INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY
PRESENTE.
Por m e d i o d e la presente h a g o constar q u e soy autor y titular d e la o b r a d e n o m i n a d a
c u a l autorizo a el Instituto Tecnológico y d e Estudios Superiores d e Monterrey (EL INSTITUTO) p a r a q u e e f e c t ú e la divulgación, p u b l i c a c i ó n , c o m u n i c a c i ó n p ú b l i c a , distribución, distribución p ú b l i c a y r e p r o d u c c i ó n , así c o m o la digitalización d e la misma, c o n fines a c a d é m i c o s o propios al o b j e t o d e EL INSTITUTO, d e n t r o d e l círculo d e la c o m u n i d a d d e l Tecnológico d e Monterrey.
El Instituto se c o m p r o m e t e a respetar e n t o d o m o m e n t o mi autoría y a o t o r g a r m e el crédito correspondiente e n todas las actividades m e n c i o n a d a s anteriormente d e la o b r a .
De la misma m a n e r a , manifiesto q u e el c o n t e n i d o a c a d é m i c o , literario, la e d i c i ó n y e n general cualquier p a r t e d e LA OBRA son d e mi e n t e r a responsabilidad, por lo q u e deslindo a EL INSTITUTO por cualquier violación a los derechos d e autor y / o p r o p i e d a d intelectual y / o cualquier responsabilidad r e l a c i o n a d a c o n la OBRA q u e c o m e t a el suscrito frente a terceros.
e n los sucesivo LA OBRA, e n virtud d e lo
Desarrollo de un Modelo de Uso Libre para la Continuidad
Operativa en Empresas Mexicanas Edición Única
Title
Desarrollo de un Modelo de Uso Libre para la Continuidad
Operativa en Empresas Mexicanas Edición Única
Authors
Dreyser Eguía Arroyo
Affiliation
Tecnológico de Monterrey, Campus Monterrey
Issue Date
20060601
Item type
Tesis
Rights
Open Access
Downloaded
19Jan2017 01:20:17
SUPERIORES DE MONTERREY
CAMPUS MONTERREY
PROGRAMA DE GRADUADOS EN ELECTRÓNICA.
COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES
T E C N O L Ó G I C O
D E M O N T E R R E Y
TESIS
DESARROLLO DE UN MODELO DE USO UBRE PARA LA
CONTINUIDAD OPERATIVA EN EMPRESAS MEXICANAS.
PRESENTADA COMO REQUISITO PARCIAL PARA
OBTENER EL GRADO ACADÉMICO DE;
MAESTRÍA EN CIENCIAS EN TECNOLOGÍAS
DE LA INFORMACIÓN
POR
C A M P U S M O N T E R R E Y
P R O G R A M A D E G R A D U A D O S E N E L E C T R Ó N I C A , C O M P U T A C I Ó N , I N F O R M A C I Ó N Y C O M U N I C A C I O N E S
T E S I S
D E S A R R O L L O D E U N M O D E L O D E U S O L I B R E P A R A L A C O N T I N U I D A D O P E R A T I V A E N E M P R E S A S M E X I C A N A S .
P R E S E N T A D A C O M O R E Q U I S I T O P A R C I A L P A R A O B T E N E R EL G R A D O A C A D É M I C O D E :
M A E S T R Í A EN C I E N C I A S EN T E C N O L O G Í A S D E L A I N F O R M A C I Ó N
P O R
D R E Y S E R EGUÍA A R R O Y O
Campus Monterrey
Programa de Graduados en Electrónica,
Computación, Información y Comunicaciones
Los miembros del comité de tesis recomendamos que la presente propuesta de sea aceptada para desarrollar el proyecto de tesis que es requisito parcial para obtener el grado de M a e s t r o en Ciencias de Tecnología Informática.
Comité de Tesis
Graciano Dieck Assad
Director del Programa de Posgrado en Electrónica, Computación, Información y Comunicaciones
Junio de 2006 M C Alejandro Parra Briones
Asesor Principal
Ing. Gustavo Cervantes Ornelas Sinodal
por
D R E Y S E R EGUÍA A R R O Y O
T E S I S
Presentada al Programa de Graduados en Electrónica, Computación, Información y Comunicaciones
Este trabajo es requisito parcial para obtener el grado de Maestro en Ciencias en Tecnología Informática
I N S T I T U T O T E C N O L Ó G I C O Y D E E S T U D I O S S U P E R I O R E S D E M O N T E R R E Y
A mi Asesor Por su confianza y apoyo incondicional en todo momento.
