos para BIA: mapa de riesgos .......................... 39

PARTE II. DISEÑO PARA LA IMPLEMENTACIÓN ................................... 46

1. Roles y responsabilidades asociadas al BCM ......................................... 46

2. Política de continuidad de negocio........................................................... 51

3. Análisis de alternativas y selección de la estrategia de continuidad y

recuperación ante desastres ..................................................................... 54

3.1. Información para la elección de estrategias. ................................... 55

3.2. Estrategias de recuperación .............................................................. 66

3.3. Selección de la estrategia ................................................................... 76

4. Recuperación de desastre: Actividades, recursos y personal ................ 83

4.1. Plan de emergencia ............................................................................ 84

4.2. Plan de continuidad de negocio ........................................................ 89

4.3. Plan de recuperación ante desastres (DRP) .................................... 90

PARTE III. IMPLEMENTACIÓN DE PLANES ............................................. 99


X

1. Gestión y coordinación de la implantación ............................................. 99

1.1. Plan de concienciación ....................................................................... 99

1.2. Plan de formación ............................................................................ 101

2. Procedimientos de pruebas..................................................................... 104

PARTE IV. EVALUACIÓN Y MANTENIMIENTO ..................................... 109

1. Mantenimiento del plan de continuidad ............................................... 109

2. Mejora continua del plan de continuidad ............................................. 110

PLANIFICACIÓN Y VALORACIÓN ECONÓMICA DEL PFC .................. 112

1. Organización del proyecto ...................................................................... 112

1.1. Organigrama .................................................................................... 112

1.2. Paquetes de trabajo ......................................................................... 114

1.3. Planificación ..................................................................................... 117

1.4. Control .............................................................................................. 118

2. Valoración económica del proyecto ....................................................... 118

CONCLUSIONES ................................................................................................. 120

BIBLIOGRAFÍA ................................................................................................... 122

ANEXOS ................................................................................................................. 124


XI

A. Glosario de términos ............................................................................... 124

B. Legislación vigente .................................................................................. 145

a) LSSI-CE ................................................................................................ 145

b) LOPD .................................................................................................... 150

c) LISI ....................................................................................................... 152

d) Ley de firma electrónica ..................................................................... 153

C. Índice de tablas y gráficos ...................................................................... 154


1

INTRODUCCIÓN AL PROYECTO

Este proyecto define una formalización basada sobre guías y estándares

referentes a buenas prácticas, para el proceso de gestión y documentación adecuada

de un plan de continuidad del negocio que se integra como una parte de la estrategia

completa de seguridad de la información para un entorno tan actual como es Internet,

concretamente para la actividad de una empresa que va a instaurar una red social.

1. Motivación del proyecto

Se podrían establecer dos motivos mediante los cuales el autor de este

proyecto fundamenta su elaboración:

Por un lado, la situación económica actual, se constituye por las necesidades

que han aparecido en los últimos veinte años debido a las mejoras tanto en

comunicación como en posibilidades de cálculo y almacenamiento de la información,

mejoras consignadas a los ordenadores y en consecuencia, a Internet. Este cambio de

rumbo establece nuevas vías en la manera de obtener rendimientos económicos ya

que por un lado permite la explotación de un mercado hasta ahora inexistente y al

mismo tiempo establece una nueva necesidad de adaptabilidad al entorno

competitivo. Este cambio o mejora de funcionalidad empresarial, que origina la

necesidad de incorporación de tecnologías de información y la comunicación (TIC) a

las actividades empresariales y que ya se ha asentado en sociedades como la


2

española, se encuentra en periodo de madurez de tal manera que su aprendizaje se

está interponiendo en las necesidades de convivencia de modo justo y razonable. Por

lo tanto, poco a poco se obtiene una manera correcta en cuanto a la utilización de los

nuevos recursos de información y comunicación. La motivación de este proyecto es

proporcionar una base para la continuidad y recuperación de desastres para una

actividad empresarial establecida como una red social (mediante portal web), de tal

manera que se consiga un enfoque de mejores prácticas de tecnologías de

información hacía un caso real. Además, al ser tan parecidas las amenazas y las

soluciones para asegurar la continuidad de negocio en cada uno de los entornos

empresariales con gestión activa web (portales o páginas web de difícil gestión y

elevado número de usuarios), mediante la publicación de este proyecto se pretende

ayudar a madurar no tan solo la actividad específica de red social, sino que también

sirve a modo de preceptor para otras actividades web como periódicos digitales,

foros de comunicación…

Por otro lado, el segundo motivo es que el autor de este proyecto de fin de

carrera pueda ir estableciendo su profesionalidad en uno de los terrenos que más le

apasionan del conjunto de la Informática, el de la seguridad.

2. Objetivos del proyecto

El propósito principal es implantar y documentar un Plan de Continuidad del

Negocio concorde con la visión, misión y valores de la empresa RED SOCIAL

(detallada más adelante) y asegurar las TIC en el largo plazo, para permitir al


3

negocio continuar con sus operaciones en caso de una interrupción y restaurar los

servicios normales tan rápida y eficazmente como sea posible. Este plan contempla la

necesidad de dos objetivos conjuntos, la realización tanto del plan de continuidad

como del plan de recuperación de desastres (DRP), de tal manera que ambos planes

sean congruentes entre sí.

NOTA: En una situación de continuidad en el negocio se utilizará el

primer plan mencionado y en el momento en que dicha

continuidad se vea afectada, pasará a usarse el segundo plan

(DRP) para conseguir volver a un estado de normalidad en el

menor tiempo posible, minimizando el efecto de la interrupción e

intentando asegurar la normalidad.

Para llevar a cabo cada objetivo, se procederá a realizar durante este proyecto

el proceso de desarrollo y mantenimiento del Plan de Continuidad del Negocio que

conlleva los siguientes subobjetivos:

• Realizar un análisis de impacto al negocio (BIA) del efecto que tendría la

perdida de procesos de negocio críticos para la organización identificando

y priorizando los sistemas y otros recursos que se requieren para soportar

estos procesos.

• Elegir estrategias apropiadas para recuperar al menos los equipos de

sistemas de información suficientes para soportar los procesos de negocio

críticos hasta que estén disponibles los equipos completos.


4

• Desarrollar el plan detallado para recuperar los equipos de sistemas de

información.

• Desarrollar un plan detallado para las funciones de negocio críticas para

continuar operando a un nivel aceptable.

• Facultar al personal sobre cómo seguir los planes.

• Probar los planes.

• Dar mantenimiento a los planes a medida que cambia el negocio y se

desarrollan los sistemas.

• Almacenar los planes para que se pueda acceder a ellos a pesar de fallar

los equipos y/o la red.

• Auditar los planes.

Por otro lado, también se debería considerar como objetivo aprobar la

asignatura de proyecto fin de carrera para finalizar satisfactoriamente la titulación de

Ingeniería en Informática y a la vez alcanzar cierto nivel de conocimientos

profesionales sobre la seguridad de las TIC.

3. La empresa: RED SOCIAL

RED SOCIAL se trata de una empresa de reciente constitución sin forma

jurídica.


5

Se establece en España para encargarse del ofrecimiento de una extensa

función de comunicación a través de un portal en Internet, basado en la interacción

de usuarios a través de medios multimedia (fotografías, videos…) y comentarios

escritos (entre otros servicios). Al ser accesible a través de Internet, se posibilita su

utilización a cualquier persona que tenga acceso a la red de redes. Aunque su

dimensión todavía no está determinada exactamente y no cuenta con un plan de

seguridad concreto, a continuación se describen aspectos de su naturaleza que

aportan en un distinto grado un acercamiento en el compromiso de adecuar la gestión

de continuidad de negocio (GCN) a RED SOCIAL.

3.1. Visión, misión y valores del negocio

Las palabras adecuadas que definen la idea de RED SOCIAL podrían ser

muchas. Al ser un negocio por Internet, se puede aprovechar más el acercamiento

entre personas. Este apartado se lograría gracias a la ventaja de la comunicación (que

posibilita la opción de mantenerse en contacto en todo momento,…), es decir la

ventaja de poder comentar… En definitiva, el acercamiento define la siguiente

visión.

“Se puede ser más libre.”

Establecer una misión de una red social es definir su propio concepto y

reafirmar la anterior visión.


6

“Hacer posible una comunidad en Internet donde las personas puedan

compartir intereses y actividades.”

Por último, los valores son una característica fundamental para establecer una

sociedad, ya que sin ellos no se podría orientar el rumbo hacia donde “soplan las

velas del barco”. Estos valores que irán manteniéndose y reforzándose constante

durante el ciclo de vida de la empresa, se basan en la directa condescendencia con la

sociedad actual, como con la transparencia, que ningún usuario se sienta engañado,

o el acercamiento, que ningún usuario sienta que no se le está tomando en cuenta, o

en la seguridad, que los usuarios puedan ofrecer absoluta confianza sin temer por su

confidencialidad. Así la organización permitirá una sostenibilidad en el futuro, ya

que sus valores son basados en principios éticos indiscutibles de manera que cada

sociedad se sienta interconectada culturalmente con cualquier actividad conjunta con

RED SOCIAL.

3.2. Dirección y organización

La cultura empresarial de RED SOCIAL administra su acción enmarcada en

la realidad actual de nueva empresa estableciendo así las diversas políticas de la

compañía para cumplir con los compromisos y obligaciones derivados de las

necesidades actuales tanto de responsabilidad social, legalidad, profesionalidad,

financiación, así como de calidad, servicio y seguridad. Este proyecto va a ir

adecuando las medidas necesarias, en cuanto a la seguridad.


7

Una de las necesidades es ofrecer una buena definición de la organización,

debido a que posteriormente se irán analizando los distintos procesos de negocio para

identificar los distintos “puntos débiles” que puedan afectar a la continuidad de

negocio. Estos procesos o unidades de negocio han quedado definidos, de manera

estratégica de forma que se pudiese establecer un sistema de planificación y control,

de la siguiente manera:

Gráfico 1. Procesos de negocio de RED SOCIAL

En la siguiente tabla se describe cada uno de los procesos o unidades de

negocio en función de las distintas áreas:

Área de Aplicaciones

Análisis, Calidad y

Tecnologías

Diseño, Operatividad y

Usabilidad

Programación

Arquitecturas Móvil

Área Financiera

Clientes

Proveedores

Inversiones y Financiación

Área de Legislación

Legalidad

Defensa del usuario

Área de Recursos Humanos

Contratación

Formación

Comunicación Interna

Área de Comunicaciones

Relaciones Internas

Relaciones externas

Área Comercial

Desarrollos e innovación

Marketing y Servicios

Operaciones

Áreas de Administración

Normativas

Soporte al usuario

Seguridad

Gestión de servicio y

mantenimiento

Gestión TI y Redes

Área de dirección

Decisiones estratégicas.

Normas y políticas.


8

Área Descripción breve Procesos

Aplicaciones

Se dedica a la gestión y desarrollo de las aplicaciones, tanto para el entorno web para equipos como

para dispositivos móviles.

• Desarrollo de aplicaciones (Análisis, Diseño, Programación y Pruebas).

• Aseguramiento del entorno operativo (real y de pruebas) y de la usabilidad así como la gestión posterior al desarrollo del diseño funcional, visual, de interacción y de desarrollo.

• Implementación de nuevas tecnologías. • Aseguramiento de la Calidad y versiones.

Financiera

Es la encargada de establecer cualquier función directamente

relacionada con la actividad económica de la empresa.

• Gestión de los clientes. • Gestión de los proveedores. • Gestión de las inversiones y la

financiación.

Legislación

Resuelve los aspectos legales que conciernen a la actividad normal de

la empresa.

• Asesoramiento, comunicación e implantación de las medidas legales.

• Aseguramiento de las regulaciones tanto legales como sociales y de valores empresariales referentes a la protección sobre el uso del portal web.

• Educar e informar a los usuarios.

Recursos Humanos

Área encargada de las personas que están trabajando actualmente en la

empresa y de los futuros trabajadores.

• Contratación de nuevo personal. • Formación para el cumplimiento de los

objetivos de negocio. • Comunicaciones referentes a cualquier

aspecto en relación a la gestión del personal

Comunicaciones

Sección centralizada y en la medida de lo posible automatizada, de todas las comunicaciones de la compañía,

tanto internas como externas.

• Comunicación con usuarios, colaboradores o con cualquier otra entidad externa.

• Comunicación de cualquier tipo hacia las áreas de destino de la información.

Comercial

Mantiene el entorno operativo de realización estratégica y se encarga

de promover la innovación.

• Es la pionera en la gestión del desarrollo y la innovación dentro de la compañía.

• Realiza Marketing promoviendo campañas y ofreciendo servicios.

• Se encarga de la gestión de las operaciones así como de su evaluación y gestión.

Administración

Su función es permitir el correcto funcionamiento de procesos críticos

para el negocio.

• Se encarga de la implantación estratégica de las nuevas normativas.

• Dispone la evaluación y organización del soporte a los usuarios.

• Se encarga de la seguridad. • Ofrece la permisibilidad para la ejecución

del servicio y el mantenimiento. • Gestiona la implantación y organización

de las TIC. • Es el encargado de la red interna de la

compañía,

Dirección Impone la estrategia de la

compañía. • Coordina la consecución de las decisiones

estratégicas. • Elabora las políticas y las normas.

Tabla 1. Descripción de procesos de cada una de las áreas de RED SOCIAL


9

3.3. Descripción del servicio de la organización

En este punto se explica el servicio que proporciona la organización. No

estaría de menos hacer una referencia a que este tipo de servicio ha generado un

interés de estudio elevado, ya que está conformando una nueva manera de que cada

persona se sienta identificada, además de una nueva forma de aprendizaje y al mismo

tiempo de entretenimiento. Es por todos sabido, ya que se puede observar en las

noticias día a día y ya conforma parte de la propia cultura, que la mayor proporción

de personas que utilizan este servicio se encuentra entre la población joven y

adolescente. Esto genera polémica acerca de la privacidad, lo que ha suscitado que

las empresas que ofrecen este servicio de red social dediquen parte de su trabajo a

mantener la seguridad de sus usuarios. Además existe cierta controversia sobre el uso

de estas redes debido a que se podría dedicar un tiempo excesivo a su utilización

(existe un estudio reciente que ha demostrado que los alumnos en edad escolar no

ven disminuido su rendimiento académico1).

Los distintos servicios de RED SOCIAL son los siguientes:

Para usuarios ofrece un perfil con posibilidades de relación con otros perfiles

(admitidos para interrelación pública con el propio usuario o absolutamente con

todos los usuarios… en función de los distintos niveles permitidos de privacidad)

conformando así redes para relacionarse mediante las siguientes vías:

1 Estudio denominado “Generación 2.0” realizado por la Universidad Camilo José Cela


10

− Interrelación mediante texto, imágenes, música y/o videos de manera pública.

− Interrelación mediante texto de manera privada usuario a usuario.

− Espacio personal donde se puede incluir texto, imágenes, música y/o videos

de manera pública.

− Organización de eventos.

− Posibilidad de verificar las últimas actualizaciones producidas en la red

propia.

Además ofrece la posibilidad de utilizar aplicaciones internas en el mismo

portal web, pertenecer a distintas agrupaciones con posibilidad de relacionarse

mediante texto, música o video, gestión responsable con el resto de usuarios que no

se encuentran asociados al perfil propio y sistemas para geolocalización de lugares.

Para clientes ofrece la posibilidad de acercar sus anuncios de forma personal

a cada usuario por distintas vías (publicidad específica, realización de concursos,

videos y espacios personalizados, organización de eventos).

3.4. Línea base de negocio.

La filosofía web 2.0 establece nuevas oportunidades de negocio para la

constitución de empresas que ofrezcan servicios aventajados basados en la

integración mediante el ofrecimiento de cierto valor. Esta oportunidad de valor

establece una base de negocio muy característica fortalecida por: la concentración de

individuos, grupos sectorizados o por un gran número de personas de manera

universal. Por lo tanto la línea base, comienza con el registro

posterior utilización constante del servicio, para que

cubrir determinadas necesidades

Actualmente este negocio está caracterizado por

publicidad que otras organizaciones puedan ofrecer, pero poco a poco

apareciendo nuevas vías para la obtención de beneficios.


11

universal. Por lo tanto la línea base, comienza con el registro en el portal web

posterior utilización constante del servicio, para que durante ese tiempo se puedan

cubrir determinadas necesidades para cada uno de los clientes potenciales.

Actualmente este negocio está caracterizado por basar su rentabilidad en la

otras organizaciones puedan ofrecer, pero poco a poco

apareciendo nuevas vías para la obtención de beneficios.

Gráfico 2. Línea base de negocio de RED SOCIAL

Clientes


en el portal web y la

tiempo se puedan

a cada uno de los clientes potenciales.

basar su rentabilidad en la

otras organizaciones puedan ofrecer, pero poco a poco van

. Línea base de negocio de RED SOCIAL


12

3.5. Infraestructura tecnológica de seguridad

RED SOCIAL cuenta actualmente con una DMZ escalable provista de

firewall para una red interna con comunicaciones cifradas, una VPN, niveles de

autenticación de usuarios, y UPS.

DESARROLLODEL PLAN DE CONTINUIDAD DENEGOCIO

El Sistema de Gestión de

empresa RED SOCIAL

establecimiento de procesos y mantenimiento de seguridad,

elaboración de un Plan de Continuidad de Negocio (o PCN) p

Continuidad de Negocio (o GCN)

fin de carrera se encarga de la gestión para llevar a cabo dicho plan

Se va a efectuar mediante

desarrollo y el mantenimiento actual y en el futuro


13

DESARROLLO Y MANTENIMIENTO DEL PLAN DE CONTINUIDAD DE

El Sistema de Gestión de Seguridad de la Información

empresa RED SOCIAL acomete entre todos sus objetivos propuestos

establecimiento de procesos y mantenimiento de seguridad, su ejecución mediante la

elaboración de un Plan de Continuidad de Negocio (o PCN) para la Gestión de

Continuidad de Negocio (o GCN) como una parte del propio SGSI

fin de carrera se encarga de la gestión para llevar a cabo dicho plan.

e va a efectuar mediante una división en distintas partes que permitan el

el mantenimiento actual y en el futuro:

Gráfico 3. Ciclo de mejora continua adaptado de la GCN. (


Y MANTENIMIENTO DEL PLAN DE CONTINUIDAD DEL

(o SGSI) de la

propuestos para el

ejecución mediante la

ara la Gestión de

como una parte del propio SGSI. Este proyecto

división en distintas partes que permitan el

de la GCN. (GTAG10)


14

Este ciclo de mejora continua está basado en el círculo de calidad de Deming,

modelo de proceso que define distintas fases Planear, Hacer, Chequear y Actuar1

facilitando una adaptación del mismo para la Gestión de Continuidad del Negocio

(GCN). En este caso la solución propuesta se basa en ir adaptando la planificación y

desarrollo de la continuidad del negocio desde una primera implementación hacia

futuros cambios debidos al entorno y al mantenimiento del plan actual.

Este proyecto se dedica a elaborar una primera implementación, pero al

mismo tiempo define las medidas necesarias para efectuar cambios en el futuro

asegurando de esta forma el ciclo de vida anterior. Por lo tanto, esta primera

implementación se divide en dos bloques, el desarrollo del plan y su posterior

mantenimiento. A continuación se explica gráficamente (mediante el mismo ciclo

anterior pero utilizando la visión del Business Continuity Institute) a grandes rasgos

cuál es la mejor forma para llevar a cabo el plan de continuidad de negocio:

1 Ver ISO 27001: 2005


15

Gráfico 4. Ciclo de vida de la GCN (BCI_07)

• La primera fase “Comprender la organización” se define como una fase de

análisis y va a corresponder a la PARTE 1 de esta sección del proyecto.

• La segunda fase “Determinar las opciones de GCN” se define como una fase

de diseño y va a corresponder a la PARTE 2 de esta sección del proyecto.

• La tercera fase “Desarrollar e implantar una respuesta GCN” se define

parcialmente incluida en la fase de diseño, correspondiendo el desarrollo para

la documentación de los planes, PARTE 2 de esta sección del proyecto, y

parcialmente como una fase de implantación que va a corresponder a la

PARTE 3 de esta sección del proyecto.

• La cuarta fase “Probar, Mantener y Revisar” se define parcialmente como una

fase de mantenimiento y va a corresponder a la PARTE 4 de esta sección del

proyecto exceptuando las pruebas que deben pertenecer a la PARTE 3 o fase

de implantación.


16

De esta manera queda definida la actuación

para una primera implementación del Plan de

Continuidad de Negocio y la continuidad del ciclo

para futuras implementaciones.