A mis amigos y compańeros Gracias por su amistad, y apoyo durante este duro
A mi familia,
Especialmente a mis padres,
por la enorme ayuda y orientación
en mi lucha constante por
1. Introducción 1
1.1. Planteamiento del problema 3 1.2. Contexto del problema 3
1.2.1. El factor P y M e en México 3 1.2.2. Situación de las empresas Mexicanas en cuestión de
Tecnología de Información 5
1.3. Hipótesis 7 1.4. Organización de la tesis 8
2. M a r c o teórico 9
2.1. Conceptos generales 9 2.1.1. Amenazas 9 2.1.2. El proceso de continuidad de negocio 11
2.1.3. Enfoque del modelo X i p e 19 2.1.4. Alcance del modelo X i p e 21 2.2. Continuidad de negocio vs Recuperación de desastres 22
2.3. Las P y M e s mexicanas y B C P 23
3 . Pruebas de c a m p o 2 6
3.1.2. Fraude bancario a Banamex 27 3.1.3. El ayuntamiento de Tonalá, Chiapas 28
3.1.4. La historia de Oreck 29 3.1.5. Morphy Richards 30 3.1.6. W T C , ataques del 11 de septiembre 31
4 . M o d e l o X i p e 3 3
4.1. Origen del nombre 33
4.2. Modelo 34 4.3. Etapa 1: Iniciación 34
4.3.1. Definición del proyecto 37
4.3.2. Concientización 40 4.3.3. Estrategia Organizacional 43
4.4. Etapa 2: Análisis de negocio 43 4.4.1. Análisis de impacto al negocio 46
4.4.2. Valoración de riesgos 53 4.5. Etapa 3: Respuesta Business Continuity Managment 59
4.5.1. Plan de administración de crisis ( C M P ) 60 4.5.2. Plan de reanudación de negocio ( B R P ) 61 4.5.3. Plan de respuesta a emergencias ( E R P ) 62
4.6. Etapa 4: Implementar el plan 63 4.6.1. Implementar políticas y controles 64
4.6.2. Entrenamiento de equipos 65
4.6.3. Pruebas iniciales 65 4.6.4. Monitoreo de cultura B C M 66
4.7. Etapa 5: Revisión y mantenimiento 67 4.7.1. Ejecución de pruebas y mantenimiento 68
5.1. Resultados 70 5.2. Conclusiones 71 5.3. Trabajo Futuro 73
6. A n e x o s 7 4
1.1. A p o r t e de P y M e s a la economía nacional 4
1.2. Análisis retrospectivo del capítulo 7
2.1. Clasificación de las amenazas 10
2.2. Enfoque de Insight 14 2.3. Etapas según A N A O 17 2.4. Etapas según NIST 20 2.5. Enfoque X i p e 21 2.6. Relación entre B C P y D R P 24
4.1. Logotipo X i p e 33 4.2. Etapas del modelo X i p e 35
4.3. Relación entre recursos y necesidades 38 4.4. Ejemplo de estructura de comunicación [15] 40
4.5. Procesos de una abarrotera pequeńa 47 4.6. Procesos de una cadena de abarroteras 48
4.7. Análisis de impacto al negocio 50 4.8. Ejemplo de árbol de procesos 54 4.9. Etapas de valoración de riegos 55 4.10. Categorías de amenazas de acuerdo a impacto y probabilidad. 57
6.1. Forma de listado de procesos 75 6.2. Forma de listado de procesos, clasificación de procesos 76
6.3. Forma de impacto a la organización 77
6.4. Forma de impacto a terceros 78 6.5. Forma de dependencias y recuperación 79
6.6. Forma de valoración de riestos 81 6.7. Mapa de procesos críticos 83 6.8. Categorías de amenazas de acuerdo a impacto y probabilidad. 84
6.9. Reporte R A , clasificación de amenazas 87 6.10. Reporte R A , controles sugeridos 88 6.11. Acción de los planes durante la vida de un incidente 89
6.12. Configuración del árbol de llamadas 92
1.1. Empresas nacionales registradas 4 1.2. Clasificación de empresas por tamańo 4 1.3. Establecimientos que cuentan con equipo de c ó m p u t o por sec
tor de actividad económica según tamańo del establecimiento
(porcentaje) [21] 6 1.4. Establecimientos con equipo de c ó m p u t o por sector de
actividad económica según disponibilidad de conexión a red
[22] 7
2.1. Relación entre amenazas y propiedades de la información. . . . 11
4.1. Escala para la probabilidad de ocurrencia 58
4.2. Escala para el nivel de impacto 58 6.1. Escala para la probabilidad de ocurrencia 85
Introducción
En un mundo comercial día a día más competitivo, toma cada vez mayor peso el valor de la información. Es la base para la toma de decisiones, es la diferencia entre ir un paso adelante o detrás de la competencia. Por esta razón, debe estar disponible en la operación diaria de cualquier organización competitiva. Esta investigación propone un modelo guía para diseńar una estrategia de información disponible la mayor parte del tiempo (conocida c o m o continuidad de negocio), enfocado hacia las empresas de tamańo pequeńo y mediano, empresas en crecimiento que requieren herramientas de bajo costo para abrirse paso hacia sus metas.
La vida empresarial es una batalla sin cuartel, una batalla constante en la cual un simple descuido puede cambiar su rumbo e incluso definir su resultado. De acuerdo a estudios realizados por A T & T en Estados Unidos, en relación a incidentes y su efecto en las empresas de este país, se obtuvieron los siguientes datos [4]:
• 1 6 % ha perdido entre US$100 mil y US$500 mil por día y un 2 6 % no sabe el costo de parar la empresa por día.
• Más del 40 % de las empresas no cuenta con servidores de respaldo para sus procesos críticos.
• De acuerdo a Gartner Group 2 de cada 5 compańías que enfrentan una catástrofe nunca continúan operando y de las que lo logran una tercera parte sale del negocio en los siguientes 2 ańos [17].
T o m a n d o c o m o parámetro los datos emitidos por el estudio de A T & T es posible establecer la importancia de un proceso de continuidad de negocio. Sin embargo dichos datos pueden llevar a creer que implican ocurrencia de catástrofes mayores. Cuando realmente la gran mayoría de las amenazas que enfrentan las organizaciones son incidentes comunes en su operación. Analizando las empresas de interés para este estudio, el sector de las empresas pequeńas y medianas (PyMes), existe un patrón de estos incidentes comunes que se repite constantemente:
• Generalmente son administrados a prueba y error por los dueńos, que en muchas ocasiones carecen de los conocimientos especializados en el área de tecnología de la información ( T I ) . [32]
• No contratan personal especializado y capacitado en el área de TI por no poder pagar altos salarios [32]
• El 35 % de los problemas de una P y M e es la necesidad de crédito, pero el otro 65 % es administración [19]
• Viven al día y no pueden soportar períodos largos de crisis en los cuales disminuyen las ventas [32]
• Dificultad para acceder a recursos financieros [32]
La importancia de contar con herramientas y conocimientos especializados en T I , radica en la diferencia que hace el factor información a la hora de tomar las decisiones, tanto en situaciones de desastre c o m o en situaciones cotidianas, dado que de estas decisiones depende la sobrevivencia y el crecimiento de la organización.
1.1. Planteamiento del problema
C o m o se verá en el capítulo 2, las PyMes conforman la columna vertebral de la economía de cualquier país. Sin embargo c o m o es de suponerse muchas de estas organizaciones de tamańo pequeńo y mediano luchan constantemente contra limitantes de orden económico y tecnológico. Generalmente estos dos factores están fuertemente ligados entre si, el mejorar o empeorar en uno de ellos nos lleva a crecer o disminuir en el otro.
1.2. Contexto del problema
Para fijar el alcance del estudio a México exclusivamente es necesario presentar el contexto. Comenzando por la definición de empresa mediana y su peso en la economía nacional.