Gráfico 5. Ciclo de mejora continua para la GCN (DELO08)


17

PARTE I. ANÁLISIS PARA LA IMPLEMENTACIÓN

En este apartado se va a proceder a investigar la situación actual de la

continuidad en cuanto a seguridad en el entorno externo de continuidad del negocio

de las redes sociales, y después se va a proceder a efectuar el reconocimiento

concreto de las necesidades de continuidad del negocio de la empresa que concierne

a este proyecto o entorno interno de continuidad del negocio (mediante un análisis

de impacto al negocio).

1. Diagnóstico situación actual (análisis externo)

Se va a proceder a analizar los factores que pueden afectar a la continuidad en

aspectos relativos a la seguridad de la empresa.

1.1. Factores económicos

Aunque actualmente este ciclo económico este popularizado como crisis

mundial, su nivel de apreciación en España y en el mundo en general se encuentra

muy sectorizado. Por lo tanto la repercusión de la crisis mundial no está derivando en

la idea de una falta de desarrollo tecnológico, sino en nuevas vías de progreso. La

política económica se encarga de la tarea de acabar con la crisis mundial buscando

nuevas formas de desarrollo económico gracias a planes de acción que subsanen las

situaciones en mayor peligro.


18

Entonces, el sector de las tecnologías de la información y la comunicación es

un sector que no sufre peligrosamente debido a la crisis mundial. Las repercusiones

son moderadas, perjudicando sobre todo a quien había “apostado” demasiado fuerte

en sectores muy diferenciados.

La evolución mundial en el campo de la tecnología ha abaratado los costes de

recursos tecnológicos y su escasez aunque a veces es cuestionada, no se va a ver

afectada en un largo plazo. Este “abaratamiento” se puede ver reflejado en la

evolución por nivel de rentas familiar de los usuarios de Internet1:

Gráfico 6. Evolución de los usuarios de Internet por niveles de rentas

En conclusión, se puede afirmar que las TIC suponen un negocio con

rentabilidad futura de tal manera que se pueden utilizar con vistas a asegurar a la

continuidad del negocio.

Por otro lado hay que tener en cuenta que es necesario gestionar la aparición

de nuevas vulnerabilidades en los sistemas, por la aparición de nuevas amenazas

provenientes del entorno cambiante. Es necesario verificar el avance derivado de la

1 Fuente: OASI


19

innovación de la tecnología (ya que podría promover nuevas vías más rentables para

asegurar la continuidad). Este obstáculo ha permitido la aparición de la

especialización en prestación por parte de organizaciones que ofrecen

subcontratación de servicios por periodos, adecuando el avance (rendimiento) actual

de la tecnología, de manera que permiten eliminar los costes generados por

tecnología anticuada no amortizada.

1.2. Factores político-legales y socioculturales

El mero hecho de que las sociedades se conformen enmarcadas por una

política, genera una vinculación con la información: no pueden vivir una sin la otra.

Por ello, actualmente el mejor recurso para un organismo público es la implantación

de un SGSI sólido. En el momento en que una vulnerabilidad afecte un sistema

crítico de información, confidencial tanto para uno o varios ciudadanos como para un

organismo, podría llegar a romperse el status quo de la sociedad. Por lo tanto los

organismos públicos, así como sistemas que alberguen un gran nivel de información

que pueda afectar a la sociedad (y a su privacidad), deben asegurar un progreso en la

gestión de las tecnologías en el largo plazo o se podría llegar a “manchar” su

imagen.

Es necesario profundizar en los factores legales, analizando los que puedan

influir directamente a la hora de “madurar” cualquier aspecto de este proyecto y

cualquier actividad derivada de este. Por no cargar excesivamente esta parte del

documento, los aspectos legales concernientes a las leyes LSSI-CE, LOPD, LISI y


20

Ley de firma electrónica se han incluido en el Anexo B, esto no quiere decir que no

presenten importancia, ya que determinados aspectos afectan directamente a la GCN

y por lo tanto habrá que tenerlos en cuenta.

Por último, la era de los ordenadores, y desde la aparición de Internet, se vive

cada día en los hogares, colegios, institutos, universidades, centros de trabajo… hasta

el punto de que cualquier persona que pueda disponer de ello ya lo dispone. Internet

avanzó de tal manera, que es el usuario el encargado de realizar un escudriñamiento.

Al recibir una gran cantidad de información se procede a la desinformación (ley de

rendimientos decrecientes). Para que esto no ocurra, el usuario posiciona sus límites.

Así, las empresas que promocionan en la red, son las que saben definir sus propios

límites lo más cercanos a los necesarios por el usuario. Por ello, para mantener un

negocio en la red de redes, es necesaria una calidad inmejorable en este aspecto

demarcando una necesidad especial en el aseguramiento de la continuidad y

mejoramiento de los servicios que han permitido cubrir necesidades nuevas.

Un estudio demuestra el comportamiento de los usuarios antes citado:

“Gartner estudió el comportamiento de internautas de Estados Unidos, Italia

y Reino Unido para ver cómo el lector llega a la información y la distribuye. El 49%

va a los buscadores generales (Google, Yahoo) para encontrar contenidos; sólo el

20% usa el buscador interno del periódico. El 24% manda la información que les

parece interesante a los amigos vía e-mail o Messenger; apenas el 7% la distribuye


21

por redes sociales. Cuando encuentran una información interesante, el 52% la lee

inmediatamente y el 9% la guarda.”

1.3. Factores tecnológicos

Este punto es el que afecta de mayor manera a la continuidad del negocio, ya

que actualmente existen soluciones que han conseguido proporcionar mayor

seguridad a la empresa para evitar interrupciones y para recuperar los sistemas sin

consecuencias desastrosas. Las siguientes tablas especifican una visión aproximada a

los distintos tipos de tecnología que existen actualmente1 (JAPA06) (DELV02), y

aunque existan más tecnologías que se explicarán más adelante, estas son las más

utilizadas:

1 Información obtenida de la bibliografía y blogs especializados.


22

Tecnología Descripción Tipos

Firewalls

Sistema que implanta una política de

control de accesos entre dos redes para

autorizar accesos. Existen distintos tipos

(lo habitual es que existan

configuraciones hibridas, de varios

tipos):

Filtros de

paquetes a nivel

IP

(inspeccionando

cabeceras de

paquetes IP)

Proxy de

aplicación

Inspección de

estados

Tecnología Descripción

Switches, Routers

Se basan en transferir y enrutar

información entre redes (estandarizadas

para usar el mismo protocolo) y sus

objetivos de seguridad ofrecen distintas

posibilidades como establecer los

equipos a los que se les permite su

utilización, contraseñas de acceso…


23


Sistemas de

detección de intrusos

(IDS)

Tecnología basada en análisis de

protocolo o en pattern-matching para

protección y detección en tiempo real de

ataques mediante interfaz Ethernet.


Sistemas de

prevención de

intrusos (IPS)

Es parecido a un IDS, ya que tiene la

misma funcionalidad de detección, pero

además se encarga de prevenir contra

intrusiones actuando de forma proactiva

(se conecta en medio de la red cortando

la conexión).


24


Técnicas

criptográficas

Se puede expresar como el conjunto de

técnicas que permiten asegurar que un

mensaje solo es entendible por aquel al

que va dirigido. Estas técnicas permiten

además, asegurar que el mensaje no se

ha modificado, reconocer al emisor del

mensaje, probar la emisión y recepción

del mensaje, etc.

Criptografía de

clave pública.

(Asimétrica)

Tipos:

RSA, DH, El

Gammal, DSA,

Criptografía de

clave privada.

(Simétrica)

Tipos:

DES, 3DES,

IDEA, AES,

CAST,

BLOWFISH,

RC2, RC5, RC4


Firmas Digitales

Método criptográfico que asocia la

identidad de una persona o de un equipo

informático al mensaje o documento

asegurando la integridad y el no repudio

mediante una función hash.


25


Tarjetas inteligentes

Cualquier tarjeta del tamaño de un

bolsillo con circuitos integrados que

permiten la ejecución de cierta lógica

programada utilizadas para

identificación, control de acceso, firma

digital, monedero electrónico...

Tarjetas de

memoria

Tarjetas con

microprocesadores

y memoria.


Sistemas de acceso

mediante

contraseñas

Proporciona una estructura definida de

autorización para el acceso a la

información. Pueden ser con posibilidad

de acceso ilimitado, limitados, de un

solo acceso, control limitado, de control

dual…


26


Seguridad

inalámbrica

Es la seguridad encargada de las

transmisiones de información mediante

el uso de redes inalámbricas. Las

medidas habituales son que las redes se

mantengan encriptadas mediante

contraseñas (como WPA o WEP),

permitan el acceso a equipos

determinados, no emitan identificador

de emisión… y técnicas más avanzadas

como detección de duplicación de

subredes, salvaguarda de spoofing…


Seguridad de

aplicación

Es la tecnología que brinda seguridad a

nivel de aplicación como puede ser un

antivirus, un sistema de respaldo

(backup)…


27


Acceso remoto

(VPN)

Proporcionan confidencialidad en redes

IP reduciendo costes en las

comunicaciones mediante accesos

remotos, comunicaciones seguras entre

oficinas, teletrabajo…


Sistemas de Backup

Permiten una gestión en distintos

niveles (en función de las políticas

establecidas) de respaldo de datos ante

incidentes que produzcan perdida de los

datos originales para que estos sigan

existiendo y puedan ser recuperados. Su

utilización se deriva de los fallos o

deterioro de los dispositivos de

almacenamiento de la información.


Técnicas web de

seguridad

Son las técnicas utilizadas para asegurar

tanto la navegabilidad como la descarga

por Internet, usar antivirus, listas de

sitios de confianza, encriptación…


28


Seguridad

perimetral

Sistemas encargados de asegurar la

seguridad física de las instalaciones. Sus

principales posibilidades potenciales

son el uso de sensores, alarmas, video

vigilancia, redes de comunicación

integradas (y otras tecnologías para el

aseguramiento de la seguridad por

medio de los vigilantes y encargados).


Video vigilancia IP

Cámaras de video que transmiten las

imágenes que captan a través de las

redes y sistemas inalámbricos

suponiendo un coste total menor con

respecto a la video vigilancia analógica.


29


Técnicas biométricas

Se tratan de sistemas de autenticación

basados en características del individuo

con la ventaja de utilizar patrones que

no pueden perderse o ser sustraídos

como las huellas dactilares.

Estáticos: atiende

a la anatomía del

usuario (huellas

digitales,

reconocimiento

facial…)

Dinámicos:

estudian el

comportamiento

humano (voz,

firma…)

Tabla 2. Descripción de tecnologías de seguridad existentes.

NOTA: La página web www.icsalabs.net, proporciona una

certificación de soluciones de tecnologías existentes

actualmente en el mercado (JAPA06).

Por último, la mejora de la tecnología sorprende día a día con su innovación,

por lo tanto (como ya se ha mencionado en los factores económicos) hay que

mostrarse atento a estas mejoras para poder incorporarlas al negocio en caso de que

aporten alguna optimización para la rentabilidad fortaleciendo alguno de los procesos

de negocio. Es decir, hay que mantenerse actualizado respecto a las tecnologías de

seguridad para elegir las medidas apropiadas para proteger la información.


30

2. Análisis de Impacto en el Negocio (análisis interno)

Un análisis de Impacto de Negocio (Business Impact Analasys - BIA) es el

proceso de análisis de las funciones de negocio y del efecto que una interrupción de

negocio podría tener sobre ellas (BSI_06).

El tipo de riesgo comercial de una organización que se trata de reconocer en

este análisis interno, surge por las interrupciones inesperadas de las funciones

críticas. El reconocimiento de cada una de estas funciones críticas se realiza para el

aseguramiento de la continuidad del nivel mínimo de los servicios que se requieren

para soportar las operaciones del negocio. La manera idónea de efectuar dicho

reconocimiento debe contemplar la evaluación de los riesgos, identificando y

registrando los recursos que sean más importantes para la organización y la

criticidad en sus interrupciones, de modo que posteriormente se puedan diseñar

planes de respuesta y recuperación para orientar a las personas y equipos sobre los

procedimientos que se deben seguir.

Esta es la metodología que permite continuar con el negocio después de una

interrupción y precisa este BIA para alcanzar los siguientes objetivos:

• Describir la misión de las distintas unidades de negocio.

• Identificar las funciones que caracterizan a cada unidad de negocio.

• Identificar tiempos de proceso críticos para cada proceso o área de negocio.


31

• Estimar el impacto de cada tipo de incidente.

• Estimar el tiempo probable de recuperación para cada tipo de incidente.

AVISO: El análisis de riesgos es una actividad ya muy definida por las

instituciones que se dedican a definir el marco de los SGSI de

una organización. Sin embargo, el Análisis de Impacto de

Negocio contempla este análisis desde una perspectiva

diferente (ya que lo que se trata de obtener son tiempos de

respuesta y no probabilidades directas de impacto). Dicho de

otro modo, una evaluación del riesgo para determinar la

probabilidad e impacto de dichas interrupciones, en términos

de tiempo, escala del daño y período de recuperación.

(ISOI05).

El Business Continuity Institute demuestra esto, con la

siguiente tabla (BCI_07) donde compara la gestión de riesgos

con la gestión de continuidad de negocio:


32

Tabla 3. Comparación entre Gestión de Riesgos y GCN.

La finalidad de las tareas que cumplimentan cada uno de los objetivos

mediante el análisis de las unidades de negocio y sus relaciones así como el

análisis de riesgos, deberán identificar los procesos de negocio que puedan requerir

estrategias de recuperación.

2.1. Identificación de las actividades o procesos de RED SOCIAL

Para entender las distintas funciones de cada una de las áreas de negocio y su

misión, primero se define cada uno de los procesos relevantes para la continuidad del

negocio así como sus dependencias (se han excluido las funciones del área de

dirección y las dependencias directas hacia ella):


33

Procesos Dependencias directas

Administración

Implantación de normativas Cualquier unidad de negocio (en función de la normativa),

instituciones de norma, recursos humanos (formación) Soporte a usuarios Comunicaciones externas, usuarios, aplicaciones

Gestión de la seguridad Cualquier unidad de negocio (en función de la medida de

seguridad), recursos humanos (formación)

Gestión del servicio Cualquier unidad de negocio (en función del servicio a

gestionar), recursos humanos (formación), comunicaciones de usuarios y clientes (refinamiento servicio)

Mantenimiento Cualquier unidad de negocio (en función de la necesidad de

mantenimiento), recursos humanos (asignación de personal), peticiones de recursos de mantenimiento

Incorporación y organización de TIC Cualquier unidad de negocio (en función de la TIC),

mercados TIC (análisis)

Gestión de la red interna Cualquier unidad de negocio (en función de la necesidad de red), recursos humanos (asignación de personal), peticiones

de recursos de red, seguridad

Comercial

Innovación y desarrollo Aplicaciones, mercado, inversiones

Gestión del Marketing Mercado, innovación y desarrollo, inversiones, desarrollo

de aplicaciones

Gestión de las operaciones comerciales Cualquier unidad de negocio (en función de la necesidad de

la comunicación interna), clientes, proveedores, usuarios

Comunicaciones

Comunicaciones internas Cualquier unidad de negocio (en función de la

comunicación)

Comunicaciones externas Clientes, proveedores, usuarios, compañías de envío

públicas y privadas

Recursos Humanos

Gestión de RRHH Comunicaciones internas, comunicaciones externas,

seguridad

Formación de RRHH Comunicaciones internas, inversiones, gestión del servicio,

gestión de la formación (localización, profesores…)

Legislación

Gestión legal Cualquier unidad de negocio (en función de la aspecto

legal), organismos públicos, seguridad

Protección de usuarios Usuarios, organismos públicos, seguridad

Financiera

Gestión financiera de clientes Clientes, gestión del servicio

Gestión financiera de proveedores Proveedores, gestión del servicio

Gestión de inversiones y financiación Bancos y/o cajas, Cualquier unidad de negocio (en función

del proyecto)

Aplicaciones

Desarrollo de aplicaciones Aplicaciones, innovación y desarrollo, normativas, gestión

legal, gestión del servicio, mantenimiento, gestión TIC, seguridad

Gestión del entorno operativo Aplicaciones, soporte a usuarios, gestión de calidad y

versiones

Gestión de la usabilidad Aplicaciones, soporte a usuarios, gestión de calidad y

versiones

Implementación de tecnologías Incorporación y organización de las TIC, Gestión del

Servicio, seguridad

Gestión de calidad y versiones Aplicaciones, Soporte a usuarios, análisis de aplicaciones

Tabla 4. Procesos de RED SOCIAL y dependencias directas.


34

AVISO: Es necesario mencionar, que un cambio en los procesos de

negocio aquí definidos, hará necesaria la realización de nuevo

de un análisis de impacto del negocio, ya que las estrategias

de recuperación podrían ofrecer soluciones distintas, podrían

desaparecer algunas o aparecer nuevas más sugerentes.

A continuación se describe la misión de cada proceso de negocio. Esta

definición debe permitir percibir ya cuales procesos van a resultar más críticos para

la continuidad de negocio. Sin embargo, en el futuro pueden repercutir determinados

procesos que no se hayan tenido en cuenta en este momento pudiendo identificar un

nivel de criticidad para la continuidad del negocio por ahora poco apreciable. (Como

ya se ha explicado anteriormente, en este momento no se está consolidando el plan

de continuidad de negocio, si no que va a ser un elemento integrante en un ciclo de

vida que irá refinando determinados aspectos a lo largo del tiempo, esta es una

primera implementación.)


35

Procesos Misión

Administración

Implantación de normativas Aplicar normativa existente y nueva

Soporte a usuarios Soporte a usuarios de la aplicación Gestión de la seguridad Seguridad integral: física, lógica

Gestión del servicio Mejora y actualización del servicio interno y externo

Mantenimiento Mantener los sistemas

Incorporación y organización de TIC Registrar e integrar TIC Gestión de la red interna Diseño, problemas… de la red interna

Comercial

Innovación y desarrollo Expandir horizontes

Gestión del Marketing Desarrollar el Marketing

Gestión de las operaciones comerciales Negociar y acordar

Comunicaciones

Comunicaciones internas Centralizar y automatizar comunicaciones internas

Comunicaciones externas Centralizar comunicaciones externas

Recursos Humanos

Gestión de RRHH Contratar, promocionar organización a trabajadores

potenciales, gestionar nóminas

Formación de RRHH Formar a empleados

Legislación

Gestión legal Incorporar el marco legal a la compañía

Protección de usuarios Defender la privacidad legal y social del usuario

Financiera

Gestión financiera de clientes Relaciones económicas con clientes

Gestión financiera de proveedores Relaciones económicas con proveedores

Gestión de inversiones y financiación Gestionar cuentas, inversiones y préstamos

Aplicaciones

Desarrollo de aplicaciones Crear aplicaciones

Gestión del entorno operativo Mantener el entorno real y de pruebas configurado y

disponible

Gestión de la usabilidad Disponer mejoras de la usabilidad del entorno real

Implementación de tecnologías Mejorar las tecnologías conforme vayan apareciendo

Gestión de calidad y versiones Establecer niveles de calidad software y disponer de

registro de versiones

Tabla 5. Procesos de RED SOCIAL y su misión.


36

2.2. Determinación de los requerimientos de continuidad críticos

Ahora que se han identificado y entendido un poco más los procesos de

negocio, se procede a establecer un orden para instaurar la recuperación de los

procesos críticos y de esa manera poder determinar una medida del impacto de una

caída proceso por proceso (SANS06). Para ello hay que fijarse en la criticidad de los

tiempos desde el cese de la continuidad, así como en las pérdidas que supone a la

organización que el proceso este sin funcionar durante un tiempo determinado:

Niveles de pérdidas:

AltoMedioBajo

Procesos Tiempo/Pérdidas

3h 6h 1d 3d 1s

Administración

Implantación de normativas

Soporte a usuarios

Gestión de la seguridad

Gestión del servicio

Mantenimiento

Incorporación y organización de TIC

Gestión de la red interna

Comercial

Innovación y desarrollo

Gestión del Marketing

Gestión de las operaciones comerciales


37

Comunicaciones

Comunicaciones internas

Comunicaciones externas

Recursos Humanos

Gestión de RRHH

Formación de RRHH

Legislación

Gestión legal

Protección de usuarios

Financiera

Gestión financiera de clientes

Gestión financiera de proveedores

Gestión de inversiones y financiación

Aplicaciones

Desarrollo de aplicaciones

Gestión del entorno operativo

Gestión de la usabilidad

Implementación de tecnologías

Gestión de calidad y versiones

Tabla 6. Procesos de RED SOCIAL críticos, RTO´s y pérdidas.