1 . 2 . 1 .
El factor PyMe en México
En un país en desarrollo c o m o México, el peso que tienen las P y M e s para el desarrollo del país es muy importante representa aproximadamente el 45 % del producto interno bruto y 30 % de la generación de empleos. Este sector empresarial requiere de tecnología de información para ser productivo y continuar e incluso incrementar su aporte a la economía nacional.
La dependencia de nuestra economía hacia este sector, mencionada en el párrafo anterior se refleja en los datos emitidos por la secretaría de economía (Fig. 1.1) [12]:
Por número de empresas registradas también conforma una parte importante del la economía nacional. De acuerdo a datos emitidos por la secretaría de economía (cuadro 1.1), más del 7 % de las empresas registradas pertenecen a las PyMes, en contraste con el 1 % de las empresas grandes[ll]. Una P y M e se define de acuerdo al número de trabajadores con los que cuenta(Ley de desarrollo de la competitividad de la micro, pequeńa y mediana empresa) [24]. Existen 4 grupos, esta clasificación se presenta el cuadro 1.2
Empleo
Figura 1.1: Aporte de PyMes a la economía nacional.
Cuadro 1.1: Empresas nacionales registradas.
Micro Pequeńa Mediana Grande Total Registradas
Porcentaje
565,730 91.50%
35,966 5.82%
10,855 1.76%
5,734 0.93%
618,285 100.0%
Cuadro 1.2: Clasificación de empresas por tamańo. Industria Comercio Servicios Micros
Pequeńas Medianas Grandes
Hasta 10 11 a 50 51 a 250 251 y más
Hasta 10 11 a 30 31 a 100 101 y más
[image:19.612.120.467.115.257.2]requieren apoyos en diferentes aspectos sobre este sector.
En México, de acuerdo a estudios realizados [28], existen problemas particulares aunados a citados en la introducción :
• Sector p o c o estudiado por los investigadores e instituciones públicas y privadas.
• Ausencia de una cultura de calidad que permita competir en forma favorable en el mercado.
• Acceso limitado a la información y capacitación. • N o se encuentran preparadas para la globalización.
Por lo tanto, el sector empresarial centro de este estudio(PyMes) requiere apoyo en diversas áreas, entre ellas la tecnológica. Este apoyo debe ser de bajo costo a manera que sea accesible tanto por organizaciones de recursos limitados c o m o por organizaciones establecidas con recursos disponibles. Esta es el área de oportunidad que se ataca en esta investigación, busca proveer una herramienta tecnológica de uso libre que ayude a las organizaciones a prepararse para combatir las viscisitudes de su operación diaria y por consiguiente obtenga mejores posibilidades de subsistir y crecer eventualmente en un mundo comercial cada vez más competitivo y demandante.
Resumiendo, el objetivo principal de este desarrollo es crear una metodología gratuita para implementación de un proceso de continuidad del negocio en las P y M e s mexicanas (llamada modelo X i p e ) .
1.2.2. Situación de las empresas Mexicanas en cuestión
de Tecnología de Información
Cuadro 1.3: Establecimientos que cuentan con equipo de cómputo por sector de actividad económica según tamańo del establecimiento (porcentaje) [21].
Sector de actividad Grandes Medianos Pequeńos
Servicios 94.6 63.5 21.1
Comercio 96.1 69 23.6
Manufacturas 99.1 98.9 61.9
Construcción 99.6 98.3 96.5
Agroindustria 100 99 86.9
De acuerdo a información proporcionada por el INEGI, la situación del sector privado en cuanto equipo de c ó m p u t o utilizado en sus tareas cotidianas es la presentada en el cuadro 1.3:
Las empresas medianas y pequeńas tienen una dependencia considerable de los sistemas de tecnología de información, las 5 áreas de estudio promedian un uso de 85 % en cuanto a medianas y 5 7 % para las empresas pequeńas, sin embargo hay que tener en cuenta que los datos son del ańo de 1999, por lo que las cifras se pueden haber incrementado notablemente.
Al unir la información del cuadro anterior con la información de la sección "El factor P y M e en México", en donde se aclara el aporte de las PyMes (En suma aportan más del 40 % al PIB y 30 % a la generación de empleo), emerge una clara idea acerca del peso que tienen los sistemas de información para el desarrollo económico del país.
Otra parte fundamenta de los sitemas de información son las telecomunicaciones, que también se encuentran suceptibles de ataques o fallas. De acuerdo a lo explicado durante el desarrollo del modelo Xipe, los sistemas de información se encuentran expuestos a distintos tipos de amenazas de orígenes y magnitudes muy variados. Sin embargo con la proliferación de la internet en la iniciativa privada durante los últimos ańos un tipo de amenaza ha cobrado fuerza considerable, el crimen cibertnético.
Cuadro 1.4: Establecimientos con equipo de cómputo por sector de actividad económica según disponibilidad de conexión a red [22].
Sector Con equipo de cómputo Con conexión Sin conexión
Total 1,089,260 243,081 845,657
Comercio 480,500 75,017 405,075
Servicios 318,153 67,631 250,506
Manufacturas 276,434 96,676 179,702
Construcción 11,912 2,774 9,096
Agroindustria 2,261 983 1,278
medida su funcionamiento en tecnología de información y telecomunicaciones ( T I C ) , c o m o resultado de su operación normal T I C sufre de amenazas y fallos, sin embargo pueden ser mitigados a través de un proceso de continuidad de negocio. La cadena se expone en la figura 1.2.
Figura 1.2: Análisis retrospectivo del capítulo.
1.3. Hipótesis
1.4. Organización de la tesis
Marco teórico
2.1. Conceptos generales
2.1.1. Amenazas
A lo largo del presente documento se utilizan bastante dos palabras utilizadas indistintamente, riesgo y amenaza, para evitar ambigüedad en su interpretación, se presenta una definición en el contexto de la continuidad de negocio:
Un riesgo es t o d o aquel problema potencial que pueden experimentar el sistema o sus usuarios, y esta constituido básicamente de 3 características
[8]:
• Impacto. El evento tiene un efecto, ya sea negativo o positivo, una pérdida o ganancia asociada, puede ser una monetaria, de imagen en el mercado, de tiempo, etc.