Este estudio separa los procesos críticos de los no críticos. Para ello

simplemente se ha ilustrado cuál de ellos no parece que produzca resultado negativo

para la actividad de la organización (para seguir ofreciendo sus servicios) durante un

tiempo superior a una semana (no quiere decir que sean prescindibles ya que su

ausencia no va a permitir un rendimiento totalmente efectivo de la compañía, pero sí

permisibles de interrupción con respecto a otros procesos que no lo son).


38

A continuación, se explican cuales son los recursos que va a ser necesario

recuperar en el caso de una caída del sistema. Cada proceso ha sido ordenado por

los niveles de pérdidas en el tiempo, obtenidos de la tabla anterior, y además han sido

eliminando los procesos que no han resultado críticos:

Procesos ordenados Recursos

Materiales Humanos (nº personas)

Gestión del entorno operativo

Aplicación, datos y CPD

(servidores).

Red Interna, VPN y

Teléfonos Internos

2

Comunicaciones internas Aplicación

y datos 1

Mantenimiento Aplicación,

datos, repuestos.

2

Gestión del servicio Aplicación,

datos y CPD

2

Gestión de la seguridad

Aplicación, datos,

DMZ, y CPD

(LDAP)

1

Comunicaciones externas Aplicación

y datos 1

Gestión financiera de clientes Aplicación

y datos 1

Soporte a usuarios Aplicación

y datos 2

Gestión de las operaciones comerciales

Aplicación y datos

1

Gestión financiera de proveedores Aplicación

y datos 1

Gestión de inversiones y financiación Aplicación

y datos 1

Gestión de RRHH Aplicación

y datos 1

Tabla 7. Procesos ordenados de RED SOCIAL críticos y sus recursos.

Esta lista va a permitir identificar que recursos van a ser más críticos y, a

partir de ahí, se va a poder identificar cuales va a ser necesario gestionar para que no


39

falten en un determinado momento en el que se pueda entorpecer la continuidad del

negocio.

La gestión de los recursos materiales puede tener distintos puntos de vista,

como: la duplicación, aseguración (mediante compañías de seguros), nueva

adquisición en caso de pérdida… El plan de recuperación de desastres (DRP), que

se diseñara en la siguiente parte de este proyecto, será el encargado de establecer

estas condiciones.

La gestión de los recursos humanos necesita una especial atención, ya que en

el caso de que esté en juego vidas humanas deben establecerse planes especiales para

el aseguramiento de su integridad. Estos son los planes de emergencia, e igualmente

se diseñaran en la siguiente parte de este plan.

2.3. Evaluación de riesgos para BIA: mapa de riesgos

Como lo verdaderamente importante del Análisis de Impacto del Negocio

(AIN) son los tiempos de recuperación y no las probabilidades de impacto, no es

necesario establecer un análisis de riesgo exhaustivo. En este tipo de análisis

exhaustivos, establecer las probabilidades de que las amenazas exploten

vulnerabilidades ofrece una imposición de salvaguardas. No tendría sentido la

elección de salvaguardas que minimicen el impacto como medida de un BIA, ya que

este objetivo se acomete desde otra perspectiva. En este caso lo que interesa es poder

medir de alguna manera el tiempo (ver el apartado anterior de este análisis), y tener


40

en cuenta el factor de riesgo en el momento de elegir si los procesos de negocio

resultan críticos para la continuidad de negocio o por el contrario, no perciben

ningún riesgo (y en consecuencia ningún impacto).

La evaluación de riesgos de un BIA, identifica las incidencias de seguridad

que pueden provocar un desastre (amenazas). ISO define estas incidencias

englobándolas en los siguientes grupos (ISOI05):

a) pérdida del servicio, equipo o medios;

b) mal funcionamiento o sobre-carga del sistema;

c) errores humanos;

d) incumplimientos de las políticas o lineamientos;

e) violaciones de los acuerdos de seguridad física;

f) cambios del sistema no controlados;

g) mal funcionamiento del software o hardware;

h) violaciones de acceso.

Por lo tanto, y como ya se ha explicado antes, este análisis es parecido a un

análisis de riesgos pero con peculiaridades distintas y para llevarlo a cabo, se han

estudiado los tipos de incidencias (JAPA06) en función de su probabilidad y nivel de

criticidad usando un mapa de riesgos (DELO08), para definir una clasificación de

riesgos:


41

Niveles de probabilidad y Criticidad

AltoMedioBajo

Tipo de incidencia Descripción de la incidencia Probabilidad Nivel de

Criticidad Natural N1

Fuego

Natural N2

Daños por agua

Natural N3

Otros desastres naturales

Industrial I1

Fuego

Industrial I2

Daños por agua

Industrial I3

Emanaciones electromagnéticas

Industrial I4

Contaminación mecánica

Industrial I5

Contaminación electromagnética

Industrial I6

Avería de origen físico o lógico

Industrial I7

Corte del suministro eléctrico

Industrial I8

Condiciones inadecuadas de temperatura y humedad

Industrial I9

Fallo de servicios de comunicaciones

Industrial I0

Interrupción de otros servicios o suministros esenciales

Industrial I11

Degradación de los soportes de almacenamiento de la información

Errores y fallos no intencionados E1

Errores de los usuarios


Errores del administrador


Errores de monitorización (log)


Errores de configuración


Deficiencias en la organización


Difusión de software dañino


Errores de (re-)encaminamiento


Errores de secuencia


Escapes de información


Alteración de la información


Introducción de falsa información


Degradación de la información

Errores y fallos no Destrucción de la información


42

intencionados E13 Errores y fallos no intencionados E14

Divulgación de información


Vulnerabilidades de los programas (software)


Errores de mantenimiento/actualización de programas (software)


Errores de mantenimiento/actualización de equipos (software)


Caída del sistema por agotamiento de recursos


Perdida de equipos


Indisponibilidad del personal

Ataques deliberados A1

Manipulación de la configuración


Suplantación de la identidad del usuario


Abuso de privilegios de acceso


Uso no previsto


Difusión de software dañino


Re-encaminamiento de mensajes


Alteración de secuencia


Acceso no autorizado


Análisis de tráfico


Repudio


Interceptación de información (escucha)


Modificación de información


Introducción de falsa información


Corrupción de falsa información


Destrucción de la información


Divulgación de información


Manipulación de programas


Denegación de servicio


Robo de equipos


Ataque destructivo


Ocupación enemiga


Indisponibilidad del personal


Extorsión


Ingeniería Social

Tabla 8. Tabla de riesgos probabilidad/nivel de criticidad.


43



44

Gráfico 7. Mapa de riesgos probabilidad/nivel de criticidad.


probabilidad/nivel de criticidad.


45

Esta última etapa del análisis, ofrece un último punto de vista para establecer

en la siguiente parte de este proyecto las distintas estrategias de recuperación.


46

PARTE II. DISEÑO PARA LA IMPLEMENTACIÓN

El BCP contiene el plan de recuperación de desastres (DRP) y el plan para la

continuidad de negocio. Este apartado se dedica al diseño de estos dos planes en

conjunto. Una labor que incluye la definición de las estrategias y las alternativas de

recuperación adecuadas. También contiene la labor de equipar al personal de

respuesta para asegurar la integridad y la disponibilidad de los recursos de

información de la organización.

1. Roles y responsabilidades asociadas al BCM

Una buena instauración de las responsabilidades de seguridad, no solo de las

concernientes al BCP si no de las de la seguridad integral de la empresa, establece

una buena práctica para asegurar la continuidad del negocio. La identificación de las

responsabilidades es uno de los asuntos con un nivel más alto dificultad. Por lo tanto,

a continuación se explican las responsabilidades estandarizadas que como mínimo

permiten el funcionamiento de la gestión de continuidad del negocio (GCN).

La empresa RED SOCIAL cuenta en su área de Administración con una

persona encargada de administrar los aspectos relacionados con la seguridad, física y

lógica. Esta persona, para mantener una buena gestión se responsabiliza del

desarrollo de la estrategia de la seguridad de la información para lo que debe de

contar con el compromiso de la dirección, definir roles y responsabilidades,

establecer los canales de comunicación de la información que apoyen los las


47

actividades de gobierno de la seguridad de la información, identificar temas legales y

regulatorios y establecer y mantener las políticas de seguridad. Para la seguridad

íntegra tiene que llevar a cabo como mínimo las siguientes actividades1:

a) Análisis, evaluación y administración de riesgos.

b) Administración de clasificación de datos.

c) Seguridad de redes.

d) Acceso a los sistemas.

e) Administración de cambios.

f) Análisis de Impacto al Negocio (BIA).

g) Presentación de información.

h) Manejo de crisis.

i) Continuidad de la organización.

j) Monitoreo de la seguridad.

Las tareas que el responsable de seguridad debe ejecutar en cuanto a la

realización concreta de la GCN son las siguientes:

a) Evaluación de riesgos y evaluación de impacto al negocio.

b) Definición de la estrategia de recuperación.

c) Documentación de los planes de recuperación.

d) Capacitación que incluya los procedimientos de recuperación.

e) Actualización de los planes de recuperación.

1 Fuente: ISACA.


48

f) Prueba de los planes de recuperación.

g) Auditoría de los planes de recuperación.

Por otro lado, una buena gestión de la seguridad íntegra de la organización no

sería posible sin un compromiso directo de la Dirección. ISO declara la función de la

Dirección como:

Debiera apoyar activamente la seguridad dentro de la organización a través

de una dirección clara, compromiso demostrado, asignación explícita y

reconociendo las responsabilidades de la seguridad de la información (ISOI05),

además emite la siguiente lista de responsabilidades:

a) asegurar que los objetivos de seguridad de la información estén identificados,

cumplan con los requerimientos organizacionales y estén integrados en los

procesos relevantes;

b) formular, revisar y aprobar la política de seguridad de la información;

c) revisar la efectividad de la implementación de la política de seguridad de la

información;

d) proporcionar una dirección clara y un apoyo gerencial visible para las

iniciativas de seguridad;

e) proporcionar los recursos necesarios para la seguridad de la información;

f) aprobar la asignación de roles y responsabilidades específicas para la

seguridad de la información a lo largo de toda la organización;


49

g) iniciar planes y programas para mantener la conciencia de seguridad de la

información;

h) asegurar que la implementación de los controles de seguridad de la

información sea coordinado en toda la organización.

Para terminar, mencionar que la seguridad en la organización conforma un

gran “puzle”, y cada unidad de negocio es una “pieza” común. Por lo tanto, todas las

actividades de las personas que pertenecen a la organización deberán sincronizarse

para obtener una respuesta contundente de seguridad (y en continuidad de negocio).

El responsable de la seguridad es el encargado de concienciar y capacitar

(debiendo ser apoyado por la Dirección) a cada una de las personas de la

organización, garantizando la consistencia de los siguientes aspectos (ISOI05):

a) asegurar que las actividades de seguridad sean ejecutadas en conformidad con

la política de seguridad de la información;

b) identificar cómo manejar las no-conformidades;

c) aprobar las metodologías y procesos para la seguridad de la información; por

ejemplo, la evaluación del riesgo, la clasificación de la información;

d) identificar cambios significativos en las amenazas y la exposición de la

información y los medios de procesamiento de la información ante amenazas;

e) evaluar la idoneidad y coordinar la implementación de los controles de la

seguridad de información;

f) promover de manera efectiva la educación, capacitación y conocimiento de la

seguridad de la información a través de toda la organización;


50

g) evaluar la información recibida del monitoreo y revisar los incidentes de

seguridad de la información, y recomendar las acciones apropiadas en

respuesta a los incidentes de seguridad de información identificados.

Para conseguir la concienciación y capacitación el aspecto que se debe tratar

con más cuidado, es establecer las áreas de las cuales son responsables las distintas

personas, cumpliéndose lo siguiente (ISOI05):

a) se debieran identificar y definir claramente los activos y procesos de

seguridad asociados con cada sistema particular;

b) se debiera designar la entidad responsable de cada activo o proceso de

seguridad y se debieran documentar los detalles de esta responsabilidad;

c) se debieran definir y documentar claramente los niveles de autorización.

En el caso concreto que concierne a este proyecto, GCN, es importante

establecer responsabilidades para un manejo correcto en caso de un incidente de

seguridad con impacto negativo. Más adelante se declaran estas responsabilidades

en los distintos planes de modo que las acciones estén planificadas de antemano y no

sorprendan (punto 4).


51

2. Política de continuidad de negocio

Se desarrolla en este apartado la política de continuidad de negocio. Una

política que se define para respaldar las metas y objetivos de negocio. Se trata de una

declaración de conceptos y expectativas que deben aplicarse. En consecuencia, la

política de continuidad tiene que ser congruente con los objetivos del negocio de

RED SOCIAL y a la par que este plan debe de revisarse con cierta periodicidad para

asegurar su correcto diseño e implementación.

A continuación se describe la política de continuidad de negocio de RED

SOCIAL:

NOTA: Así como este documento tiene un carácter confidencial para

los empleados vinculados con RED SOCIAL, la política

detallada en este punto es de uso público.

POLÍTICA - GESTIÓN DE CONTINUIDAD DE NEGOCIO “RED SOCIAL”

A. CONTENIDO

Recoge un enfoque de las expectativas de negocio para la implantación de una

adecuada gestión de la continuidad de RED SOCIAL. Se acogen medidas

necesarias para garantizar la continuidad de negocio, planificar respuestas ante


52

desastres y asegurar la localización y misión de cada una de las unidades críticas

de negocio.

B. PROPÓSITO

La política define la necesidad de la gestión de continuidad de negocio para el

desarrollo y mantenimiento del plan de continuidad de negocio de RED

SOCIAL.

C. ÁMBITO

Esta política está destinada para el personal técnico y de gestión de RED

SOCIAL.

D. POLÍTICA

i. Los siguientes planes deben ser creados:

a. Plan de emergencia.

b. Plan de recuperación ante desastres (DRP).

c. Plan de continuidad de negocio.

Para la creación de los planes será obligatorio determinar un análisis

de impacto del negocio (BIA) y una selección de estrategias de

recuperación ante interrupciones.


53

Estos planes deberán contener una especificación de

responsabilidades en el caso de que tengan que ponerse en marcha.

Se deberá asegurar la disponibilidad de una copia de los planes en

cualquier situación de interrupción del negocio.

ii. Los planes deben ser llevados a la acción.

Para comprobar su validez, los planes deben ser probados y auditados

gestionando las posibles necesidades potenciales de medidas

correctivas que puedan surgir.

Las pruebas deben ser debidamente cumplimentadas por todas las

personas implicadas que además deberán estar capacitadas para su

consecución.

iii. Los planes deben ser mantenidos y actualizados.

Se procederá a su actualización en un periodo definido incluido en

cada plan o cuando las necesidades de RED SOCIAL lo dispongan.

iv. Se deberá garantizar el cumplimento de las distintas regulaciones

vigentes que hacen referencia a la continuidad del negocio.


54

v. La interrupción de negocio deberá afectar en la medida de lo posible

de la menor manera tanto a los usuarios de los servicios de RED

SOCIAL como a los clientes de las distintas áreas de negocio.

vi. Esta política debe revisarse e incorporar criterios para su revisión.

Según queda dispuesto en la política de revisiones de RED SOCIAL,

esta política deberá incorporar el nombre de la persona o personas que

hayan efectuado la revisión en el apartado correspondiente de

histórico de revisiones.

E. APLICACIÓN

Cualquier empleado que viole los términos de esta política puede estar sujeto a

medidas disciplinarias que podrán incluir la finalización de su contrato.

F. HISTÓRICO DE REVISIÓN

Actualmente no se han producido revisiones de esta política.

3. Análisis de alternativas y selección de la estrategia de continuidad y recuperación ante desastres

En este punto se trazan distintas estrategias de continuidad y de recuperación

de desastres para posteriormente elegir, las que tengan una combinación óptima de

factores.


55

3.1. Información para la elección de estrategias.

Después del análisis realizado en la PARTE I, se pueden especificar las

posibles estrategias de continuidad y recuperación y ofrecer una buena gestión de

continuidad de negocio eligiendo entre ellas (la selección de una estrategia debe

utilizarse para desarrollar posteriormente los planes). Deberá elegirse la que más se

adapte a las necesidades y percepción de costes para su posterior implementación.

Como ya se ha explicado anteriormente, las soluciones propuestas en el

momento de su elección deben poder implantarse de una manera óptima de acuerdo

con el nivel de pérdidas por interrupciones de procesos críticos (obtenido gracias al

BIA). Las mejores opciones son: medidas de bajo coste que adopten una disminución

alta del riesgo para niveles altos de pérdida (Gráfico 8, Opción 1), el problema es que

esta situación no es la más habitual, por lo que se suelen escoger medidas

intermedias (Gráfico 8, Opción 2) y desechar las medidas de alto coste (Gráfico 8,

Opción 3). Así mismo, como es lógico, también es habitual desechar las medidas de

alto coste, cuando el nivel que producen las pérdidas es muy bajo (Gráfico 8, Opción

4). El problema surge cuando las medidas son de coste medio y las pérdidas también

(Gráfico 8, Opción 5), pero este análisis consigue atajar ese problema gracias a la

medida del riesgo, si el riesgo es muy alto lo habitual es adoptar las medidas y si el

riesgo es medio o bajo, lo normal es desecharlas, ya que no merece la pena el gasto

en salvaguardas por valor de la pérdida, mientras se está ofreciendo un servicio que

establece niveles de riesgo en su continuidad bajo.


56

Gráfico 8. Relación coste/perdidas para selección de estrategias de continuidad.

(Los números de la izquierda son meramente representativos)

3.1.1. Alternativas hardware fuera de sitio (controles físicos)

Las alternativas hardware que se ofrecen en función de los procesos permiten

soluciones llamadas “fuera de sitio” (se encuentran emplazadas en lugares distintos a

donde se encuentra la organización) y se utilizan en particular para desastres que

inhabilitan el equipo físico principal (como cortes en la energía eléctrica). Estas

estrategias de recuperación son (SANS06):

• Sitio espejo (Mirrored Site): Este tipo de estrategias de corto plazo (su

utilización es como máximo de hasta varias semanas después de un desastre o

emergencia importante) está totalmente equipada con equipos de oficina y

0

1

2

3

4

5

6

7

Opción 1 Opción 2 Opción 3 Opción 4 Opción 5

Coste

Perdidas


57

contiene hardware, software, información, redes y energía, operativos. Un

programador automático se encarga de equilibrar las cargas de las

computadoras para que las aplicaciones se puedan ejecutar en cualquiera de

los dos sitios.

• Hot Site: Este tipo de Estrategias está completamente equipada con equipos

de oficina y contiene hardware, software, redes y energía. Es mantenido

operacional a la espera de recibir las personas que harían uso de sus servicios,

programas, archivos de datos y documentación. El coste incluye un coste de

suscripción básico, renta mensual, cargos por pruebas, costes de activación

cuando el sitio se utilice para una amenaza real y cargos por uso.

• Warm Site: Este tipo de estrategias está parcialmente configurada y

equipada con parte del hardware, software, redes y energía pero sin la

computación principal (CPD). Este sitio móvil podría tener también equipos y

escritorios para un grupo de trabajo. Es mantenido operacional a la espera de

recibir la orden de trasladarse hacia el sitio en donde se hará la recuperación.

Se basa en que se puede obtener rápidamente un CPD para una instalación de

emergencia. Puede estar funcionando en varias horas, sin embargo, la

ubicación y la instalación de la CPD podría llevar varios días o semanas.

• Cold Site (y centros portátiles): consiste típicamente en una disposición con

adecuado espacio e infraestructura para soportar los sistemas tecnológicos.

No contiene dispositivos tecnológicos tales como teléfonos, computadores,

redes o servidores. Solo tiene el ambiente físico y básico como cableado

eléctrico, aire acondicionado… De todas las estrategias ésta es la menos


58

costosa pero la que toma más tiempo para que quede operativa y funcionando

(puede llevar varias semanas).

• Cintas de backup: unidad de almacenamiento masivo de datos en cinta,

denominada de respuesta rápida y sencilla al problema de las copias de

seguridad. Ofrecen la ventaja de que el medio magnético es removible,

confiable, duradero y de capacidades casi ilimitadas. A nivel software ofrecen

además, la posibilidad de grabación de datos en formato comprimido, y

método de corrección de errores avanzado.

Consideraciones a tener en cuenta

− El sitio elegido no debe estar sujeto al mismo desastre natural que el sitio

original.

− Debe existir un grado razonable de compatibilidad de hardware/software.

− Tiene que asegurarse la disponibilidad de los recursos en caso de

necesitarlos así como su escalado para que no falte capacidad de trabajo.

− Es necesario hacer pruebas periódicas.

Para elegir entre las anteriores alternativas, es muy importante establecer el

tiempo necesario para la recuperación ya que es un factor clave para determinar

estrategias de recuperación para que las pérdidas no lleguen a situaciones

incosteables (a continuación, en el apartado 3.1.2 se detallan de mejor manera las

variables de tiempo).