• Probabilidad. Cada riesgo tiene una cierta probabilidad de ocurrencia implícita, que, c o m o en cualquier otra área, se encuentra en el rango de 0 a 1, cuando su valor es muy cercano o igual a 1, entonces se dice que tenemos un problema.
Existe una clasificación de las amenazas de acuerdo al dańo que causa sobre la información, dicha clasificación consta de 5 grandes áreas 2.1 [18]: Ametistas • Incendios • Inundaciones • Eventos sociales radicales • Robo de información • Mal funcionamiento de equipo • Pérdida de valores intelectuales • Etc. ValCfBa de mionraoón < /
<3>
JHI
Resultan en Modificación de la información Robo de información Destrucción de información Revelación de información Interrupción de servicios Figura 2.1: Clasificación de las amenazas.1. Destrucción de la información. Es cuando la información deja de existir para los individuos y entidades legales que tienen derechos sobre la misma.
2. Modificación de información. Se refiere a la alteración malintencionada y deliberada de información, se puede considerar c o m o una destrucción parcial de la información.
3. Robo o pérdida de información. Se da por una extracción y / o remoción de información ya sea deliberadamente o accidentalmente.
4. Revelación de información. Tiene por objetivo filtrar hacia el exterior información que debido a su sensibilidad es considerada con confidencial por la organización.
Cuadro 2.1: Relación entre amenazas y propiedades de la información.
Confidencialidad Disponibilidad Integridad
Destrucción X X
Modificación X X
R o b o / P é r d i d a X
Revelación X
Interrupción X
Estas amenazas a los valores de información pueden resultar en dańos a uno o de mas de los tres factores determinantes en un sistema de tecnología de información:
1. Confidencialidad. Es el objetivo de seguridad que genera el requerimiento de protección de intentos accidentales o intencionales para realizar lecturas de datos no autorizadas. Protege los datos en almacenamiento, procesamiento y durante su tránsito [30].
2. Integridad. Propiedad de los datos que asegura que no han sido alterados de una manera no autorizada. Aplica a los datos en almacenamiento, procesamiento y durante su tránsito [30].
3. Disponibilidad. Objetivo de seguridad que genera el requerimiento de protección contra remoción no autorizada de datos intencional o accidentalmente, busca evitar la negación de servicios [30].
Realizando un mapeo entre los diferentes tipos de amenazas y sus efectos resultantes se obtiene la información presentada en el cuadro 2.1:
2.1.2. El proceso de continuidad de negocio
[image:26.612.138.489.127.220.2]De acuerdo a otros autores el proceso de continuidad de negocio se puede definir c o m o :
"Es el proceso mediante el que los planes son puestos en su lugar y administrados para asegurar que los servicios de I T se puedan recuperar y continuar en operación si un incidente serio ocurriera. No se trata simplemente de medidas reactivas, si no también proactivas "[26].
"Es ampliamente definido c o m o un proceso de negocio que busca asegurar que las organizaciones sean capaces de soportar cualquier interrupción al funcionamiento normal" [16].
Contar con un proceso de continuidad de negocio provee a la organización con una herramienta muy poderosa para mantener las propiedades básicas de la información (disponibilidad, confidencialidad e integridad). Existen diferentes enfoques acerca de c o m o alcanzar esta meta, desarrollados por empresas u organizaciones con experiencia amplia en el área, a continuación se muestran 3 de ellos:
Para Insight Consulting [10], consta básicamente de 4 partes (fig. 2.2):
1. Iniciación. Un paso clave en el desarrollo del plan es confirmar su alcance, de manera que se puedan conocer los aspectos de la organización que deberán ser incluidos en el proyecto. También se identificará el staff y las ubicaciones de las oficinas, así c o m o organizaciones ajenas que deberán ser incluidas. Y finalmente definir roles, equipos de trabajo y fechas.
2. Requerimientos y estrategia. La siguiente actividad corresponde a el análisis de impacto de negocio o B I A (por sus siglas en inglés), se pretenden identificar los procesos críticos del negocio, el impacto potencial que pueden sufrir después de diferentes niveles de interrupción, los requisitos mínimos para mantener y reestablecer esos procesos clave. En seguida se conduce una valoración de riesgos, donde se identifican amenazas y vulnerabilidades. C o m o resultado de esta etapa se obtiene una combinación de medidas de reducción de riegos y opciones para la recuperación del negocio.
detalladamente los planes de continuidad de negocio y de recuperación de desastres para los procesos del negocio y los sistemas de TI. Estos deben incluir cualquier programa de reducción de riesgos necesario para contrarrestar las amenazas y vulnerabilidades identificadas. Otro componente esencial del plan es desarrollar una estructura de control y administración de crisis, ya que actuar inmediatamente después de algún incidente puede marcar la diferencia en la reputación de la empresa. Finalmente se establece y ejecuta un plan de pruebas para verificar que se cumpla con los objetivos fijados.
4. Administración operacional. El mantenimiento de un entorno B C M es vital para asegurar su efectividad. En este último paso se definen los procedimientos necesarios para lograr este mantenimiento en un esquema día a día. Incluye revisiones regulares de la estrategia e integración con los cambios en los procesos de administración para asegurar la consistencia. C o m o componente final de un B C M efectivo se necesita una fuerza de trabajo entrenada, por lo que se organizan programas de concientización a través de distintas técnicas.
De acuerdo con la Australian National Audit Office [5] y su guía de mejores prácticas, las etapas son 6 (fig. 2.3):
1. Iniciar el proyecto. El plan se debe preparar documentando los objetivos, alcance y límites. El administrador, o comité administrador responsable del proyecto deberá aprobar el plan, incluido el presupuesto. El plan no necesita ser demasiado largo o detallado, sino reflejar el tamańo complejidad de los problemas de continuidad de negocio en la organización.
También se establecen roles y responsabilidades, además de referenciar cualquier material o documentación existente que resulte relevante.
2. Identificar los procesos clave. La entrada principal para el BIA en el paso 3 es una lista, ordenada de acuerdo a su importancia, de los procesos clave esenciales para alcanzar los objetivos del negocio.