59

Gráfico 9. Comparativa coste/tiempo de estrategias de recuperación.

Por último mencionar, que al elegir una alternativa hardware de respaldo es

importante saber de antemano el número de clientes simultáneos, el número posible

de usuarios del sitio, las reglas para el uso de los recursos… Elaborar una estrategia

de recuperación necesita equilibrar todos los parámetros, los diferentes tipos de sitios

de recuperación y sus costes.

3.1.2. Variables de tiempo y nivel de servicio

Para la evaluación del tiempo y nivel de servicio existen estandarizados los

siguientes1:

1 Fuente: ISACA


60

• Ventana de interrupción: tiempo soportable hasta recuperar los servicios/

aplicaciones críticos.

• RTO: tiempo máximo para regresar a la normalidad.

• RPO: antigüedad máxima de los datos que se han de restablecer.

• SDO: nivel de servicio que debería soportarse durante el modo de proceso

alterno.

• MTO: tiempo máximo que puede soportarse la operación en un modo

alterno.

3.1.3. Continuidad de los servicios de comunicaciones y servidores

Se deben prever las capacidades de telecomunicación adecuadas: circuitos

telefónicos de voz, redes de área amplia, redes de área local y proveedores externos

de intercambio electrónico de datos.

Los métodos para proporcionar la continuidad de las comunicaciones son1:

• Redundancia: Se consigue con una variedad de soluciones como:

− Capacidad adicional a la máxima necesitada.

− Múltiples rutas entre routers.

− Protocolos de enrutamiento dinámicos especiales (como OSPF,

EGRP…).

1 Fuente: ISACA


61

− Contar con dispositivos de conexión de apoyo.

− Guardar los archivos de configuración

• Enrutamiento alternativo: Enrutar la información mediante un medio

alterno como cable de cobre o fibra óptica, redes de marcación telefónica…

utilizando dos redes por si la principal no está disponible.

• Enrutamiento diverso: Enrutar tráfico a través de cable duplicado en el

mismo conducto o otra ubicación distinta.

• Redes de larga distancia.

• Protección de circuito de última milla: Se realiza mediante múltiples

métodos de comunicación.

• Recuperación de voz: Asegurar las comunicaciones por voz mediante

cableado duplicado, dividir voz y datos…

Así mismo, es necesario determinar los umbrales de cortes de la energía

eléctrica (2 horas, 8 horas, 24 horas), es decir MTO, para seleccionar las fuentes de

energía alterna (o UPS) para los servidores. Otra manera de asegurar el servicio, ante

incidentes de falta de recursos, es mediante servidores duplicados con balanceo de

carga.

3.1.4. Protección de los sistemas de almacenamiento de datos

RAID (consultar Anexo A) ofrece mejoras en el desempeño y capacidades

tolerantes a fallos mediante soluciones de hardware y software, descomponiendo


62

datos y escribiéndolos en una serie de discos múltiples. Proporcionan potencial para

tener datos continuos y rentables ya sea en la ubicación habitual o fuera de sitio. Los

distintos niveles que existen en esta tecnología son (DELV02):

• RAID-0: Distribuye automáticamente la información en diversos discos, por

lo que en caso de un fallo de uno de ellos no se perdería toda la información

sino únicamente la del disco dañado. La recuperación mediante copias de

seguridad se hace más rápida. No utiliza ningún sistema para proporcionar

redundancia en la información almacenada por lo que no debería ser llamados

RAID.

• RAID-1: Utiliza la técnica “espejo” (mirroring) para proveer la mejor

redundancia tolerable a fallos disponible (los discos guardan exactamente la

misma información por parejas). Cuando un disco espejo falla, el segundo

toma su lugar. El problema se presenta cuando se escriben datos deteriorados

en un disco, pues son duplicados con los mismos defectos en el espejo, Esta

técnica generalmente es poco práctica y costosa, especialmente cuando se

almacenan datos en el orden de magnitudes grandes. Inclusive con los bajos

costes de los discos duros, RAID-1 solo tiene sentido para datos de misión

crítica que deben estar disponibles permanentemente en línea. Este nivel

requiere al menos dos discos para su implantación.

• RAID-2: Utiliza códigos de corrección de errores de Hamming. Se empleaba

en discos que no poseían detección de errores incorporada. Todos los drivers

SCSI modernos incorporan detección automática de error por lo que este

nivel carece de aplicación práctica para discos SCSI.


63

• RAID-3: Introduce el chequeo de paridad, o la corrección de errores.

Distribuye los datos a través de múltiples discos al nivel de bytes, y añade

redundancia mediante la utilización de un disco de paridad dedicado, que

detecta errores en los datos almacenados producidos por un fallo de cualquier

disco y los reconstruye mediante algoritmos especiales. Si el fallo se produce

en el disco de paridad, se pierde la redundancia, pero se mantiene intacta la

información original. Debido a que RAID-3 escribe los datos en grandes

grupos de datos de bytes de nivel de información, es una alternativa

apropiada para aplicaciones multimedia que envían y reciben grandes

archivos. RAID-3 requiera al menos tres discos para su implementación (2 de

datos y 1 de paridad).

• RAID- 4: Distribuye los datos en múltiples discos a nivel de bloques (la

diferencia principal con el nivel 3), con información de paridad almacenada

en un solo disco. La información de paridad permite la recuperación del fallo

de cualquier disco. El rendimiento de un RAID-4 es muy bueno para lectura

(similar a RAID-0). La escritura, sin embargo, requiere que la información de

paridad sea actualizada cada vez. Esto vuelve lenta la escritura aleatoria, en

particular, pero la escritura secuencial se mantiene bastante rápida. Debido a

que únicamente un disco del conjunto almacena información redundante, el

coste por megabyte de un RAID-4 puede ser bastante bajo.

• RAID- 5: Es la alternativa más popular. Crea datos de paridad,

distribuyéndolos a través de todos los discos (excepto en aquel disco en que

se almacena la información original), obviando la necesidad de un disco de

paridad dedicado. El RAID-5 es el más completo de todos los niveles de


64

redundancia por distribución, porque si un disco falla, la información de

paridad en los otros permite la reconstrucción inmediata y online de toda su

información. Aún más, el RAID-5 escribe datos en los discos al nivel de

bloques (en lugar de trabajar a nivel de bytes), volviéndolo más apropiado

para múltiples transacciones pequeñas como e-mail, procesadores de texto,

hojas de cálculo, y aplicaciones de bases de datos. RAID-5 requiere al menos

tres discos para su implementación. RAID-6 es igual pero añade otro bloque

de paridad.

En conclusión, los niveles 0 y 1 tienen mejor desempeño cuando están

basados en software, y los niveles 3,5 y 6 son mejores (mayor rápidez) en hardware.

Los niveles restantes son soluciones de alto coste con escalabilidad limitada (excepto

RAID-2 que casi nunca se utiliza porque es intensivo en recursos).

3.1.5. Pólizas de seguros y proveedores

La póliza de seguros es por lo general una póliza contra múltiples daños,

diseñada para proporcionar una cobertura de varios tipos de SI. Los tipos de

cobertura disponibles son1:

• Equipo e instalaciones SI

• Reconstrucción de medios (software)

• Gastos adicionales: Cubre los costes adicionales por continuar con las

operaciones después de un daño o destrucción. 1 Fuente: ISACA


65

• Interrupción del negocio: Cubre la pérdida de ganancias.

• Documentos y registro de valor

• Errores u omisiones

• Cobertura de fidelidad: Cubre contra pérdida por actos deshonestos y

fraudulentos.

• Transporte de medios: Cubre las posibles pérdidas cuando se están

transportando recursos de la organización de un sitio a otro.

Para contratar un seguro o el servicio de un proveedor es necesario tener en

cuenta la configuración: definición de desastre, velocidad de disponibilidad,

suscriptores por sitio de respaldo (en el caso de que haya varios), suscriptores por

área de respaldo, preferencia, cobertura de seguro, periodo de uso, comunicaciones,

garantías, auditoría, pruebas, fiabilidad, sanciones, personal y software.

3.1.6. Otros recursos

Anteriormente se han identificado en este proyecto las siguientes tecnologías

de seguridad que podrían proporcionar una solución para elegir la estrategia de

continuidad:

Firewalls, Switches y Routers, Sistemas de detección de intrusos (IDS),

Sistemas de prevención de intrusos (IPS), Técnicas criptográficas, Firmas

Digitales, Tarjetas inteligentes, Sistemas de acceso mediante contraseñas,

Seguridad inalámbrica, Seguridad de aplicación, Acceso remoto (VPN),


66

Sistemas de Backup, Técnicas web de seguridad, Seguridad perimetral, Video

vigilancia IP y Técnicas biométricas.

3.2. Estrategias de recuperación

A continuación se utiliza una combinación de factores (criticidad de los

procesos de la organización obtenida del BIA, coste, tiempo requerido para la

recuperación) para identificar las distintas estrategias que utilizan soluciones de las

descritas en el apartado anterior.

NOTAS: Las amenazas existentes pueden neutralizarse, minimizar la

probabilidad de que ocurran o minimizar el efecto en caso de

que ocurra un accidente. El coste de la recuperación es, el

coste de prepararse para posibles interrupciones y el coste de

ponerlas a funcionar en caso de una interrupción.

Estrategias según los distintos procesos críticos de negocio:

AVISO: Para cada incidente, la primera tabla describe el incidente y las

siguientes tablas los alcances y estrategias posibles.


67

• Incidente 1

Incidente Pérdida o inutilización permanente de los activos de la

compañía.

Tiempo medio crítico de pérdidas

Gestión del entorno operativo Inmediato

Comunicaciones Internas Inmediato

Mantenimiento Inmediato

Gestión del servicio 4 horas

Gestión de la seguridad 7 horas

Comunicaciones externas 1 día

Gestión financiera de clientes 1 día

Soporte a usuarios 3 días

Gestión de las operaciones

comerciales 3 días

Gestión financiera de

proveedores 1 semana

Gestión de Inversiones y

financiación 1 semana

Gestión de RRHH 1 semana

Nivel medio de criticidad de amenazas de

probabilidad alta

No existen amenazas de probabilidad alta que puedan

provocar este incidente


probabilidad media

No existen amenazas de probabilidad media que puedan

provocar este incidente


probabilidad baja Alto

Alcance Pérdida completa del entorno operativo

RTO Horas

RPO Desde el momento anterior a la interrupción

SDO No existe modo de proceso alterno

MTO No existe modo de proceso alterno

Nº de estrategia 1


68

Solución Sitio espejo

Coste Alto

Nº de estrategia 2

Solución Hot Site

Coste Alto

Nº de estrategia 3

Solución Warm Site

Coste Medio

Nº de estrategia 4

Solución Cold Site

Coste Medio

Nº de estrategia 5

Solución Cintas de backup

Coste Bajo

Nº de estrategia 6

Solución Contratación de un seguro

Coste Medio

Alcance Robo o destrucción intencionada de recursos

RTO Horas




Nº de estrategia 7

Solución Seguridad física

Coste Alto

Nº de estrategia 6

Solución Contratación de un seguro

Coste Medio

Tabla 9. Estrategias de continuidad para incidente 1.


69

• Incidente 2

Incidente Interrupción de comunicación de la compañía.











comerciales 3 días







probabilidad alta Medio


probabilidad media Medio


probabilidad baja Medio

Alcance Interrupción de la red interna

RTO 1 hora

RPO Las comunicaciones se interrumpen y deberán emitirse

de nuevo

SDO Medio

MTO Horas

Nº de estrategia 8


70

Solución Protección circuito de última milla

Coste Alto

Nº de estrategia 9

Solución Redes de larga distancia

Coste Medio

Nº de estrategia 10

Solución Enrutamiento diverso

Coste Medio


Solución Enrutamiento alternativo

Coste Medio


Solución Redundancia de red interna

Coste Bajo

Alcance Interrupción de los teléfonos

RTO 1 hora

RPO Las comunicaciones se interrumpen y deberán emitirse

de nuevo

SDO Medio

MTO Horas


Solución Cableado duplicado

Coste Alto


Solución Contacto por teléfonos móviles

Coste Bajo



71

• Incidente 3

Incidente Pérdida de datos o degradación de datos de servicio a

usuarios externos o internos











comerciales 3 días









probabilidad media Alto



Alcance Imposibilidad de acceso a datos

RTO En función del tipo de dato






72

Solución RAID-6

Coste Alto


Solución RAID-5

Coste Alto


Solución RAID-4

Coste Alto


Solución RAID-3

Coste Medio


Solución RAID-2

Coste Bajo


Solución RAID-1

Coste Medio


Solución RAID-0

Coste Bajo

Alcance Pérdida total de recursos de almacenamiento

RTO 3 horas




Nº de estrategia 5

Solución Sistema de respaldo y recuperación (Backup)

Coste Alto



73

• Incidente 4

Incidente Pérdida de confidencialidad datos de servicio a usuarios

externos o internos











comerciales 3 días









probabilidad media Alto



Alcance Vulnerabilidades de acceso a soportes físicos datos

RTO 1 día

RPO No hay que recuperar datos





74

Solución Logs de acceso

Coste Bajo


Solución Autenticación fuerte: un solo acceso

Coste Alto


Solución Niveles de autenticación

Coste Medio


Solución Técnicas biométricas

Coste Alto


Solución Tarjetas inteligentes

Coste Alto

Alcance Vulnerabilidades en las comunicaciones

RTO 1 día





Solución Firmas digitales

Coste Medio


Solución Cifrado de comunicaciones

Coste Bajo



75

• Incidente 5

Incidente Falta de recursos humanos











comerciales 3 días







probabilidad alta Bajo


probabilidad media Bajo


probabilidad baja Bajo

Alcance Indisponibilidad de transporte

RTO -





Solución Automatización del servicio básico


76

Coste Alto


Solución Transportes auxiliares

Coste Medio/Bajo (en función del de personal faltante)


Solución Duplicación de funciones asignadas a una persona

Coste Alto/Bajo (en función del de personal faltante)

Alcance Inasistencia generalizada

RTO El mínimo en función de la posibilidad de asistencia (ya

sea huelga, pandemia…)





Solución Automatización del servicio básico

Coste Alto


3.3. Selección de la estrategia

La recuperación de cada uno de los procesos de negocio, va a utilizar las

siguientes estrategias. La selección de una estrategia de recuperación depende de:

• Criticidad del proceso comercial y las aplicaciones que soportan a los

procesos.

• Coste

• Tiempo requerido para la recuperación

• Seguridad


77

• Fiabilidad

Por lo tanto, después de la diversidad de estrategias ofrecidas en el punto

anterior se han elegido las que mejor combinan estas características. Son las

siguientes:

• INCIDENTE 1

Pérdida o inutilización permanente de los activos de la compañía.

Elegir una estrategia para este incidente, proporciona la posibilidad de

una alternativa hardware “fuera de sitio”. La criticidad de una amenaza de

seguridad para este incidente es alta, sin embargo la probabilidad es baja. Por

lo tanto, como la compañía se encuentra actualmente en una fase reciente de

constitución, se procede a asumir este riesgo y más adelante, cuando se

obtenga una mayor consolidación de la compañía se deberá revisar de nuevo

este aspecto, ya que los tiempos críticos (y las consecuentes pérdidas) deben

ser tenidos en cuenta. Las estrategias elegidas son:

• ESTRATEGIA 5: Cintas de Backup

Esta estrategia es la más acorde con la actividad actual de la compañía, ya

que las demás proporcionan soluciones que minimizan en mayor medida

las amenazas y las pérdidas, pero a costes tan elevados para la capacidad

actual de RED SOCIAL que de momento resultan inalcanzables.


78

• ESTRATEGIA 6: Contratación de un seguro

La contratación de una póliza de seguro va a ser necesaria. Por

consiguiente, esta estrategia no aporta un gran nivel de decisión en el

momento de su elección. Habrá que prestar especial atención a las

condiciones del seguro de manera que los activos críticos de la compañía

(ver punto 2.2) puedan asegurarse en el futuro.

• INCIDENTE 2

Interrupción de comunicación de la compañía.

Este incidente es de criticidad media por lo tanto se va a proceder a su

solución de la siguiente manera:

• ESTRATEGIA 12: Redundancia de red interna

Se va a intentar asegurar en un primer punto la redundancia de la red

interna, para ello se va a poner a trabajar a las personas designadas.

• ESTRATEGIA 10: Enrutamiento diverso

Se va a disponer a los empleados en caso de un fallo de gran tiempo de

comunicaciones de las posibilidades que sean necesarias para permitir el

acceso a las comunicaciones, ya sea mediante conexiones en el hogar para

teletrabajo o conexión por la línea móvil de telefonía. Esta es una medida


79

preventiva, hasta que se instale completamente la estrategia a

continuación.

• ESTRATEGIA 11: Enrutamiento alternativo

Se va a proceder a duplicar el cable actual con las mejores soluciones de

coste que se encuentren en el mercado de forma progresiva. Primero se

empezará por las redes más críticas hasta las menos críticas. Esta solución

intenta alcanzar una mayor fiabilidad para poco a poco conseguir la

protección del circuito de última milla.

• ESTRATEGIA 14: Contacto por teléfonos móviles.

En la situación en que los teléfonos se encuentren indisponibles, se

tomarán medidas para hacer posible la comunicación mediante teléfonos

móviles.

• INCIDENTE 3

Pérdida de datos o degradación de datos de servicio a usuarios externos o

internos.

El nivel de probabilidad medio de criticidad es alto.

El nivel de probabilidad alto de criticidad es medio.

El nivel de probabilidad bajo de criticidad es alto.


80

Por lo tanto deberán destinarse medidas cuanto antes, que ofrezcan

una buena configuración de fiabilidad y coste. Al ser los datos una parte de

las más críticas para la continuidad de servicios de la red social (su

indisponibilidad tiene establecido tiempos críticos), las medidas adoptadas

son:

• ESTRATEGIA 15: RAID-6

Quizás en el largo plazo parece una de las mejores soluciones para los

datos que utilizan el servicio de la red social, por lo tanto se utilizará esta

estrategia para almacenar los datos de los usuarios externos a la

compañía. Además también se almacenarán los datos de la aplicación. Se

conjuntará como ya se ha visto antes con cintas de backup.

• ESTRATEGIA 21: RAID-0

En caso de fallo, existen datos en la compañía de los procesos que no son

tan críticos en cuanto a tiempos (como los que necesitan disponibilidad al

día siguiente del incidente). Por lo tanto se utilizará RAID-0 conjunto a

backup para este tipo de datos.

• ESTRATEGIA 5: Sistema de respaldo y recuperación backup. (ya citada

en el incidente 1)


81

• INCIDENTE 4


El nivel de probabilidad medio de criticidad es alto.

El nivel de probabilidad alto de criticidad es medio.

El nivel de probabilidad bajo de criticidad es alto.

Por lo tanto deberán destinarse medidas cuanto antes que ofrezcan una

buena configuración de fiabilidad y coste. Al ser los datos una parte de las

más críticas para la continuidad de servicios de la red social, las medidas

adoptadas son:

• ESTRATEGIA 21: Logs de acceso

Se va a incorporar un registro de logs de acceso que solo va a poder ser

visitado por determinados niveles de autenticación (dirección y

seguridad).

• ESTRATEGIA 23: Niveles de autenticación.

Ya se cuenta con esta estrategia. Se establecen niveles de autenticación en

función a la información a la que se desea acceder. Estos niveles, están

establecidos para acceder a la información del servidor interno y

repartidos entre las distintas áreas de negocio.


82

• ESTRATEGIA 27: Cifrado de comunicaciones

Ya se cuenta con esta estrategia. Aunque actualmente se está implantando

la infraestructura de clave pública (PKI) que va a permitir además la

siguiente estrategia.

• ESTRATEGIA 26: Firmas digitales

Va a permitir la firma de documentos, tanto como para uso interno, como

de cara a transacciones externas.

• INCIDENTE 5


Este incidente no presenta un riesgo excesivo, por lo tanto para

asegurar los tiempos críticos de las distintas funciones de negocio se va a

tomar la siguiente medida que tiene un coste relativamente bajo (varía en

función de los empleados que no puedan acudir a sus puestos de trabajo).

• ESTRATEGIA 29: Transportes auxiliares

Se establecerá un orden con prioridad para las personas de procesos

críticos que no puedan llegar a su puesto de trabajo y no cuenten con

medios suficientes para desempeñar sus labores, en el caso de que la

afluencia de empleados sea mínima.


83

4. Recuperación de desastre: Actividades, recursos y personal

Se definen los planes para la continuidad del negocio, para su redacción se ha

intentado en la medida de lo posible cumplir con los siguientes objetivos (DELO08):

• Genéricos, simples, realistas, entendibles y probados.

• Proteger la imagen pública.