Enfoque insight Consulting
f
Iniciaciónq es» 'C 5
y*
[image:29.612.193.439.195.496.2]( Análisis de impacto a negocio ( Valoración de riesgos | Estrategia de continuidad de negocio
3
( Planeación de organización e imptementación ) Implementar
arreglos standby
Desarrollar planes Recuperación de
negocio Admon. de crisis
Implementar medidas de reducción de
riesgos Desarrollar procedimientos
Pruebas inicíales
C5 c o
i
Educación
y alerta Revisión i Pruebas
r "\ Admon. del Entrena s cambio miento
J V J } Aseguramiento
a) Establecer y priorizar los procesos claves del negocio.
b) Mapear las actividades emprendidas dentro de cada proceso.
c) Relacionar los recursos con las actividades.
3. Análisis de impacto de negocio. Se analiza la información del paso 2, y se obtienen los impactos operacional y financiero que resultarían de interrupciones a, o pérdidas de, un procese de negocio valorado. A partir de aquí se determina el máximo período fuera operación permisible para los procesos y recursos críticos. Es decir cuanto tiempo se puede sobrevivir sin la actividad o el recurso crítico antes de que tenga un efecto perjudicial.
El análisis de impacto operacional y financiero comienza con una serie de entrevistas con los administradores de las actividades y recursos críticas. El análisis debe estar basado en una interrupción en la cual todas las actividades y recursos no estén disponibles. Asumir el peor caso, asegura que todos los impactos son considerados.
4. Diseńar tratamientos de continuidad. Este paso identifica los tratamientos a dirigir y, de los cuales pretendemos minimizar sus efectos. El análisis de tratamiento identifica los requerimientos para asegurar la disponibilidad continua de los procesos y recursos clave durante una interrupción. Se forman recomendaciones para cada área de servicio basadas en las opciones de tratamiento seleccionadas, y donde se identifique se hacen recomendaciones para mejoras en los procesos de negocio a ser implementados. El resultado de este análisis forma la base para el plan de continuidad de negocio.
5. Implementar los tratamientos de continuidad. La selección de trata mientos de continuidad y recuperación guiarán a: " Implementación de procedimientos para apoyar la recuperación de una interrupción "Documentación de los arreglos de recuperación. Los procedimientos implementados deben ser tanto preparatorios c o m o reactivos. Esto implica colocar controles que mitiguen las consecuencias de una interrupción. Tres de los controles más importantes son respaldo de procesos, administración de registros y arreglos formales de contingencia con partes externas.
reunidos con un plan de administración para coordinar los planes inferiores. Contempla la interrupción del negocio desde la respuesta al desastre inicial hasta el punto en el que se cuenta con operación normal.
6. Probar y mantener el plan. La revisión del B C P es esencial para asegurar que refleje los objetivos de la organización, sus funciones clave, los procesos y recursos correspondientes y una prioridad acordada de recuperación. Las pruebas y mantenimiento de el proceso de recuperación documentado en el B C P provee la seguridad administrativa de que el plan es efectivo.
De acuerdo a NIST [26] las etapas son las listadas a continuación (fig. 2.4):
1. Identificar las funciones críticas. Proteger la continuidad de misión o de negocio de una organización es muy difícil si no esta claramente identificado. Es necesario comprender el funcionamiento de la organización desde un punto de vista global. Esta definición de las funciones críticas para la misión o negocio se llama plan de negocios.
Y a que el plan de negocios será usado para apoyar la planeación de contingencia es necesario también asignar prioridades a las funciones críticas. Y a que no se podría establecer redundancia para cada función debido al costo.
2. Identificar los recursos que apoyan las funciones críticas. Esta actividad consta de identificar los recursos, los tiempos en que son usados (por ejemplo si es usado constantemente, solo mensualmente, etc), y el efecto que tiene la indisponibilidad del recurso. Un problema común en este paso es que distintos administradores supervisan diferentes recursos. Quizá no tengan claro c o m o los recursos apoyan a las funciones del negocio. El análisis deberá ser llevado por alguien que entienda c o m o se ejecuta la función y las dependencias entre los recursos, así c o m o otras relaciones críticas.
Enfoque ANAO o 5 o i? a. Ł <u •o
c
Documentar objetivos, alcance, limites Establecer presupuesto y tiempos5 SP
= 511
Identificar objetivos clave de negocio Identificar productos clave de negocio Alinear procesos dave con productos clave Entender actividades, recursos y dependencias clave rag
ra o en Identificar persona! clavec
Agendar y conducir entrevistas Documentar preocupaciones, prioridades y expectativas ) (T3'e'témwiFt«OT^ T> «5 TÍS
S
3 Ł C c sa 5 § 5 » Revisar controles existentes Identificar y evaluar opciones Seleccionar actividades y recursos alternos Implementar medidasD
D
1 ™'
^ ^ ^ J o.le
8Establecer equipos de recuperación
Z j
Documentar pasos de servicio y acción ) ( Obtener listas de contacto e inventario ") ( Documentar el proceso de admon. de recuperación )I
I •E o. *
I
C
Prueba en papel Verificación manualc
Validación de proveedores ( Disponibilidad de proveedores, servicio y equipo" Caminata estructurada Reunir equipo sin previo aviso [image:32.612.161.451.112.570.2]nos ayuda a desarrollar un plan para dirigir el amplio rango de cosas que podrían salir mal. Los escenarios deben incluir contingencias tanto grandes c o m o pequeńas.
Hay algunos escenarios que pueden resultar obvios, sin embargo, muchos otros no, para estos se requiere imaginación e investigación. Estos escenarios deben contemplan cada uno de los recursos del paso anterior.
4. Seleccionar las estrategias de planeación. El objetivo de este paso es conocer c o m o se van a recuperar los recursos necesarios. Para evaluar las alternativas es necesario considerar los controles para prevenir y minibar las contingencias. Ya que no se pueden prevenir todas las contingencias es necesario coordinar esfuerzos entre prevención y recuperación.
Una estrategia de este tipo normalmente consta de 3 partes: respuesta a emergencias, recuperación y reanudación. La primera parte engloba las acciones iniciales para limitar el dańo. Recuperación se refiere a los pasos a seguir para continuar con el apoyo a funciones críticas. Reanudación es el regreso a un estado de operación normal. La selección de las estrategias se debe basar en consideraciones prácticas, incluyendo viabilidad y costo, también se deben considerar las diferentes categorías de recursos.
alguien ajeno a la elaboración del plan, con la finalidad de encontrar fallas de planeación. La simulación se basa en emular eventos de desastre para probar la reacción del plan.
6. Pruebas y revisiones. Un plan de contingencia contiene indudablemente fallas en el diseńo y en la implementación, por lo tanto deberá ser probado periódicamente para detectar y erradicar estas fallas. Se debe asignar a un responsable del mantenimiento del plan.
Además de las organizaciones citadas anteriormente existen otras que también ofrecen información acerca del Continuidad del Negocio, algunos ejemplos de ellas son:
• T h e Business Continuity Institute. "Business Continuity Management G o o d Practice Guidelines" [6]
• British Standards Institution. "PAS 56 Guide to Business Continuity Management" [9]
2.1.3. Enfoque del modelo Xipe
Dentro de la estructura de una organización existen 4 áreas o elementos candidatos a protegerse con B C P :
• Información. Datos digitales o impresos, ya sea que se encuentren almacenados, siendo procesados o en movimiento (por ejemplo a través de la red).
• Infraestructura tecnológica. Elementos tecnológicos necesarios para la operación de la organización, por ejemplo servidores, red de computadoras, teléfonos, software, etc.
• Infraestructura no tecnológica. Elementos no tecnológicos c o m o vias de acceso a las instalaciones de la organización, el edificio mismo, etc. • Recurso humano. Se refiere al staff de la organización, clientes, terceros,
Enfoque NIST Identifica r funcione s critica s Identifica r funcione s critica s f Identificar funciones críticas "j Identifica r funcione s critica s
o 2? Recursos humanos
)
a .1
• Capacidad de procesamiento)
o i r i ?r V) 3 5 «5 Sí ż —
Aplicaciones automatizadas y datos
)
?r V) 3 5 «5 Sí ż —í= ™
'521
~ 9 Servicios basados en computadoras)
í= ™
'521
~ 9 Infraestructura)
í= ™
'521
~ 9 / • Documentos)
otí! V>
1 Antici p ' cortigen c desast r potenci e
Anticipar contigencias o desastres potenciales
)
1 Antici p ' cortigen c desast r potenci e m Q> 2t c
«8 < ˇ
Recursos humanos
)
mQ>
2t c
«8 < ˇ m Q>
2t c
«8 < ˇ • Capacidad de procesamiento
)
Í2 '<•> !fi raÍ2 '<•> !fi ra
(' Aplicaciones automatizadas y datos
)
| 5
o °
'88
| 5
o °
'88
(. Servicios basados en computadoras
)
| 5
o °
'88
{Infraestructura
)
c
Documentos)
Implementa r estrategia s o e contingenck i Implementa r estrategia s o e contingenck i
<" Implementación
)
Implementa r estrategia s o e contingenck i
(
Documentación)
Implementa r estrategia s o e contingenck i
( Entrenamiento
)
Implementa r estrategia s o e contingenck i «> ro J3 «> ro J3
c:
Pruebas)
<&w
c
RevisionesCL
[image:35.612.167.469.122.562.2]Estos cuatro elementos resultan de crucial importancia para el un sano funcionamiento de la organización, la relación existente entre ellos tiene incidencia directa sobre el desempeńo. Por lo tanto la falta o falla de alguno mermaría la competitividad y desarrollo. Se puede considerar que los cuatro tienen un nivel similar de importancia dado que requieren de los demás para realizar su función.
Para la implementación de continuidad de negocio Xipe considera un enfoque con información e infraestructura tecnológica c o m o la base del análisis, y los otros dos elementos (Infraestructura no tecnológica y recurso humano) c o m o apoyo para mantener un status funcional (fig. 2.5).
Continuidad de negocio
Recurso Humano
Infraestructura no tecnológica
Información Infraestructura Tecnológica
Figura 2.5: Enfoque Xipe.
2.1.4. Alcance del modelo Xipe
[image:36.612.222.415.252.486.2]por actividad de las organizaciones paras las que el modelo es 100 % aplicable, sin embargo, su uso no esta limitado a la lista.
• Centros de salud. Requieren mantener los registros de historias médicas, cargos al paciente, datos del paciente, etc.
• Negocios basados en internet. Debido a que están expuestos a ataques de cualquier parte del mundo, además de que están diseńados para operar las 24hrs del días.
• Medios de comunicación. A través de las redes se mantienen actualizados de las noticias, además de que necesitan la infraestructura tecnológica para entregar sus servicios.
• Empresas de diseńo y publicidad. Debido a que utilizan en gran medida T I para entregar sus productos.
• Empresas dedicadas a servicios de TI. Por ejemplo fábricas de software, empresas de telecomunicaciones, hospedaje de sitios web, etc.
• Instituciones financieras. Debido a que la infraestructura de TI resulta crítica para su operación.
• En general p o d e m o s decir que aplica en cualquier empresa que dependa en forma importante de su infraestructura de T I y / o información.
2.2. Continuidad de negocio vs Recuperación
de desastres
Existen diversas técnicas actualmente para proteger el proceso de negocio de una empresa. Dos de los más importantes son continuidad de negocio y recuperación de desastres. Estos dos términos pueden ser fácilmente confundidos debido a sus similitudes, sin embargo, son diferentes e incluso complementarios.
Para aclarar el concepto a continuación se presentan las características más importantes de recuperación de desastres [25]:
• Busca establecer medidas para proteger y recuperar los elementos más importantes de la organización.
• Incluye en su estudio comunicaciones, recurso humano, flujos de trabajo, interacción entre estos elementos, etc. Es decir busca identificar que y quien resulta crítico, deseable, etc.
• Generalmente presenta resultados en términos de tiempo. T i e m p o de control del incidente, de recuperación, regreso a operación normal, etc.
C o m o se expone en el resto de este documento, continuidad de negocio tiene básicamente las mismas características citadas anteriormente, existe una gran diferencia, localizada en el enfoque. Continuidad de negocio planea en forma visionaria, busca estudiar todos las posibles variantes que pudieran afectar la operación, incluyendo mercado, legales, sociales, etc.