• Mantener el servicio.

• Minimizar impactos financieros.

• Reducir efectos operacionales de un desastre (reanudación y recuperación

de procesos).

• Reanudar las operaciones y factores de soporte.

• Satisfacer las obligaciones para con empleados, clientes y terceros.

NOTA: Así como este documento tiene un carácter confidencial para

los empleados vinculados con RED SOCIAL, los planes

detallados en este punto son públicos y se debe asegurar la

disponibilidad de los mismos ante cualquier situación que

perturbe la continuidad de negocio.


84

4.1. Plan de emergencia

Este plan es el encargado de preservar la seguridad de los empleados de la

organización en el caso de que ocurra cualquier incidencia que pueda dañar su

integridad. Se ha confeccionado consultando los consejos y recomendaciones de los

servicios públicos de atención al ciudadano para situaciones de emergencia y

urgencia en España1.

1 http://www.112.es/


85

PLAN DE EMERGENCIA DE “RED SOCIAL”

A. DECLARACIÓN DE LA EMERGENCIA

Se considerará emergencia:

i. Fuego en las instalaciones.

ii. Terremotos.

iii. Inundaciones.

iv. Daños físicos con necesidad de atención médica.

v. Catástrofe.

B. RESPONSABILIDADES

Las personas responsables de asegurar la situación de emergencia son los

servicios profesionales a disposición del ciudadano. Mientras acuden al lugar

de la emergencia, la ejecución de las siguientes tareas facilitará su posterior

misión así como la integridad física de los afectados:

− Avisar al teléfono de emergencia 112.

− Proveer a la instalación con botiquines de asistencia.

− Comprobar el buen estado de los extintores.

− En caso de incendio, intentar apagar los sistemas eléctricos.

− Revisar las partes de las instalaciones que puedan desprenderse.

− Extremar las precauciones de algunos objetos que puedan caerse, en

particular los pesados.


86

− Revisar las instalaciones que puedan romperse: tendido eléctrico,

conducciones de agua, gas y saneamientos.

− Distribuir los procedimientos de actuación por el edificio.

− Señalar las salidas de emergencia.

− Señalar la enfermería o área donde se encuentre el botiquín

− Dirigir las evacuaciones.

Debe existir una persona o equipo en la empresa encargado de estas acciones

ante emergencias.

C. PROCEDIMIENTO DE EVACUACIÓN ANTE INCENDIOS

1. De la voz de alarma (usando las alarmas indicadas).

2. No utilice el ascensor y evite las corrientes de aire, cierre la puerta de

la habitación donde se produjo el fuego.

3. Proceda a la evacuación siguiendo las vías y salida de emergencia

indicadas.

4. Camine deprisa pero sin correr y de forma ordenada, sin empujar.

Protéjase del humo caminando a gatas al lado de las paredes y

tapando, nariz y boca con un paño húmedo.

5. No se detenga hasta situarse suficientemente lejos del lugar del

siniestro.


87

i. Si el fuego es pequeño y tiene a mano un extintor, ataque la

base de las llamas después de haber alejado los objetos que

puedan propagar el fuego (no utilice agua).

ii. No fume.

iii. Si se incendia su ropa, no corra. Túmbese en el suelo y ruede

sobre sí mismo.

iv. En caso de NO PODER ABANDONAR el lugar por el fuego:

− Enciérrese en una habitación.

− Tape las ranuras de la puerta, preferiblemente con trapos

mojados para evitar que entre el humo.

− Hágase ver por la ventana.

D. PROCEDIMIENTO ANTE TERREMOTOS

1. Buscar refugio debajo de los dinteles de las puertas o de algún mueble

sólido, como mesas o escritorios, o bien, junto a un pilar o pared

maestra.

2. Mantenerse alejado de ventanas, cristaleras, vitrinas, tabiques y

objetos que pueden caerse y llegar a golpearle.

3. No utilizar el ascensor, podría quedar atrapado en su interior.

4. Utilizar linternas para el alumbrado y evitar el uso de velas, cerillas, o

cualquier tipo de llama durante o inmediatamente después del

temblor.


88

5. Ir hacia un área abierta, alejándose de los edificios dañados.

6. Procurar no acercarse ni penetrar en edificios dañados. El mayor

peligro por caída de escombros, revestimientos, cristales, etc…, está

en la vertical de las fachadas.

E. PROCEDIMIENTO ANTE INUNDACIONES

1. Localizar los puntos más altos.

2. Cerrar agujeros de puertos y ventanas y salidas de ventilación.

3. Colocar lo que se quiera salvar en los puntos más altos.

4. Desconectar la corriente.

F. PROCEDIMIENTO ANTE DAÑOS FÍSICOS

Accidentes graves

1. Llamar a los servicios de emergencia.

2. A los accidentados se les proveerán los primeros auxilios en caso de

ser necesario.

3. Si se trata de un daño de gravedad, no mover al afectado en la medida

de lo posible hasta que acudan los servicios de emergencia.

Accidentes leves

1. Si se trata de heridas o quemaduras leves se proporcionará ayuda

mediante el botiquín.


89

G. PROCEDIMIENTO ANTE CATÁSTROFES

1. Siga las consignas de las autoridades.

2. Mantenga la calma, piense y luego actúe.

3. No telefonee; deje las líneas libres para los equipos de socorro.

4. Una catástrofe no es un espectáculo, no curiosee: podría entorpecer o

impedir los trabajos de los equipos de socorro.

4.2. Plan de continuidad de negocio

Este plan se encarga de prever las interrupciones que puedan surgir para

mantener la actividad normal de los procesos de negocio. Trata las normas,

procedimientos, responsabilidades y utilización de recursos en el caso de que se

produzca una interrupción de las operaciones de negocio en su localización

habitual, para restaurar la funcionalidad, así como las normas, procedimientos,

responsabilidades y utilización de recursos para asegurar que no se produzcan las

interrupciones. Se ha confeccionado basándose en las estrategias determinadas por

este Plan de Continuidad del Negocio, así como por las que ya existían en la

organización.


90

PLAN DE CONTINUIDAD DE “RED SOCIAL”

A. DECLARACIÓN DE LA CONTINUIDAD

Se considerará continuidad de negocio:

i. Mantenimiento de las copias de Backup.

ii. Recuperación de las copias de Backup.

iii. Métodos de enrutamiento diverso disponibles.

iv. Modo de enrutamiento alternativo.

v. Contacto mediante teléfonos móviles.

vi. Registro de logs de acceso a la información.

vii. Sistema de firmas digitales.

viii. Solicitación de transportes

B. RESPONSABILIDADES (responsables)

Se describen las responsabilidades:

PARA EL MANTENIMIENTO Y RECUPERACIÓN DE COPIAS DE

BACKUP

− Conocer la instalación del equipo de backup.

− Entender los manuales de funcionamiento del sistema de backup.

− Configurar los servicios de respaldo según los procedimientos de este

plan.


91

− Atender incidencias para la recuperación de los datos.

− Revisar su correcto funcionamiento periódicamente.

− Realizar pruebas de recuperación de datos.

PARA LOS MÉTODOS DE ENRUTAMIENTO DIVERSO

− Confeccionar un registro de usuarios.

− Establecer jerarquías para su utilización.

− Contratar métodos diversos de enrutamiento con proveedores.

− Asegurar la correcta utilización corporativa de estos métodos.

PARA EL MODO DE ENRUTAMIENTO ALTERNATIVO

− Automatizar la red para el funcionamiento en caso de necesidad de

respaldo.

− Elaborar un registro para acceso a la red inalámbrica.

− Asegurar la disponibilidad para los procesos críticos del negocio.

− Preservar la instalación de red alternativa.

PARA EL CONTACTO MEDIANTE TELÉFONOS MÓVILES

− Adquisición de teléfonos de uso organizativo.

− Proveer de un sistema de contacto.

− Controlar el uso abusivo.


92

PARA EL REGISTRO DE LOGS DE ACCESO A LA INFORMACIÓN

− Mantener la concordancia con los niveles de autenticación.

− Conservar la antigüedad de los registros.

− Asegurar esta información para que no pueda ser eliminada.

− Revisión periódica del funcionamiento.

PARA EL SISTEMA DE FIRMAS DIGITALES

− Elaborar información para su utilización.

− Establecer un procedimiento para la instauración.

− Construir la infraestructura de clave privada (PKI).

− Gestionar incidentes.

PARA LA SOLUCIÓN DE TRANSPORTES

− Elegir proveedores de transporte.

− Elaborar un procedimiento de solicitación.

− Controlar el uso abusivo.

Deben existir personas o equipos en la empresa encargados de estas acciones

para que se preserve la continuidad de negocio.


93

C. SOBRE LA INFORMACIÓN DE LA NECESIDAD DE MEDIDAS DE

BACKUP

Existe la posibilidad de informar sobre una indisponibilidad de los datos

según las siguientes vías:

1. A través del portal interno de la compañía.

2. A través de las notificaciones automáticas de los usuarios externos.

3. Contactando directamente con el área de comunicaciones,

especificando que datos fallan, donde y cuando se originó el fallo.

En todo caso, el área de comunicaciones será la encargada de solicitar la

recuperación de datos a gestión del servicio.

D. PROCEDIMIENTO DE RECUPERACIÓN DE DATOS

1. Recibir notificación de falta de datos (mediante las medidas indicadas

en C).

2. Identificación del problema mediante la consola de recuperación.

3. En el caso de que se detecte fallo, identificar la criticidad de los

sistemas para el restaurar los datos.

4. Establecer el momento de recuperación.


94

5. Informar a las personas que puedan influir en la recuperación el cese

de sus actividades hasta que esta se complete. (en caso de ser

necesario)

Este procedimiento se encuentra automatizado para la gestión de datos de

los usuarios de la red social y solo afectará a la marcha correcta de las

actividades de los empleados.

E. PROCEDIMIENTO DE ENRUTAMIENTO DIVERSO

1. Identificar errores en la red (mediante envío automático de paquetes)

2. Intentar restaurar el servicio. (mediante labores de mantenimiento)

3. En caso de que no se consiga restaurar, se determinará la resolución

inmediata atendiendo a si proviene de uno de los procesos críticos:

Gestión del entorno operativo Comunicaciones internas Mantenimiento Gestión del servicio Gestión de la seguridad Comunicaciones externas Gestión financiera de clientes Soporte a usuarios Gestión de las operaciones comerciales Gestión financiera de proveedores Gestión de inversiones y financiación Gestión de RRHH

Sí se trata de cualquier otra unidad de negocio, se esperará a la

solución por las labores de mantenimiento.


95

4. Se dispondrá de los sistemas alternativos, en este orden: red

inalámbrica, red de telefonía móvil, conexiones externas.

5. En caso de que no se pueda proporcionar ninguno de los sistemas

alternativos anteriores se intentará gestionar la recuperación de la red

mediante prioridad máxima.

F. PROCEDIMIENTO PARA LA CONCESIÓN DE TELÉFONOS MÓVILES.

1. Se deben especificar las razones de la solicitud.

2. Se debe comprobar el uso anterior de telefonía móvil por parte del

solicitante para evitar usos abusivos (mediante las alertas de uso

abusivo).

3. Registro del momento de préstamo y de devolución.

G. PROCEDIMIENTO PARA LA SOLICITUD DE FIRMAS DIGITALES

1. Se debe percibir la solicitud por parte del usuario.

2. Una vez recibida la solicitud se procede al registro.

3. Se emite la petición de certificado (validado y archivado).

4. Se informa confidencialmente de las claves y de su expiración.

Convenientemente se avisará sobre el uso de las firmas digitales y se

despejará cualquier duda que pueda surgir.


96

H. PROCEDIMIENTO PARA LA SOLICITUD DE RENOVACIÓN DE

FIRMAS DIGITALES

1. Se debe percibir la solicitud por parte del usuario o por parte de la

autoridad de certificación.

2. Una vez recibida la solicitud se procede al registro de la renovación.

3. Se emite la petición de renovación certificado (esta se encarga de

validarlo y archivarlo).

4. Se informa confidencialmente de las claves y de su expiración.

I. PROCEDIMIENTO PARA SOLICITUD DE TRANSPORTE

ALTERNATIVO

a) Se deben explicar los motivos.

b) Se deben verificar los motivos.

c) Se procede a la solicitud de transporte según las siguientes

alternativas:

a. Limitado número de personas

i. Disposición de servicios de taxi.

b. Alto número de personal crítico

i. Disposición de autobuses que paren en centros

urbanos.


97

4.3. Plan de recuperación ante desastres (DRP)

Este plan hace referencia a normas, procedimientos, responsabilidades del

personal y utilización de recursos en el caso de que se produzca una perdida

completa del entorno operativo. Las estrategias escogidas como solución ante

desastres han sido un sistema de cintas de backup (que utilizan el plan de

continuidad del punto anterior) y una póliza de seguros, y no una alternativa

hardware y software “fuera de sitio”. El coste que supone actualmente para RED

SOCIAL una de estas estrategias “fuera de sitio” es excesivo, por lo tanto

actualmente no existe la posibilidad de definición de este plan.

En el caso, en que más adelante se decida la implantación de medidas ante

desastres, este plan debe contener detallado como mínimo:

− Declaración de desastres: Se debe determinar que será considerado como

desastre y como se declararan.

− Disposiciones antes del desastre: Se deberá establecer cuál es la

configuración del negocio, la disposición física de los elementos, la

configuración de los elementos de TIC y las necesidades de recursos

humanos así como la información de contacto.

− Procedimiento ante desastres: Se especificarán los pasos a seguir en caso de

ocurrir un desastre.


98

− Identificación de los procesos de negocio y recursos de TIC que deben

recuperarse: Se detallará el orden de recuperación de los procesos y los

recursos que necesitan.

− Identificar los responsables y las responsabilidades: Se explicará qué se

debe hacer y qué personas deben llevarlo a cabo.

− Definir la secuencia de recuperación: En este apartado se enumerarán los

pasos para cada una de las opciones de recuperación identificando los

recursos que se están recuperando en cada momento.

El futuro mantenimiento del Plan de Continuidad de Negocio posibilitará

la formalización de este plan siempre que sea acorde con las posibilidades de

financiación de RED SOCIAL.


99

PARTE III. IMPLEMENTACIÓN DE PLANES

Llevar a cabo las actividades que definen el plan de continuidad del negocio

es una tarea que requiere una labor conjunta por todas las personas implicadas en

algunos de sus aspectos, y que además requiere una conciencia a nivel global. Por

tanto este apartado define una estrategia para que los empleados de RED SOCIAL

acomoden la seguridad de la continuidad en sus quehaceres cotidianos y además

establece como se va a proporcionar la formación necesaria.

Por último los procedimientos que establecen la continuidad, necesitan estar

probados y documentados de tal manera que se obtenga una justificación del

cumplimiento de los objetivos que los hicieron prácticos.

1. Gestión y coordinación de la implantación

Una buena gestión en este aspecto, en la implantación, viene determinada por

diversas metas que a continuación se definen:

1.1. Plan de concienciación

Las personas de toda la organización deben de presentarse capaces de

enfrentarse a las situaciones que perturben la actividad habitual del negocio por lo

tanto deben conocer la realidad de lo que se ha establecido en el diseño de este plan.

En una situación producida por cualquier interrupción, una notificación sobre dicho


100

incidente no debe suponer sorpresa alguna, ya que cada empleado debería conocer de

antemano que ese momento podría llegar a producirse y actuar en consecuencia. De

esta manera se puede conseguir una recuperación rápida y eficaz de cualquier

incidente relacionado con la seguridad, ya que la respuesta ante ese incidente tendrá

una ejecución sistemática y por lo tanto minimizaría el impacto. Para conseguir una

correcta implantación de esta capacitación ya se han tomado mediadas a lo largo de

todo el diseño.

Por ejemplo, los planes de emergencia deben estar visibles en las

instalaciones, así las personas pueden ser conscientes de ellos. Otro ejemplo es la

asignación de responsabilidades, que deben estar presentes en la rutina diaria por

medios, como su especificación en el momento de la distribución de los planes, la

formación y las pruebas. Otro ejemplo, es el uso de consolas en el día a día que

cuenten con entornos que presentan la gestión de la continuidad de negocio. Un

último ejemplo puede ser la petición de datos para la elaboración de una lista de

personal (como para la recogida de datos de teléfonos móviles para evitar la no

operatividad de las comunicaciones por voz). Todas estas medidas equilibran los

procesos continuos, es decir, permiten que la seguridad de la empresa se manifieste

en las capacidades laborales de los empleados y proporcionan maneras de actuar que

facilitan un contexto de recuerdo.

La disponibilidad de los planes asegura que se pueda utilizar ese recuerdo en

el futuro, ya que en ellos está definida la forma de actuar. Pero su consulta no debe

ser exclusiva en los momentos en los que se produzca un incidente y por lo tanto son


101

necesarios los planes de formación que se explican a continuación. La

concienciación debe ser un aspecto a tener muy en cuenta, y una buena gestión de

continuidad de negocio debe ir recordándola con cierta asiduidad.

1.2. Plan de formación

La formación garantiza que una persona actúe como facilitador o director

para coordinar las tareas que forman parte de los planes, supervisar su ejecución,

coordinarse con la Dirección y tomar decisiones según sea necesario.

ISO 27001 define las siguientes tareas en cuanto a la capacitación

(formación):

a) Determinar las capacidades necesarias para el personal que realiza

trabajo que afecta al SGSI;

b) Proporcionar la capacitación o realizar otras acciones (por ejemplo;

emplear el personal competente) para satisfacer las necesidades;

c) Evaluar la efectividad de las acciones tomadas;

d) Mantener registros de educación, capacitación, capacidades,

experiencia y calificaciones.

Siguiendo con esa metodología, se creará un registro que se deberá

controlar de la siguiente manera1:

1 Fuente: ISO 27001


102

Se deben establecer y mantener registros para proporcionar evidencia de

conformidad con los requerimientos de capacitación. Deberá ser protegido y

controlado. Debe de mantenerse legible, fácilmente identificable y recuperable. Se

deben documentar e implementar los controles necesarios para la identificación,

almacenaje, protección, recuperación, tiempo de retención y disposición de los

registros.

Entonces para la consecución de esas tareas, se administrará la formación

mediante la siguiente tabla:

FORMACIÓN EMPLEADO MÉTODO CALIFICACIÓN DÍA MES AÑO

Tabla 14. Registro de formación de empleados.

La columna de formación debe contener las distintas actividades de

capacitación para poder cumplir con los planes. Por consiguiente, va a rellenarse con

las siguientes posibilidades:

− Situación de emergencia

− Mantenimiento y recuperación de copias de backup

− Métodos de enrutamiento diverso

− Modo de enrutamiento alternativo

− Contacto mediante teléfonos móviles


103

− Registro de logs de acceso

− Sistema de firmas digitales

− Servicios de transportes

− …

NOTA: Estas distintas capacitaciones deberían formar a él/los

empleados mediante la manera de llevar a cabo las

responsabilidades que están descritas en el punto B de los

planes.

La columna de método deberá especificar el tipo de método empleado para

llevar a cabo la formación. Los métodos posibles son: reparto de documentación y

realización de test, reuniones y manejo del entorno, asistir a clases formativas

mediante certificación… La columna de calificación contendrá el valor que se asigna

a la formación de cada empleado. Este valor puede ser difícil de designar, por lo

tanto se deberá comprobar la formación mediante pruebas (siguiente punto de este

documento).

La columna de empleado, contendrá a los empleados ordenados

alfabéticamente de modo que su nombre solo aparecerá una vez por cada formación.

Por último, el tiempo definirá cuando se produzco la última formación, y solo

la gestión del registro podrá proporcionar medidas que dispongan capacitar de nuevo


104

a un empleado. Por ejemplo, un cambio o actualización de una tecnología podría ser

significativo como evento para volver a realizar una formación.

2. Procedimientos de pruebas

Probar los planes ayuda a asegurar que se puedan ejecutar según se requiera

durante un incidente real. Además permite efectuar modificaciones en función de la

información obtenida por la prueba, para elaborar estrategias alternativas o reforzar

las ya existentes. Por otro lado, las pruebas cuentan con un aspecto difícil, y es que

mientras se están realizando se suele producir una interrupción provocada. Esta

interrupción deberá minimizarse en la medida de lo posible. Por ejemplo podrán

hacerse las pruebas durante los fines de semana, o si requieren la presencia de

empleados en horas donde haya un menor rendimiento.

Semejante a la formación, se deben registrar las pruebas para que se pueda

gestionar si se han producido con éxito o hay que mejorar algunos aspectos. La

siguiente tabla especifica cómo se debe llevar este registro:

OBJETIVO DE

LA PRUEBA

TIPO DE

PRUEBA

PROCESOS

AFECTADOS

DURACIÓN

ESTIMADA

DURACIÓN

REAL RESULTADO DÍA MES AÑO VALORACIÓN

Tabla 15. Registro de pruebas.