A pesar de las similitudes y diferencias expuestas, las dos técnicas no son excluyentes, contrario a lo que se podría pensar son complementarias (fig 2.6). Continuidad de negocio analiza la situación desde un punto de vista global, lo cual implica una visión más amplia, implica involucrar todas las funciones de negocio. Por otro lado, recuperación de desastres se enfoca en rehabilitar el núcleo de la empresa, es decir la infraestructura de TI.
La relación consiste en la necesidad de la continuidad de negocio de mantener funcional la infraestructura de TI, o en caso de desastre, recuperar el estado operacional a la brevedad posible.
2.3. Las PyMes mexicanas y BCP
Continuidad de negocio enfocada hacia proteger el Visión globai del negocio, negocio como un todo
Recuperación de desastres
Visión más estrecha del negocio, enfocada hacía proteger básicamente la
infraestructura de Tí
Figura 2.6: Relación entre B C P y DRP.
De acuerdo a la naturaleza de creación de las estas estrategias, es decir su objetivo y alcance, existen factores que no se pueden considerar. Por ejemplo problemáticas particulares de las PyMes, y que en ocasiones llegan a afectar en la misma o mayor medida. Una de estas problemáticas particulares es el surgimiento de empresas a partir de iniciativas familiares o individuales, lo que resulta en una administración a base de prueba y error por parte del dueńo [29], este escenario generalmente termina en una administración que tiene por objetivo mantener a flote el negocio y no en una planeación adecuada.
[image:39.612.193.442.93.268.2]Lo que es considerado actualmente para los directivos c o m o una inversión fuerte o c o m o un gasto no necesario, puede convertirse a través de una herramienta gratuita, y de sencilla implementación, en una motivación y una oportunidad para mejorar la competitividad de su negocio.
Pruebas de campo
La investigación de c a m p o para la prueba del modelo X i p e implica un tiempo considerablemente largo para pasar a través de las 5 etapas del modelo y entregar un resultado funcional al 1 0 0 % . Debido al tiempo disponible para completar el trabajo se optó por utilizar un enfoque distinto, consistente en presentar casos ocurridos en empresas localizadas en el país y complementarlos con pruebas en entornos controlados.
Se presentan primeramente casos en los cuales las orgnizaciones estudiadas no contaban con algún plan para enfrentar las contingencias y sus respectivos desenlaces al enfrentar una situación de desastre. Posteriormente se realiza un contrastre c o n las organizaciones que tenían implementados planes de continuidad en forma correcta, se analiza c o m o afrontaron el desastre y el desenlace.
3.1. Casos de estudio
3.1.1. Huracán Katrina
Louisiana.
Katrina se formó sobre las Bahamas el 23 de Agosto de 2005, y cruzó la florida c o m o categoría 1, pero para el 29 de Agosto entro a territorio de Louisiana con una categoría mucho mayor, una categoría devastadora. La oleda causada por el huracán dejó dańos deastadores a través de la costa del golfo de méxico, arradanso las ciudades Mobile, Alabama, Waveland y Biloxi/Gulfport en Mississippi, y Slidell en Louisiana. Los diques encargados de contener el agua del lago Pontchartrain no resistieron la oleada y 80 % de la ciudad de Nueva Orleans fue inundada.
La inundación destruyó los registros médicos de miles de personas evacuadas de la ciudad de Nueva Orleans, llevándose ordenes para tratamiento de cáncer, diabetes e información de medicamentos almacenados en las clínicas y consultorios de la ciudad.
Durante el desastre la gente acudió a protegerse a los refugios y muchos lograron salvarse, sin embargo, posteriormente a la hora de recibir atención médica la tarea se dificultó debido a que no se contaban con los registros médicos de los refugiados. Por lo cual el mayor reto fue proveer asistencia médica a personas que padecen enfermedades crónicas.
C o n más de un millón de personas desplazadas y muchos de ellos sin registros médicos la tarea de reconstruir la información es enorme, y el proceso para extraer los datos puede ser complejo.
El departamento de salud y servicios humanos esta tratando de recrear parte de dicha información electrónicamente, en lo que parece ser una caso de prueba para los esfuerzos del gobierno para desarrollar sistemas de T I en el área de salud.
Se pudo compilar datos obtenidos de farmacias y almacenaros en bases de datos disponibles via internet a los médicos trabajando en 8 refugios. Sin embargo la tarea se complicó cuando las personas evacuadas comenzaron su regreso a la ciudad, ya que muchos t a m p o c o contaban con su registro médico.
3.1.2. Fraude bancario a Banamex
Ricardo Reyes Orozco, de 20 de ańos, realizó la operación vía Internet desde una cuenta maestra a una de perfiles, de la que es titular, y en diferentes días retiró en diferentes instituciones la cantidad de 526 mil pesos, a través de 29 cheques de varias denominaciones.
Sin embargo, el joven hacker fue detenido al intentar hacer una transacción en la sucursal Banamex de Calzada de Tlalpan y calle Circunvalación, pues personal del banco detectó que los retiros de la cuenta eran elevados y presentaban anomalías.
C o n el argumento de que en cuestión de minutos le sería entregado su dinero, el joven fue entretenido en la sala de espera de sucursal, lo que dio tiempo para que arribara al lugar personal de la Policía Judicial, que procedió a la detención.
Reyes Orozco aceptó su culpabilidad, por lo que fue remitido ante el Ministerio Público de la Coordinación Territorial Coyoacán Dos.
Ante la representación social, personal jurídico de la institución afectada mostró los documentos que acreditaban que la cantidad transferida a la cuenta del indiciado, pertenecía a otro cliente que se quejó al descubrir el gran faltante.
Una vez reunidos los elementos de prueba en la averiguación previa F C Y / C O Y 2 T 1 / 1 2 4 3 / 0 5 0 7 , el agente ministerial determinó el ejercicio de la acción penal en contra de Ricardo Reyes Orozco, por lo que fue ingresado al Reclusorio Preventivo Sur, por el delito de fraude.