El objetivo de la prueba establece las tareas que se van a llevar a cabo.

Deberá basarse en determinar las distintas tareas en orden de consecución de un


105

objetivo mayor, como puede ser: probar el modo de enrutamiento alternativo, probar

la recuperación de copias de backup… Estas tareas pueden:

− Verificar la integridad y la precisión del plan de continuidad del

negocio.

− Evaluar el desempeño del personal involucrado.

− Evaluar el nivel demostrado de formación y concienciación de los

empleados.

− Evaluar la coordinación.

− Medir la habilidad y la capacidad del sitio alterno.

− Evaluar la capacidad de recuperación.

− …

El tipo de prueba se engloban en tres: pruebas de papel/teóricas, pruebas de

preparación o prueba operativa completa. Los distintos tipos de prueba que ofrece el

estándar ISO/IEC 17799 son los siguientes (ISOI05):

El programa de pruebas para el(los) plan(es) de continuidad debieran

indicar cómo y cuándo se debiera probar cada elemento del plan. Cada elemento

del(los) plan(es) debiera(n) ser probado(s) frecuentemente:

a) prueba flexible de simulación (table-top testing) de varios escenarios

(discutiendo los acuerdos de recuperación comercial utilizando

ejemplos de interrupciones);


106

b) simulaciones (particularmente para capacitar a las personas en sus

papeles en la gestión post-incidente/crisis);

c) prueba de recuperación técnica (asegurando que los sistemas de

información puedan restaurarse de manera efectiva;

d) prueba de recuperación en el local alternativo (corriendo los

procesos comerciales en paralelo con las operaciones de

recuperación lejos del local principal);

e) pruebas de los medios y servicios del proveedor (asegurando que los

servicios y productos provistos externamente cumplan con el

compromiso contraído);

f) ensayos completos (probando que la organización, personal, equipo,

medios y procesos puedan lidiar con las interrupciones).

Los procesos afectados dejarán claro cuáles son los procesos involucrados en

la prueba, pudiendo ser desde uno, a toda la compañía.

La duración estimada deberá ser la calculada de cada estrategia de

continuidad definida en la fase de diseño de este plan de continuidad del negocio, y

la duración real deberá ser la medida durante la ejecución de la prueba.

NOTA: No todas las estrategias tienen presentes tiempos, en ese

caso estas columnas se dejarán en blanco,


107

El resultado ofrecerá una visión de sí la prueba ha resultado positiva o por el

contrario negativa y se reflejará mediante la valoración. En el resultado se

especificarán detalles como si se logró la cantidad de utilidad esperada y deberá

contener datos numéricos (que pueden ser números, porcentajes, precisión…) sobre

determinados aspectos en función de los recursos probados. Estos datos deberán

recogerse durante la prueba y se irán analizando en la fase de prueba. Por lo tanto,

antes de la prueba deberá establecerse una hoja para ir anotando posteriormente los

resultados obtenidos. Esta columna hará referencia a un documento que recoge estos

datos. Por otro lado, la valoración estimará en qué grado la prueba ha resultado un

éxito o un fracaso. Esta valoración se realizará mediante tres niveles: fracaso (color

rojo), éxito total (color verde) y éxito parcial con necesidad de mejorar diversos

aspectos (color amarillo). Esta valoración final corresponde a la fase después de la

prueba.

NOTA: Una prueba se encuentra determinada por tres fases, antes de la

prueba, prueba y después de la prueba.

Por último, el día mes y año hará la distinción entre las distintas veces que se

haga una misma prueba.

NOTA: Sí se realiza varias veces una prueba en un mismo día, o

incluso en distintos días consecutivos, el documento de

resultados podrá ofrecer una distinción entre las distintas

pruebas, pero la valoración final será exclusivamente de la


108

última hecha, ya que se considerará la misma prueba

ejecutada pero más de una vez.


109

PARTE IV. EVALUACIÓN Y MANTENIMIENTO

El proceso de continuidad de negocio tiene que garantizar que los planes se

actualicen y adapten constantemente para que reflejen los objetivos y las condiciones

actuales de RED SOCIAL.

1. Mantenimiento del plan de continuidad

La continua revisión de los planes que se realiza mediante pruebas, auditorias

en los sistemas, gestión de incidentes reales que puedan ocurrir, cambios que se

produzcan en el negocio, medidas que se crean oportunas, consejos, comentarios… y

más sucesos, dictan requisitos que establecen cambios en el Plan de Continuidad del

Negocio (PCN). Por lo tanto la persona encargada de la seguridad en RED SOCIAL

se encargará de tomar medidas para poder acceder a toda esa información y

determinar si se deben producir cambios en este plan. Una buena solución consiste

en el establecimiento de un patrón de búsqueda de posibilidades de mejora y su

utilización frecuente, como herramienta que proporcione gran capacidad de

mantenimiento. Además un factor clave de cambio en los aspectos que son

potenciales de mejora es el estudio del entorno día a día, mediante cambios en el

análisis de riesgo, adaptaciones más exactas de tiempos, evaluación de posibles

estrategias que sean adaptables al entorno actual, así como la elaboración de la

concienciación, formación y pruebas. Por lo tanto, asegurar el mantenimiento del

plan es una labor que necesita una gran capacidad de gestión y a la vez un

conocimiento muy alto del ámbito empresarial.


110

2. Mejora continua del plan de continuidad

Como ya se ha explicado anteriormente en este proyecto, la Gestión de

Continuidad de Negocio, forma parte de un ciclo de vida que debe irse manteniendo.

Por lo tanto, este plan deberá revisarse en el futuro. Estas revisiones se deben

formalizar mediante dos perspectivas. La primera es adoptando un patrón continuo

de revisión en el tiempo, que formalizará la necesidad tanto legal como empresarial,

de auditar este plan. Esta tarea se puede llevar a cabo mediante una autoevaluación o

mediante una auditoría externa. La segunda perspectiva, se basa en la realidad

organizativa de las empresas y sus continuos cambios. Esta realidad conforma

diferencias que afectan a los objetivos de la planificación de la continuidad de

negocio. Por ejemplo, el desarrollo o adquisición de nuevas aplicaciones, el cambio

de la arquitectura hardware, el cambio en las estrategias de negocio, el cambio en las

necesidades estratégicas de seguridad actuales…, son posibilidades. Estas dos

perspectivas enfrentan a la vez el ciclo de mejora continua.

RED SOCIAL se enfrenta en su futuro a muchos cambios, ya que se

encuentra en un estado muy cercano a su creación, esto va a provocar que este plan

vaya a variar numerosamente en poco tiempo. Por lo tanto los objetivos de mejora

van a quedar determinados en el corto plazo por estos cambios y se va a adoptar una

filosofía de seguridad muy cercana al proceso de crecimiento de la empresa.

Mediante este transcurso hasta que se vaya consolidando de una manera más

practicable, se va a emprender un proceso de mejora de este plan de tal forma que no


111

deba de superar los tres meses. Más adelante, en función a los cambios de RED

SOCIAL se irá alargando este tiempo, hasta alcanzar el objetivo que dicta la LOPD

de dos años. El modo de realizar las auditorías podría ser interno, hasta que el

proyecto alcance los dos años de madurez, momento en el que se evaluará la

posibilidad de realizar una auditoría externa llevada a cabo por una entidad que lleve

tiempo dedicándose a la continuidad de negocio. Otro punto de vista podría ser

realizar una auditoría externa inmediatamente para conseguir una mayor

alternativa de éxito ante incidentes que obstaculizan la continuidad, también llevado

a cabo por una entidad que lleve tiempo dedicándose a la continuidad de negocio. La

solución de estas dos soluciones solo podrá ser determinada por la dirección de la

empresa, ya que es la encarga de proporcionar el coste asociado a la seguridad.


112

PLANIFICACIÓN Y VALORACIÓN ECONÓMICA DEL PFC

1. Organización del proyecto

La organización inicial de este proyecto fin de carrera detallada a

continuación define la lista de acciones que se han seguido desde su comienzo hasta

su finalización, así como, la asignación de roles y responsabilidades de las personas

que han influido de forma directa y la planificación llevada a cabo de cada una de las

acciones dentro del marco establecido por la asignatura de Proyectos Fin de Carrera

de la Universidad Pontificia Comillas – Escuela técnica Superior de Ingeniería

(ICAI) para la gestión de proyectos fin de carrera de la titulación de Ingeniería

Informática. Por último se detallan las medidas de control adoptadas.

1.1. Organigrama

Los distintos roles o puestos de trabajo de este proyecto son los que quedan

definidos en el siguiente organigrama:


113

Gráfico 10. Organigrama del proyecto fin de carrera.

A continuación se describen las responsabilidades de cada uno de los roles o

puestos de trabajo:

Director

• Acepta dirigir proyectos. • Establece sus necesidades. • Proporciona ideas. • Revisa la documentación. • Da vistos buenos.

Coordinador

• Da de alta el proyecto. • Revisa la presentación de los documentos. • Revisa y corrige la documentación. • Aprueba la presentación. • Establece una nota final.

Jefe de proyecto

• Identifica objetivos.


114

• Elige metodología de trabajo. • Establece la dimensión del proyecto. • Consigue los recursos necesarios. • Elabora la planificación.

Gerente de seguridad y redactor

• Establece un conocimiento adecuado a buenas prácticas. • Estructura el plan. • Redacta el plan. • Evalúa y corrige el plan.

1.2. Paquetes de trabajo

Una definición que trata de acercar el sentido de la utilización de paquetes de

trabajo, sería la separación de las acciones que hay que llevar a cabo para la

finalización de una parte divisible de trabajo. En este caso la parte divisible de

trabajo es el proyecto y se subdivide en los siguientes paquetes de trabajo:

Gráfico 11. División de los paquetes de trabajo.

A continuación se ofrece una descripción detallada de cada uno de estos

paquetes de trabajo:


115

• Paquete de trabajo WP_01 – Alcance del proyecto.

Actividades − Coordinación entre director y jefe del proyecto.

Gestión − Director y Jefe del proyecto

• Paquete de trabajo WP_02 – Búsqueda de Información.

Entradas − Alcance del proyecto.

Actividades − Investigación. − Estado.

Gestión − Gestor de seguridad y Director

• Paquete de trabajo WP_03 – Estructurar y preelaborar

Entradas − Información.

Actividades − Organizar. − Estructurar.

Gestión − Director, gestor de seguridad y redactor

• Paquete de trabajo WP_04 – Redactar

Entradas − Documentación − Estructura.

Actividades − Redactar.

Salidas − Plan terminado sin corregir ni evaluar.

Gestión − Redactor


116

• Paquete de trabajo WP_05 – Evaluación y corrección.

Entradas − Plan terminado sin corregir ni evaluar.

Actividades − Evaluar. − Corregir

Salidas − Nota. − Plan terminado.

Gestión − Redactor, gestor de seguridad, jefe de proyecto, director y

coordinador. La nota es establecida únicamente por el coordinador.


117

1.3. Planificación

En este apartado se puede observar como ha quedado consumada la

planificación temporal de cada uno de los paquetes de trabajo así como su duración

en número de días.

Gráfico 12. Planificación temporal de paquetes de trabajo.

Alcance del

proyecto

Búsqueda de

info.Estructurar y

preelaborarRedactar

Evaluac. y

corrección


118

1.4. Control

Un control reiterado acordado no existe como tal en este proyecto. Existe una

revisión para correcciones tanto de sintaxis, ortografía y estructura en la etapa final

de la planificación, así como una instrucción en proyectos de este tipo durante la

asignatura dedicada, por parte del coordinador. Por parte del director, existe un

acercamiento para proporcionar información y claridad sobre el dominio del tema, y

a la vez una revisión de manera análoga a su realización.

2. Valoración económica del proyecto

Las siguientes tablas establecen la valoración económica del proyecto de la

siguiente manera:

• La primera tabla resume la relación de horas/hombre para cada

uno de los paquetes de trabajo.

NOTA: Hay que tener en cuenta que debido a que el proyecto

se ha realizado durante un año académico, la carga de

trabajo no se distribuye por igual a lo largo de la

duración del proyecto.


119

• En la segunda tabla se recoge el cálculo de totales, mediante la

suma de los recursos humanos, a los recursos de

impresión/encuadernación.

WP_01 WP_02 WP_03 WP_04 WP_05 TOTAL Director 1 0.5 3 0 1 5.5

Coordinador 0 0 0.5 0.5 1 2 J.Proyecto 30 90 20 110 50 300

G.Seguridad y Redactor

TOTAL 31 90.5 23.5 110.5 52 307.5 €

Tabla 16. Relación horas/hombre PFC

h €/h Director 5.5 60 330

Coordinador 2 60 120 J.Proyecto 300 30 9000

G.Seguridad y redactor Subtotal. RRHH - - 9450

Impresión/Encuadernación - - 100 TOTAL - - 9550 €

Tabla 17. Resultados costes PFC


120

CONCLUSIONES

La gestión y redacción de proyectos de ingeniería conlleva una labor que

necesita de diversos conocimientos que se adquieren por el estudio a lo largo de los

años. Enfrentarse a la redacción de un proyecto bien documentado, sólo es posible

con el manejo de un vocabulario específico que permite un entendimiento claro y

preciso de las tareas que se quieren llevar a cabo. La gestión adecuada del proceso de

planificación de proyectos cuenta con la dificultad de la predicción basada en

estudios y experiencia que necesita de la verificación de los resultados en entorno

reales. No haber establecido un contacto directo con las tecnologías de la

información y la comunicación conforma una dificultad añadida para la ejecución de

la planificación, y más en el caso de un plan de continuidad del negocio.

Las empresas a lo largo de su ciclo de vida producen cambios significativos,

que afectan directamente a su composición y que habrá que gestionar de forma

excelente para atajar los problemas que puedan surgir en el futuro. Los costes de las

alternativas para atajar estos problemas, son un aspecto que puede ser revelador de la

situación de cada empresa, y determinan la posibilidad de desenvolverse en el

entorno. Existen situaciones en las que se intentan establecer estrategias sólidas y las

soluciones deben ser bien planteadas para determinar una buena solución.

Un análisis de impacto recogido en este documento, ayuda a entender la

criticidad de los procesos que tienen lugar en cada una de las áreas de negocio y


121

además permite la constitución de las responsabilidades que se deben llevar a la

acción desarrollando la capacidad de síntesis, ya no solo en el terreno de la

seguridad, si no en el ámbito completo de las compañías. Además permite conocer la

organización de la empresa y establecer medidas para hacer su futuro más sostenible.

El plan de continuidad de negocio es un proceso que se encuentra en continua

adaptación. Exige una unión íntegra con la empresa ya que necesita de la

colaboración de todos sus empleados y al mismo tiempo configura una dificultad por

las complejas relaciones que se deben mantener. Además, su gestión necesita de una

conexión con los objetivos estratégicos de las empresas ya que estas delimitan la

ejecución de las soluciones. Las tecnologías de la información y la comunicación

también se encuentran muy ligadas a la continuidad del negocio y sus capacidades

deben de ser identificadas, tanto de las que se encuentran actualmente funcionando,

como de las posibilidades que ofrece y ofrecerá el mercado.

Las clarificaciones de los objetivos de un sistema de gestión de la seguridad

de información proporcionan una visión que exige una dedicación profesional

merecedora un gran nivel de comprensión de la técnica y un compromiso de

responsabilidad.


122

BIBLIOGRAFÍA

Para la realización del proyecto “Business Continuity Planning para redes

sociales”, el autor ha utilizado las siguientes fuentes de información. A lo largo de

este documento, pueden aparecer citaciones entre paréntesis referidas a:

[BCI_07] The Business Continuity Institute, “Guía para instaurar Buenas

Prácticas Globales en Gestión de Continuidad de Negocio” traducido

al castellano por ISMS Forum Spain, basado en BS25999-1, BCI.

2007.

[BSI_06] British Standards Institute, “BS25999-1:2006”, BSI. 2006.

[DELO08] Deloitte, Diapositivas de AULAS EMPRESA sobre “Business

Continuity Plan” acompañada de anotaciones a partir de la

conferencia “Gestión de las TIC ante contingencias y catástrofes: el

plan de continuidad de negocio” organizada por la OFICINA DE

ANTIGUOS ALUMNOS de la Universidad Pontificia Comillas,

Deloitte, Barcelona y Madrid. Febrero 2008 (diapositivas) y Enero

2010 (conferencia).

[DELV02] Julián del Valle, “AUDITORÍA INFORMÁTICA Glosario de

términos”, Dintel, Madrid. Noviembre 2002.


123

[GTAG10] The Institute of internal Auditors, “Global Technology Audit Guide

GTAG® 10: Business Continuity Management presentation”, The

Institute of internal Auditors.

[ISOI05] International Standard Organization/International Electrotechnical

Commission, “Estándar Internacional ISO/IEC 17799” apartados 6, 13

y 14, ISO/IEC. Junio 2005.

[JAPA06] Javier Jarauta Sánchez y Rafael Palacios Hielscher, Apuntes de la

asignatura cuatrimestral SEGURIDAD INFORMÁTICA: capítulos 1,

2, 3, 9, 10 y práctica 1 correspondientes al, 5º curso de Ingeniería

Informática (curso académico 2009-2010), Escuela Técnica Superior

de Ingeniería (ICAI) de la Universidad Pontificia Comillas, Madrid.

2006

[SANS06] SANS Institute, “Preparing for a Disaster: Determining the Essential

Functions That Should Be Up First”, SANS Institute InfoSec Reading

Room. 2006.


124

ANEXOS

A. Glosario de términos

El siguiente glosario surge por la gran cantidad de términos específicos y

técnicos en torno a la Gestión de Continuidad de Negocio. Se ha confeccionado a

partir de las aclaraciones que el autor de este proyecto ha considerado oportunas y

utilizando definiciones aparecidas en distintos documentos pertenecientes a la

bibliografía (DELV02) (JAPA06).

A

� Activo

Componente del sistema al que la Organización le asigna un valor

(Tangibles, Intangibles).

� Amenaza

Ocurrencia de un evento que cause un impacto no deseado (Accidentales,

Intencionados). Los tipos más comunes de amenazas son:

• Errores.

• Accidentes.

• Daño/ataque malicioso.

• Incidentes/fenómenos naturales.

• Fraude.


125

• Robo.

• Falla en equipo/software.

• Perdida de servicios.

� Análisis de Impacto al Negocio (AIN) (BIA)

Determina el impacto de perder el soporte de cualquier recurso de una

organización, establece el aumento de dicha perdida con el tiempo,

identifica los recursos mínimos que es necesario cubrir y prioriza la

recuperación de los procesos y sistemas de soporte. Es el método clave para

realizar una buena Gestión de Continuidad del Negocio, ya que determina

impactos y tiempos.

� Análisis de riesgos

Se trata de la selección de salvaguardas para reducir la probabilidad de que

las diversas amenazas produzcan impacto al afectar a las distintas

vulnerabilidades que puedan perjudicar directamente o indirectamente a los

distintos activos de la compañía. En otras palabras, se quiere considerar el

valor de la información desde la perspectiva del daño potencial o

consecuencias significativas que resulten de intrusión o divulgación no

intencional. Es el método clave para realizar una buena Gestión de Riesgos,

ya que determina impactos y probabilidades.


126

� Autenticación

Verificación de la autenticidad de una persona o sistema que solicita acceso

a un recurso para determinar su legitimidad antes de que se le otorgue

acceso al recurso solicitado. Suele ir acompañado por una identificación

(como un número de cuenta, id de usuario…).

B

� Backup (copia de respaldo)

Duplicación de archivos de datos para propósitos de almacenamiento,

seguridad y/o recuperación.

� Business Continuity Institute (BCI)

El Instituto de Continuidad de Negocio (Business Continuity Institute en

inglés) dedica su labor a promocionar las normas más elevadas en materia

de competencias profesionales y ética de las prestaciones y del

mantenimiento de servicios y planificación de la continuidad de negocios.

A través de su plan de certificación, el instituto proporciona a sus miembros

un estatus internacionalmente reconocido puesto que la afiliación

profesional del BCI demuestra la capacidad de sus miembros a llevar a cabo

una gestión de continuidad de negocio a un nivel muy elevado.

� Business Continuity Planning

Es la traducción al inglés de Plan o Gestión de Continuidad del Negocio.

(Ver la definición de dicho término en el lugar correspondiente.)


127

� Business Impact Analisis (BIA)

Es la traducción al inglés de Análisis de Impacto al Negocio. (Ver la

definición de dicho término en el lugar correspondiente.)

C

� Centro de respaldo (Backup)

Sitio alterno para continuar con las actividades de TI/SI cuando el centro

principal del centro de proceso de datos (CPD) no está disponible durante un

periodo de tiempo prolongado. Existen distintos tipos dependiendo de:

• Tiempo que se necesite para hacerlos operativos (cold, warm, hot,

espejo)

• Propiedad (propio, arrendado, compartido)

• La movilidad (portátil, fijo)

• etc

� Cold site

Alternativa de recuperación en caso de desastres consistente en disponer de

una ubicación con los elementos básicos (aire acondicionado, potencia

eléctrica, etc…), y lista para recibir el equipo informático. La puesta en

funcionamiento con esta alternativa puede durar desde varios días hasta

varias semanas.


128

� Confidencialidad

Protección de información privada o confidencial contra divulgación no

autorizada.

� Criptografía

La criptografía (kryptos = oculto + graphe = escritura) es el arte de escribir

en clave o de forma enigmática. En principio se puede expresar como el

conjunto de técnicas que permiten asegurar que un mensaje solo es

entendible por aquel al que va dirigido. En la actualidad, estas técnicas

permiten además, asegurar que el mensaje no se ha modificado, reconocer al

emisor del mensaje, probar la emisión y recepción del mensaje, etc.

D

� Detección de Intrusos

Proceso de monitorear los incidentes que ocurren en un sistema o red

informático para detectar señales de problemas en la seguridad.

� Disaster Recovery Plan (DRP)

Es la traducción al inglés de Plan de Recuperación de Desastre. (Ver la



129

� Disponibilidad

Garantía de que los sistemas de información y los datos estén listos para su

uso cuando se les necesita (suele expresarse como porcentaje de tiempo que

se puede utilizar un sistema para trabajo productivo).

E

� Encriptación

Transformar los datos de tal forma que sean ilegibles o ininteligibles a

menos de que se aplique un método para deshacer la encriptación y volver a

obtener datos legibles.

F

� Firewall (Cortafuegos)

Sistema o combinación de sistemas que impone una defensa entre dos o más

redes formando una barrera entre un ambiente seguro y otro abierto (como

Internet).

� Firma digital (electrónica)

Conjunto de datos asociado a un mensaje que permite asegurar la identidad

del firmante y la integridad del mensaje. La firma digital no implica que el

mensaje este cifrado. El firmante generará mediante una función hash, un

resumen o huella digital del mensaje. Este resumen o huella digital lo cifrará

con su clave privado y el resultado es lo que se denomina firma digital, que


130

enviará adjunto al mensaje original. Cualquier receptor del mensaje podrá

comprobar que el mensaje no fue modificado desde su creación porque

podrá generar el mismo resumen o misma huella digital aplicando la misma

función al mensaje. Además podrá comprobar su autoría, descifrando la

firma digital con la clave pública del firmante, lo que dará como resultado

de nuevo el resumen o huella digital del mensaje.

� Función Hash

Algoritmo matemático que aplicado a un bloque de información de longitud

arbitraria produce una salida única de longitud constante (o fija)

generalmente de 128 o 256 bits. Una función hash tiene, entre otras, las

siguientes propiedades: dos mensajes iguales producen huellas digitales

iguales; dos mensajes parecidos producen huellas digitales completamente

diferentes; dos huellas digitales idénticas pueden ser el resultado de dos

mensajes iguales o de dos mensajes completamente diferentes; una función

hash es irreversible, no se puede deshacer, por tanto su comprobación se

realizará aplicando de nuevo la misma función hash al mensaje original.

G

� Gestión de continuidad del Negocio (GCN)

Designar la metodología, basada en normas, estándares y buenas prácticas,

para planificar, implementar y evaluar un documento final o Plan de

Continuidad del Negocio. Su traducción desde el inglés produce una


131

controversia ya que a veces se utiliza el término Plan de Continuidad del

Negocio para hacer referencia a este término.

� Gestión de Riesgos

Designar la metodología, basada en normas, estándares y buenas prácticas,

para:

1. Identificar y valorar activos.

2. Identificar y valorar amenazas.

3. Identificar las medidas de seguridad existentes.

4. Identificar y valorar vulnerabilidades.

5. Identificar restricciones y objetivos de seguridad.

6. Determinar medidas del riesgo.

7. Determinar el impacto.

8. Identificar y seleccionar las medidas de protección (salvaguardas).

H

� Hot site

Centro operacional, dispuesto para proceso de datos, equipado con los

elementos hardware y software necesarios para ser usados en caso de

desastre o cualquier otro tipo de contingencia. Permite la reanudación de las

operaciones en menos de 48 horas.


132

I

� Impacto

Por lo general es una pérdida financiera directa a corto plazo o una pérdida

financiera final (indirecta) a largo plazo. Se incluyen las siguientes:

• Pérdida directa de dinero (efectivo o crédito).

• Incumplimiento de la legislación.

• Pérdida de reputación/buen nombre.

• Reducción en el valor de las acciones.

• Poner en peligro al personal o a los clientes.

• Violaciones a la confidencialidad.

• Pérdida de oportunidades de negocio.

• Reducción en el desempeño/eficiencia operativos.

• Interrupción en las actividades de negocio.

� Integridad

Que la información sea precisa, completa y válida de acuerdo con los

valores y expectativas del negocio.

� Interrupciones a la energía eléctrica máximas tolerables (MTO)

Tiempo máximo que la organización puede soportar el procesamiento en un

modo alterno. Después de este tiempo, pueden surgir problemas diferentes e

importantes, en particular si los SDO alternos son menores a los usuales, y

la cantidad de información necesaria para estar actualizado puede aumentar


133

a un grado incontrolable. Corresponde a las siglas MTO que provienen de la

traducción del término desde el inglés.

� Intrusion Detection System

Es la traducción al inglés de Sistemas de detección de intrusos. (Ver la


J

K

L

M

� Maximum Tolerable Outages (MTO)

Es la traducción al inglés de Interrupciones a la energía eléctrica

máximas tolerables. (Ver la definición de dicho término en el lugar

correspondiente.)


134

N

� No repudio

Seguridad de que una parte no podrá negar después de haber originado los

datos, dando pruebas de la integridad y origen de los datos. La firma

digital proporciona el no repudio.

� Norma

Métricas o procesos que se utilizan para determinar si los procedimientos

cumplen con los requerimientos de las políticas. Proporcionan los

parámetros o límites suficientes para que se pueda determinar una política

sin ambigüedades. Pueden variar (mientras las políticas permanecen

estáticas).

O

� Objetivo de Entrega del Servicio (SDO)

Niveles de servicio que se alcanzan durante el modo alterno de proceso

hasta que se restablece la situación normal. Corresponde a las siglas SDO

que provienen de la traducción del término desde el inglés.

� Objetivo de Punto de Recuperación (RPO)

Medición del punto anterior a un corte de energía al cual se debe restablecer

los datos, o dicho de otra forma, el punto en el cuál fueron interrumpidas las

actividades del sistema debido a la ocurrencia de un determinado evento.


135

Corresponde a las siglas RPO que provienen de la traducción del término

desde el inglés.

� Objetivo de Tiempo de Recuperación (RTO)

Tiempo establecido para la recuperación de una función o recurso del

negocio después de que ha ocurrido un desastre o dicho de otra forma, el

tiempo entre el punto de interrupción, y el punto en el cuál los sistemas

sensibles en el tiempo deben estar funcionando nuevamente, con los datos

actualizados. Corresponde a las siglas RTO que provienen de la traducción

del término desde el inglés.

P

� PFC

Siglas correspondientes a Proyecto Fin de Carrera y acrónimo utilizado en la

Universidad Pontificia Comillas – Escuela Técnica Superior de Ingeniería

(ICAI), para designarlo.

� Plan de Continuidad del Negocio (PCN)

[1] Resultado de la aplicación de una metodología

interdisciplinaria usada para crear y validar planes logísticos

concernientes a cómo una organización debe recuperar y

restaurar sus funciones críticas, ya sea parcialmente o totalmente

interrumpidas, dentro de un tiempo predeterminado y después de


136

una interrupción o desastre. Conjuntamente se utiliza para

asegurar la continuidad de las operaciones de negocio.

[2] Al mismo tiempo son las palabras que se usan para designar la

propia metodología, basada en normas, estándares y buenas

prácticas, para planificar, implementar y evaluar el documento

final (definido en [1]). En este caso también se podría denominar

Gestión de Continuidad del Negocio (GCN).

La sobrecarga en el uso de este término, se debe a su adaptación en su

traducción desde el inglés al español, ya que en Inglés se designa de igual

manera tanto a la gestión como al resultado (documento final) de esa

gestión.

� Plan de Recuperación de Desastre (DRP)

Una serie de RRHH, físicos, técnicos y de procedimientos orientados a

recuperar, dentro del tiempo y costo mínimos, una actividad interrumpida

por una emergencia o desastre. Corresponde a las siglas DRP que provienen

de la traducción del término desde el inglés.

� Política

Declaración de alto nivel de conceptos y expectativas de modo que queda

constituido el dominio de decisión.


137

� Privacidad

Libertad ante intrusión o divulgación no autorizada de información sobre

personas.

� Procedimientos

Incluyen en detalle los pasos necesarios para cumplir con las tareas

específicas. Además, incluyen resultados esperados y presentaciones, así

como condiciones requeridas para la ejecución del procedimiento y los

pasos alternativos para cuando ocurren resultados inesperados. Son claros,

sin ambigüedades y con términos exactos como “debe” o “podría”. Van

acompañados de información útil para su ejecución como sugerencias,

ejemplos, descripciones…

� Pruebas de penetración.

Prueba en vivo de la efectividad de las defensas de la seguridad mediante la

imitación de acciones que llevan a cabo atacantes en la vida real.

Q

R

� RAID (Redundant Array of Independent Disks)

Matriz redundante de discos independientes que consiste en la agrupación

de varias unidades de disco magnético formando una única unidad lógica de


138

almacenamiento. Se define el concepto nivel para indicar la técnica

empleada para la agrupación y relación de la información en los soportes,

estableciendo diferentes medidas para la protección de datos (RAID-0,

RAID-1, RAID-2, RAID-3, RAID-4, RAID-5)

� Recovery Point Objective (RPO)

Es la traducción al inglés de Objetivo de Punto de Recuperación. (Ver la


� Recovery Time Objective (RTO)

Es la traducción al inglés de Objetivo de Tiempo de Recuperación. (Ver la


� Recursos Humanos (RRHH)

Trabajo que aporta el conjunto de los empleados o colaboradores de esa

organización. Pero lo más frecuente es llamar así a la función que se ocupa

de seleccionar, contratar, formar, emplear y retener a los colaboradores de la

organización

� Red Social

Comunidad en Internet de personas que comparten intereses y actividades, o

que están interesados en explorar los intereses y las actividades de otros, y

que requiere el uso de software.


139

� Redes privadas virtuales (VPN)

Red privada que se construye utilizando la estructura pública de

comunicaciones para conectar los nodos. Estos sistemas utilizan el cifrado y

otros mecanismos de seguridad para asegurar que únicamente los usuarios

autorizados pueden tener acceso a la red privada virtual y que los datos no

pueden ser interceptados. Corresponde a las siglas VPN que provienen de la

traducción del término desde el inglés.

� Riesgo

Posibilidad de que una amenaza se realice. Se puede identificar

dividiéndolo en las áreas de riesgo comercial de la organización: ambiental

(competidores, perdida catastrófica, confidencialidad…), comercial

(relaciones de accionistas, legal/regulatorio, disponibilidad de capital…) y

de procesos (satisfacción del cliente, liderazgo, integridad, fraude

administrativo, liquidación…).

� Riesgo residual

Cantidad de riesgo que permanece aun después de que se han implementado

controles y acciones preventivas.


140

S

� Salvaguarda

Medida de control para reducir el riesgo asociado a una determinada

amenaza.

� Service Delivery Objective (SDO)

Es la traducción al inglés de Objetivo de Entrega de Servicio. (Ver la


� Sistema de detección de Intrusos (IDS)

Inspecciona la actividad en la seguridad del host y la red para identificar

patrones sospechosos que pudieran ser indicadores de un ataque al sistema o

a la red. Corresponde a las siglas IDS que provienen de la traducción del

término desde el inglés.

� Sistema de prevención de Intrusos (IPS)

Aporta las características de un IDS pero además de detectar intrusiones, las

previene de manera proactiva interponiéndose en el flujo de datos.

Corresponde a las siglas IPS que provienen de la traducción del término

desde el inglés.

� Sistema de Gestión de Seguridad de la Información (SGSI)

Se trata del esquema general de procesos y procedimientos de seguridad de

la Información (centrándose en la seguridad de las TIC ) que se emplea para


141

garantizar que la organización realiza todas las tareas necesarias para

alcanzar sus objetivos en seguridad.

T

� Tarjetas inteligentes

Cualquier tarjeta del tamaño de un bolsillo con circuitos integrados que

permiten la ejecución de cierta lógica programada utilizadas para

identificación, control de acceso, firma digital, monedero electrónico...

Internamente pueden componerse de CPU, ROM, EEPROM, RAM.

Actualmente el DNI electrónico instaurado en España se basa en esta

tecnología.

� Tecnologías de la Información y la Comunicación (TIC)

Elementos y técnicas utilizadas en el tratamiento y la transmisión de las

informaciones, principalmente de informática, Internet y

telecomunicaciones.

U

� UPS (Uninterrumpible Power Supply)

Dispositivo que gracias a sus baterías, puede proporcionar energía eléctrica

tras un apagón a todos los dispositivos que tenga conectados. Otra de sus

funciones es la de mejorar la calidad de la energía eléctrica que llega a los

aparatos, filtrando subidas y bajadas de tensión y eliminando armónicos de


142

la red en el caso de usar corriente alterna. Dan energía eléctrica a equipos

llamados cargas críticas, como pueden ser aparatos médicos, industriales o

informáticos que requieren tener siempre alimentación y que ésta sea de

calidad, debido a la necesidad de estar en todo momento operativos y sin

fallos (picos o caídas de tensión).

V

� Ventana de interrupción

El tiempo que una compañía puede esperar desde el punto de falla hasta el

restablecimiento de los servicios o aplicaciones, mínimos y críticos.

Después de ese tiempo, las perdidas progresivas ocasionadas por la

interrupción son excesivas para la organización.

� Vulnerabilidad

Debilidad o ausencia de medidas de salvaguarda. Algunos ejemplos son los

siguientes:

• Software defectuoso.

• Equipo configurado en forma inapropiada.

• Cumplimiento forzoso inadecuado.

• Diseño deficiente de redes.

• Procesos defectuosos o incontrolados.

• Administración inadecuada.

• Personal insuficiente.


143

• Falta de conocimiento de usuarios.

• Falta de funcionalidad en la seguridad.

• Falta de mantenimiento apropiado.

• Elección deficiente de contraseñas.

• Tecnología no probada.

• Transmisión de comunicaciones no protegidas.

• Falta de redundancia.

W

� Warm Site

Alternativa de recuperación en caso de desastres consistente en disponer de

una sede equipada con los elementos de infraestructura y parte o todos los

dispositivos necesarios a falta del ordenador. Con esta alternativa se pueden

tardar días en establecer de nuevo las operaciones.

X

Y


144

Z

� Zona desmilitarizada (DMZ)

Zona donde se albergan los servidores a los que el firewall permite un

acceso parcial, generalmente se emplea para servidores Web, servidores

FTP y servidores de correo.


145

B. Legislación vigente

Se han identificado las siguientes leyes aplicables para la organización RED

SOCIAL que tienen relación con la continuidad de los Sistemas de Información.

a) LSSI-CE

La Ley de Servicios de la Sociedad de la Información y del Comercio

Electrónico (o LSSI-CE) establece los criterios de servicios en Internet cuando sean

parte de la actividad económica:

• Servicios por Internet

− Mostrar en la web: Nombre, NIF, dirección, correo electrónico.

− Datos de inscripción registral incluyendo nombre del dominio.

− Mostrar precios de los productos y servicios,

− Contratación y tramitación on-line.

− Autenticación mediante certificados y establecer canales seguros SSL.

• Sobre la publicidad por Internet

− Prohibición de los spam (email no solicitado).

− Posibilidad de borrarse de las listas de correo informativo.

• Sobre los prestadores de servicios ISP, Hosting


146

− Colaborar con los órganos públicos para resolución de incidencias:

almacenamiento de logs y eventos para rastreo.

− Informar a los clientes sobre medidas de seguridad a aplicar.

− No son responsables de contenidos ilícitos si no los elaboran,

− Sí son responsables si los conocen y no los retiran o no los comunican.

• Sobre titulares de páginas personales

− Solo sujetas a la ley si tienen publicidad por la que perciban ingresos.

− Identificar claramente la publicidad y la identidad: nombre, tfno, fax,

eMail, NIF.

A continuación se han copiado los aspectos más relevantes con las palabras

exactas de esta ley:

LLeeyy 3344//22000022,, ddee 1111 ddee jjuull iioo,, ddee sseerrvviicciiooss ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn yy ddee ccoommeerrcciioo

eelleeccttrróónniiccoo..

““ ……LLaa pprreessttaacciióónn ddee sseerrvviicciiooss ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn nnoo eessttaarráá ssuujjeettaa aa aauuttoorriizzaacciióónn

pprreevviiaa……””

““ ……EEnn ccaassoo ddee qquuee uunn ddeetteerrmmiinnaaddoo sseerrvviicciioo ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn aatteennttee oo ppuueeddaa

aatteennttaarr ccoonnttrraa llooss pprriinncciippiiooss qquuee ssee eexxpprreessaann aa ccoonnttiinnuuaacciióónn,, llooss óórrggaannooss ccoommppeetteenntteess ppaarraa ssuu

pprrootteecccciióónn,, eenn eejjeerrcciicciioo ddee llaass ffuunncciioonneess qquuee tteennggaann lleeggaallmmeennttee aattrr iibbuuiiddaass,, ppooddrráánn aaddooppttaarr llaass

mmeeddiiddaass nneecceessaarriiaass ppaarraa qquuee ssee iinntteerrrruummppaa ssuu pprreessttaacciióónn oo ppaarraa rreettii rraarr llooss ddaattooss qquuee llooss vvuullnneerraann..

LLooss pprriinncciippiiooss aa qquuee aalluuddee eessttee aappaarrttaaddoo ssoonn llooss ssiigguuiieenntteess::

aa.. LLaa ssaallvvaagguuaarrddaa ddeell oorrddeenn ppúúbbll iiccoo,, llaa iinnvveessttiiggaacciióónn ppeennaall ,, llaa

sseegguurriiddaadd ppúúbbll iiccaa yy llaa ddeeffeennssaa nnaacciioonnaall ..


147

bb.. LLaa pprrootteecccciióónn ddee llaa ssaalluudd ppúúbbll iiccaa oo ddee llaass ppeerrssoonnaass ffííssiiccaass oo

jjuurrííddiiccaass qquuee tteennggaann llaa ccoonnddiicciióónn ddee ccoonnssuummiiddoorreess oo uussuuaarriiooss,,

iinncclluussoo ccuuaannddoo aaccttúúeenn ccoommoo iinnvveerrssoorreess..

cc.. EEll rreessppeettoo aa llaa ddiiggnniiddaadd ddee llaa ppeerrssoonnaa yy aall pprriinncciippiioo ddee nnoo

ddiissccrriimmiinnaacciióónn ppoorr mmoottiivvooss ddee rraazzaa,, sseexxoo,, rreell iiggiióónn,, ooppiinniióónn,,

nnaacciioonnaall iiddaadd,, ddiissccaappaacciiddaadd oo ccuuaallqquuiieerr oottrraa cciirrccuunnssttaanncciiaa

ppeerrssoonnaall oo ssoocciiaall ,, yy

dd.. LLaa pprrootteecccciióónn ddee llaa jjuuvveennttuudd yy ddee llaa iinnffaanncciiaa……””

““ ……CCoonnssttaanncciiaa rreeggiissttrraall ddeell nnoommbbrree ddee ddoommiinniioo…… ……SSuu nnoommbbrree oo ddeennoommiinnaacciióónn ssoocciiaall ;; ssuu

rreessiiddeenncciiaa oo ddoommiiccii ll iioo oo,, eenn ssuu ddeeffeeccttoo,, llaa ddiirreecccciióónn ddee uunnoo ddee ssuuss eessttaabblleecciimmiieennttooss ppeerrmmaanneenntteess eenn

EEssppaaññaa;; ssuu ddiirreecccciióónn ddee ccoorrrreeoo eelleeccttrróónniiccoo yy ccuuaallqquuiieerr oottrroo ddaattoo qquuee ppeerrmmiittaa eessttaabblleecceerr ccoonn ééll uunnaa

ccoommuunniiccaacciióónn ddiirreeccttaa yy eeffeeccttiivvaa……””

““ ……CCuuaannddoo eell sseerrvviicciioo ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn hhaaggaa rreeffeerreenncciiaa aa pprreecciiooss,, ssee ffaaccii ll ii ttaarráá

iinnffoorrmmaacciióónn ccllaarraa yy eexxaaccttaa ssoobbrree eell pprreecciioo ddeell pprroodduuccttoo oo sseerrvviicciioo,, iinnddiiccaannddoo ssii iinncclluuyyee oo nnoo llooss

iimmppuueessttooss aappll iiccaabblleess yy,, eenn ssuu ccaassoo,, ssoobbrree llooss ggaassttooss ddee eennvvííoo oo eenn ssuu ccaassoo aaqquueell lloo qquuee ddiissppoonnggaann llaass

nnoorrmmaass ddee llaass CCoommuunniiddaaddeess AAuuttóónnoommaass ccoonn ccoommppeetteenncciiaass eenn llaa mmaatteerriiaa……””

““ ……DDeebbeerr ddee rreetteenncciióónn ddee ddaattooss ddee ttrrááffiiccoo rreellaattiivvooss aa llaass ccoommuunniiccaacciioonneess eelleeccttrróónniiccaass……””

““ ……OObbll iiggaacciioonneess ddee iinnffoorrmmaacciióónn ssoobbrree sseegguurriiddaadd……””

““ ……RReessppoonnssaabbii ll iiddaadd ddee llooss pprreessttaaddoorreess ddee sseerrvviicciiooss qquuee rreeaall iizzaann ccooppiiaa tteemmppoorraall ddee llooss ddaattooss

ssooll iiccii ttaaddooss ppoorr llooss uussuuaarriiooss..

LLooss pprreessttaaddoorreess ddee uunn sseerrvviicciioo ddee iinntteerrmmeeddiiaacciióónn qquuee ttrraannssmmiittaann ppoorr uunnaa rreedd ddee

tteelleeccoommuunniiccaacciioonneess ddaattooss ffaaccii ll ii ttaaddooss ppoorr uunn ddeessttiinnaattaarriioo ddeell sseerrvviicciioo yy,, ccoonn llaa úúnniiccaa ffiinnaall iiddaadd ddee

hhaacceerr mmááss eeffiiccaazz ssuu ttrraannssmmiissiióónn uull tteerriioorr aa oottrrooss ddeessttiinnaattaarriiooss qquuee llooss ssooll iiccii tteenn,, llooss aallmmaacceenneenn eenn ssuuss

ssiisstteemmaass ddee ffoorrmmaa aauuttoommááttiiccaa,, pprroovviissiioonnaall yy tteemmppoorraall ,, nnoo sseerráánn rreessppoonnssaabblleess ppoorr eell ccoonntteenniiddoo ddee eessooss

ddaattooss nnii ppoorr llaa rreepprroodduucccciióónn tteemmppoorraall ddee llooss mmiissmmooss,, ssii ::

aa.. NNoo mmooddii ffiiccaann llaa iinnffoorrmmaacciióónn..


148

bb.. PPeerrmmiitteenn eell aacccceessoo aa eell llaa ssóólloo aa llooss ddeessttiinnaattaarriiooss qquuee ccuummppllaann llaass

ccoonnddiicciioonneess iimmppuueessttaass aa ttaall ffiinn,, ppoorr eell ddeessttiinnaattaarriioo ccuuyyaa

iinnffoorrmmaacciióónn ssee ssooll iiccii ttaa..

cc.. RReessppeettaann llaass nnoorrmmaass ggeenneerraallmmeennttee aacceeppttaaddaass yy aappll iiccaaddaass ppoorr eell

sseeccttoorr ppaarraa llaa aaccttuuaall iizzaacciióónn ddee llaa iinnffoorrmmaacciióónn..

dd.. NNoo iinntteerrffiieerreenn eenn llaa uuttii ll iizzaacciióónn ll ííccii ttaa ddee tteeccnnoollooggííaa ggeenneerraallmmeennttee

aacceeppttaaddaa yy eemmpplleeaaddaa ppoorr eell sseeccttoorr,, ccoonn eell ffiinn ddee oobbtteenneerr ddaattooss

ssoobbrree llaa uuttii ll iizzaacciióónn ddee llaa iinnffoorrmmaacciióónn,, yy

ee.. RReettii rraann llaa iinnffoorrmmaacciióónn qquuee hhaayyaann aallmmaacceennaaddoo oo hhaacceenn iimmppoossiibbllee

eell aacccceessoo aa eell llaa,, eenn ccuuaannttoo tteennggaann ccoonnoocciimmiieennttoo eeffeeccttiivvoo ddee::

11.. QQuuee hhaa ssiiddoo rreettii rraaddaa ddeell lluuggaarr ddee llaa rreedd eenn qquuee ssee

eennccoonnttrraabbaa iinniicciiaallmmeennttee..

22.. QQuuee ssee hhaa iimmppoossiibbii ll ii ttaaddoo eell aacccceessoo aa eell llaa,, oo

33.. QQuuee uunn ttrr iibbuunnaall uu óórrggaannoo aaddmmiinniissttrraattiivvoo ccoommppeetteennttee hhaa

oorrddeennaaddoo rreettii rraarrllaa oo iimmppeeddiirr qquuee ssee aacccceeddaa aa eell llaa……””

““ ……RReessppoonnssaabbii ll iiddaadd ddee llooss pprreessttaaddoorreess ddee sseerrvviicciiooss ddee aalloojjaammiieennttoo oo aallmmaacceennaammiieennttoo ddee ddaattooss..

LLooss pprreessttaaddoorreess ddee uunn sseerrvviicciioo ddee iinntteerrmmeeddiiaacciióónn ccoonnssiisstteennttee eenn aallbbeerrggaarr ddaattooss pprrooppoorrcciioonnaaddooss

ppoorr eell ddeessttiinnaattaarriioo ddee eessttee sseerrvviicciioo nnoo sseerráánn rreessppoonnssaabblleess ppoorr llaa iinnffoorrmmaacciióónn aallmmaacceennaaddaa aa ppeettiicciióónn

ddeell ddeessttiinnaattaarriioo,, ssiieemmpprree qquuee::

aa.. NNoo tteennggaann ccoonnoocciimmiieennttoo eeffeeccttiivvoo ddee qquuee llaa aaccttiivviiddaadd oo llaa iinnffoorrmmaacciióónn

aallmmaacceennaaddaa eess ii ll ííccii ttaa oo ddee qquuee lleessiioonnaa bbiieenneess oo ddeerreecchhooss ddee uunn tteerrcceerroo

ssuusscceeppttiibblleess ddee iinnddeemmnniizzaacciióónn,, oo

bb.. SSii lloo ttiieenneenn,, aaccttúúeenn ccoonn ddii ll iiggeenncciiaa ppaarraa rreettii rraarr llooss ddaattooss oo hhaacceerr

iimmppoossiibbllee eell aacccceessoo aa eell llooss……””

““ ……RReessppoonnssaabbii ll iiddaadd ddee llooss pprreessttaaddoorreess ddee sseerrvviicciiooss qquuee ffaaccii ll ii tteenn eennllaacceess aa ccoonntteenniiddooss oo

iinnssttrruummeennttooss ddee bbúússqquueeddaa..

LLooss pprreessttaaddoorreess ddee sseerrvviicciiooss ddee llaa ssoocciieeddaadd ddee llaa iinnffoorrmmaacciióónn qquuee ffaaccii ll ii tteenn eennllaacceess aa oottrrooss

ccoonntteenniiddooss oo iinncclluuyyaann eenn llooss ssuuyyooss ddiirreeccttoorriiooss oo iinnssttrruummeennttooss ddee bbúússqquueeddaa ddee ccoonntteenniiddooss nnoo sseerráánn

rreessppoonnssaabblleess ppoorr llaa iinnffoorrmmaacciióónn aa llaa qquuee ddiirr ii jjaann aa llooss ddeessttiinnaattaarriiooss ddee ssuuss sseerrvviicciiooss,, ssiieemmpprree qquuee::


149

aa.. NNoo tteennggaann ccoonnoocciimmiieennttoo eeffeeccttiivvoo ddee qquuee llaa aaccttiivviiddaadd oo llaa

iinnffoorrmmaacciióónn aa llaa qquuee rreemmiitteenn oo rreeccoommiieennddaann eess ii ll ííccii ttaa oo ddee qquuee

lleessiioonnaa bbiieenneess oo ddeerreecchhooss ddee uunn tteerrcceerroo ssuusscceeppttiibblleess ddee

iinnddeemmnniizzaacciióónn,, oo

bb.. SSii lloo ttiieenneenn,, aaccttúúeenn ccoonn ddii ll iiggeenncciiaa ppaarraa ssuupprriimmiirr oo iinnuuttii ll iizzaarr eell

eennllaaccee ccoorrrreessppoonnddiieennttee……””

““ ……LLaa eennttiiddaadd ppúúbbll iiccaa eemmpprreessaarriiaall RReedd..eess eess llaa aauuttoorriiddaadd ddee aassiiggnnaacciióónn,, aa llaa qquuee ccoorrrreessppoonnddee llaa

ggeessttiióónn ddeell rreeggiissttrroo ddee nnoommbbrreess ddee ddoommiinniioo ddee IInntteerrnneett bbaajjoo eell ..eess,, ddee aaccuueerrddoo ccoonn lloo eessttaabblleecciiddoo eenn llaa

ddiissppoossiicciióónn aaddiicciioonnaall sseexxttaa ddee llaa LLeeyy 1111//11999988,, ddee 2244 ddee aabbrrii ll ,, GGeenneerraall ddee TTeelleeccoommuunniiccaacciioonneess......””

““ ……EEll eennvvííoo mmaassiivvoo ddee ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess ppoorr ccoorrrreeoo eelleeccttrróónniiccoo uu oottrroo mmeeddiioo ddee

ccoommuunniiccaacciióónn eelleeccttrróónniiccaa eeqquuiivvaalleennttee oo eell eennvvííoo,, eenn eell ppllaazzoo ddee uunn aaññoo,, ddee mmááss ddee ttrreess

ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess ppoorr llooss mmeeddiiooss aalluuddiiddooss aa uunn mmiissmmoo ddeessttiinnaattaarriioo,, ccuuaannddoo eenn ddiicchhooss

eennvvííooss nnoo ssee ccuummppllaann llooss rreeqquuiissii ttooss eessttaabblleecciiddooss eenn eell aarrttííccuulloo 2211......”” ((II nnffrraacccciióónn ggrraavvee))

““ ……EEll iinnccuummppll iimmiieennttoo ddee llaa oobbll iiggaacciióónn ddee ssuussppeennddeerr llaa ttrraannssmmiissiióónn,, eell aalloojjaammiieennttoo ddee ddaattooss,, eell

aacccceessoo aa llaa rreedd oo llaa pprreessttaacciióónn ddee ccuuaallqquuiieerr oottrroo sseerrvviicciioo eeqquuiivvaalleennttee ddee iinntteerrmmeeddiiaacciióónn,, ccuuaannddoo uunn

óórrggaannoo aaddmmiinniissttrraattiivvoo ccoommppeetteennttee lloo oorrddeennee,, eenn vviirrttuudd ddee lloo ddiissppuueessttoo eenn eell aarrttííccuulloo 1111......””

((II nnffrraacccciióónn mmuuyy ggrraavvee))

““ ……LLaass ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess rreeaall iizzaaddaass ppoorr vvííaa eelleeccttrróónniiccaa ddeebbeerráánn sseerr ccllaarraammeennttee

iiddeennttii ffiiccaabblleess ccoommoo ttaalleess yy llaa ppeerrssoonnaa ffííssiiccaa oo jjuurrííddiiccaa eenn nnoommbbrree ddee llaa ccuuaall ssee rreeaall iizzaann ttaammbbiiéénn

ddeebbeerráá sseerr ccllaarraammeennttee iiddeennttii ffiiccaabbllee..

EEnn eell ccaassoo eenn eell qquuee tteennggaann lluuggaarr aa ttrraavvééss ddee ccoorrrreeoo eelleeccttrróónniiccoo uu oottrroo mmeeddiioo ddee ccoommuunniiccaacciióónn

eelleeccttrróónniiccaa eeqquuiivvaalleennttee iinncclluuiirráánn aall ccoommiieennzzoo ddeell mmeennssaajjee llaa ppaallaabbrraa ppuubbll iicciiddaadd oo llaa aabbrreevviiaattuurraa

ppuubbll ii……””

““ ……QQuueeddaa pprroohhiibbiiddoo eell eennvvííoo ddee ccoommuunniiccaacciioonneess ppuubbll iiccii ttaarriiaass oo pprroommoocciioonnaalleess ppoorr ccoorrrreeoo

eelleeccttrróónniiccoo uu oottrroo mmeeddiioo ddee ccoommuunniiccaacciióónn eelleeccttrróónniiccaa eeqquuiivvaalleennttee qquuee pprreevviiaammeennttee nnoo hhuubbiieerraann ssiiddoo

ssooll iiccii ttaaddaass oo eexxpprreessaammeennttee aauuttoorriizzaaddaass ppoorr llooss ddeessttiinnaattaarriiooss ddee llaass mmiissmmaass..

LLoo ddiissppuueessttoo eenn eell aappaarrttaaddoo aanntteerriioorr nnoo sseerráá ddee aappll iiccaacciióónn ccuuaannddoo eexxiissttaa uunnaa rreellaacciióónn

ccoonnttrraaccttuuaall pprreevviiaa,, ssiieemmpprree qquuee eell pprreessttaaddoorr hhuubbiieerraa oobbtteenniiddoo ddee ffoorrmmaa ll ííccii ttaa llooss ddaattooss ddee ccoonnttaaccttoo

ddeell ddeessttiinnaattaarriioo yy llooss eemmpplleeaarraa ppaarraa eell eennvvííoo ddee ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess rreeffeerreenntteess aa pprroodduuccttooss oo


150

sseerrvviicciiooss ddee ssuu pprrooppiiaa eemmpprreessaa qquuee sseeaann ssiimmii llaarreess aa llooss qquuee iinniicciiaallmmeennttee ffuueerroonn oobbjjeettoo ddee

ccoonnttrraattaacciióónn ccoonn eell ccll iieennttee..

EEnn ttooddoo ccaassoo,, eell pprreessttaaddoorr ddeebbeerráá ooffrreecceerr aall ddeessttiinnaattaarriioo llaa ppoossiibbii ll iiddaadd ddee ooppoonneerrssee aall

ttrraattaammiieennttoo ddee ssuuss ddaattooss ccoonn ffiinneess pprroommoocciioonnaalleess mmeeddiiaannttee uunn pprroocceeddiimmiieennttoo sseennccii ll lloo yy ggrraattuuii ttoo,,

ttaannttoo eenn eell mmoommeennttoo ddee rreeccooggiiddaa ddee llooss ddaattooss ccoommoo eenn ccaaddaa uunnaa ddee llaass ccoommuunniiccaacciioonneess ccoommeerrcciiaalleess

qquuee llee ddiirr ii jjaa……””

b) LOPD

Existe otra ley organizada en la actualidad bajo la Ley Orgánica de

Protección de datos, que para la actividad de una empresa como RED SOCIAL

obliga a declarar ficheros con datos personales en Agencia de Protección de datos así

como establecer las siguientes medidas (una red social gestiona datos muy personales

de los usuarios, por lo tanto la Agencia de Protección de Datos la clasifica en el nivel

más alto):

− Creación de un documento de seguridad, de obligado cumplimiento para el

personal que tenga acceso a los datos.

− Adopción de medidas para que el personal conozca las normas de seguridad.

− Creación de un registro de incidencias.

− Creación de una relación de usuarios (procesos o personas) que tengan

acceso al sistema de información.

− Establecer mecanismos de control de acceso.

− Establecer mecanismos de control de soporte.

− Identificación del responsable de seguridad.


151

− Control periódico para verificar el cumplimiento en lo dispuesto en el

documento de seguridad.

− Definir además las medidas para reutilizar o desechar un soporte.

− Auditoría interna o externa. Al menos cada 2 años.

− Mecanismo para identificar todo usuario que intente acceder al sistema.

Limitar el número de intentos.

− Normas sobre gestión de los soportes.

− Medidas complementarias sobre:

o Distribución y gestión de soportes de copias de seguridad.

o Registro de accesos lógicos: logs con usuario, hora, tipo

o Control y registro de accesos físicos

o Copias de respaldo y recuperación

− Comunicaciones cifradas en caso de realizar transmisión de datos

Además la LOPD establece que las siguientes medidas con respecto a los

derechos de las personas a las que pueda hacer referencia la información:

• Derechos básicos: Derecho de consulta al registro general de protección de

datos. El registro es de consulta pública y gratuita.

• Servicios gratuitos que debe ofrecer la empresa

o Derecho de acceso. Consulta gratuita de los datos personales de la

persona que los solicite.

o Derecho de rectificación. plazo de 10 días


152

o Derecho de cancelación (derecho a borrar el dato). plazo de 10 días

o Derecho de oposición (eliminación de datos cuyo tratamiento no

requiera consentimiento).

c) LISI

Medidas orientadas a impulsar la sociedad de la información en el sector

privado bajo tres líneas fundamentales: facturación electrónica, contratación

electrónica e interlocución entre clientes, partners y proveedores:

• Facturación electrónica.

− Uso de medios electrónicos en los procesos de contratación.

• Obligación de disponer de un medio de interlocución telemática

− Prestación de servicios al público de especial trascendencia económica.

• Ofertas públicas de contratación electrónica entre empresas.

• Utilización de caracteres de las lenguas oficiales de España en “.es”.

• Extensión de servicios de banda ancha.

• Mejora de los niveles de seguridad y confianza en Internet.

• Requerimientos de información para fines estadísticos y de análisis.

• Acceso de las personas con discapacidad a las TIC.

• Transferencia tecnológica a la sociedad.

• Cesión de contenidos para su puesta a disposición de la sociedad.

• Regulación del juego.


153

d) Ley de firma electrónica

Equipara la firma electrónica a la firma física, estableciendo su validez legal y

regula:

− Prestadores de servicios de certificación.

− Certificados reconocidos.

− Dispositivos seguros de creación de firmas.


154

C. Índice de tablas y gráficos

Estos son los gráficos y tablas que han servido para acompañar la realización

y comprensión de este proyecto fin de carrera:

GRÁFICOS

Gráfico 1. Procesos de negocio de RED SOCIAL ...................................................... 7

Gráfico 2. Línea base de negocio de RED SOCIAL ................................................. 11

Gráfico 3. Ciclo de mejora continua adaptado de la GCN. (GTAG10) ..................... 13

Gráfico 4. Ciclo de vida de la GCN (BCI_07) .......................................................... 15

Gráfico 5. Ciclo de mejora continua para la GCN (DELO08) .................................. 16

Gráfico 6. Evolución de los usuarios de Internet por niveles de rentas ..................... 18

Gráfico 7. Mapa de riesgos probabilidad/nivel de criticidad. .................................... 44

Gráfico 8. Relación coste/perdidas para selección de estrategias de continuidad. .... 56

Gráfico 9. Comparativa coste/tiempo de estrategias de recuperación. ...................... 59

Gráfico 10. Organigrama del proyecto fin de carrera. ............................................. 113

Gráfico 11. División de los paquetes de trabajo. ..................................................... 114

Gráfico 12. Planificación temporal de paquetes de trabajo. .................................... 117


155

TABLAS

Tabla 1. Descripción de procesos de cada una de las áreas de RED SOCIAL ............ 8

Tabla 2. Descripción de tecnologías de seguridad existentes. ................................... 29

Tabla 3. Comparación entre Gestión de Riesgos y GCN. ......................................... 32

Tabla 4. Procesos de RED SOCIAL y dependencias directas. .................................. 33

Tabla 5. Procesos de RED SOCIAL y su misión. ..................................................... 35

Tabla 6. Procesos de RED SOCIAL críticos, RTO´s y pérdidas. .............................. 37

Tabla 7. Procesos ordenados de RED SOCIAL críticos y sus recursos. ................... 38

Tabla 8. Tabla de riesgos probabilidad/nivel de criticidad. ....................................... 42

Tabla 9. Estrategias de continuidad para incidente 1. ................................................ 68

Tabla 10. Estrategias de continuidad para incidente 2. .............................................. 70




Tabla 14. Registro de formación de empleados. ...................................................... 102

Tabla 15. Registro de pruebas. ................................................................................. 104

Tabla 16. Relación horas/hombre PFC .................................................................... 119

Tabla 17. Resultados costes PFC ............................................................................. 119

Date post:	19-Feb-2018
Category:	Documents
Upload:	lehanh
View:	214 times
Download:	1 times

[PFC] Business Continuity Planning para redes sociales · PDF filebusiness activities, as well...

Documents