3.1.3. El ayuntamiento de Tonalá, Chiapas
Tonalá, Chiapas, 29 de mayo de 2006 . Las pensiones del Estado son las primeras víctimas de los llamados hackers de Internet, esta vez llevaron a c a b o un fraude cibernético por más de 10 millones de pesos.
Ahora t o c ó el turno al Ayuntamiento de Tonalá, Chiapas, donde los dejaron sin la segunda quincena del mes de mayo; prácticamente los dejaron en la calle.
dinero a diferentes plazas de la República".
Los 7 millones 520 mil pesos, fueron cobrados en diversos estados de la República c o m o Monterrey, Distrito Federal y Veracruz donde ya hay un detenido.
García Real reconoce que las transferencias se hicieron a cuentas desconocidas y se cobraron recursos en Veracruz, se detuvo a una persona un retiro de 26 mil pesos de nombre José Jonahtan Medina Solano.
Ante el insólito caso no quedó más que pedir el auxilio del Gobierno del Estado para que se faculte al tesorero Municipal tramitar ante Finanzas de Jalisco el acceso al Fondo de Contingencias para pedir un apoyo de 7.5 millones de pesos y cubrir el pago pendiente de la nómina.
El Ayuntamiento ya interpuso una denuncia en la Procuraduría General de la República ( P G R ) .
3.1.4. La historia de Oreck
La preparación da buenos resultados
Ante los avisos del 27 de Agosto de un impacto directo del Huracán Katrina, la Oreck planea mudar las operaciones de su oficina principal y centro de datos en Nueva Orleans a sus instalaciones de fábrica y cali center de Long Beach, Miss., y viceversa. Estas operaciones serian complementadas por un centro de datos de apoyo en Boulder, C O , y un cali center en Denver. La Oreck no planeó tomar un impacto directo tanto en sus instalaciones de Nueva Orleans c o m o de Long Beach. Los esfuerzos de la Oreck enfatizan la importancia de hacer backup de datos importantes y tener personal de apoyo en localidades dispersas, tener la capacidad de desmontar la empresa a su mínimo esencial y disponer de personal que pueda improvisar incluso cuando los mejores planes fracasen.
sitio que regularmente toma el excedente de llamadas desde su cali center de Long Beach. Los empleados de la Oreck llevan todos los datos y documentos (datos de clientes, destinos de embarques e información de inventario) que la empresa necesitaría para recomenzar más tarde.
El 14 de Septiembre, equipos de limpieza lucharon contra el m o h o del agua de la tormenta en la planta de Long Beach de la Oreck. El sitio W e b de la Oreck está online nuevamente, pero hay atrasos de dos o tres semanas en los pedidos de Oreck.com. El desafío principal para la Oreck fue la comunicación: la BellSouth no disponía de un cronograma de instalación de las líneas necesarias para restablecer las comunicaciones. El C E O de Oreck está examinando otras localizaciones temporarias para sus instalaciones en Dallas en caso de que la empresa no pueda mudarse de vuelta para Nueva Orleáns rápidamente.
3.1.5. Morphy Richards
Continuidad de negocio ayuda a Morphy Richards a recuperrarse tras los dańos de inundación en sus instalaciones principales cuando el mal clima de diciembre dejó las instalacios de South Yorkshire inundadas, el staff tuvo que evacuar rápidamente las instalaciones.
El caudal del río Don cubrió el sitio instalada en Mexborough con aproximadamente dos pies de agua, afectando sus sitemas de TI dejando sus instalaciones inutilizables. Afortunadamente, Morphy Richards cuenta con un plan de continuidad de negocio en operación, por lo que pudo poner el procedimiento en acción, y contactó a su socio de continuidad Synstar International, quien arracnó el plan. EL proveedor de continuidad de negoció arrivo al sitio en 6 horas para controlar la situación y determinar el nivel de dańos. Debido al extenso nivel de dańos, se adaptaron instalaciones temporales en Rotherham, donde sistemas de TI de respaldo fueron instalados para correr las aplicaciones requeridas por Morphy Richards.
Trevor Burrows, jefe del departamento de T I en Morphy Richards, comentó: "La respuesta de nuestro proveedor de continuidad de negocio fue rápida y profesional. La cuesta hacia navidad es nuestra temporada de mayor actividad, y la respuesta inmediata de continuidad de negocio permitió mantener los sistemas esenciales en estatus operacional durante este período de altísima demanda. Después de perderlo t o d o en el sitio Mexborough, t o d o s los sitemas clave para el negocio estuvieron disponibles nuevamente en las siguientes 24 horas. Tener un plan de continuidad de negocio no es una opción, es esencial."
3.1.6. W T C , ataques del 11 de septiembre
Ese día de septiembre muchas compańías intaladas en los alrededores de las torres del W T C también sufieron dańos considerables, una de ellas fue Tucker Anthony Sutro, una correduría dedicada a inversionistas pequeńos. En la compańía labora Dennis Cassidy, oficial de información en jefe.
Una vez que estuvo fuera de peligro, Dennis contactó al consejo directivo de la compańía en San Francisco e inmediatamente entró en conferencia con ellos. La conversación que t o m ó lugar entre ellos no resultó en caos debido a que la compańía contaba con un plan de contiuidad de negocios instalado con 5 ańos de anterioridad, y probado rigurosamente en base anual.
Por lo tanto la compańía conocía el curso de acción a seguir para lograr la seguridad de los 300 empleados de la organización (todos ellos sobrevivieron), y para accesar la información crítica y reconstruir los sistemas que conectan sus tres ciudades concentradoras de las cincuenta sucursales en la región. El siguiente paso de Cassidy fue llamar a la unidad de continuidad de negocio y recuperación en IBM para hacer la declaración formal del desastre. Tucker Anthony Sutro regreso a un estado operacional en una ventana de 24 horas. Está claro que sin un plan de continuidad bien diseńado y probado la correduría habría salido del negocio o habría continuado pero con problemas serios.
Modelo Xipe
4.1. Origen del nombre
X i p e es un Dios de la mitología del México antiguo, venerado en las culturas maya y azteca. Representa la regeneración de la tierra, y por lo tanto es relacionado con la fertilidad, renovación y cambio[27]. Es conocido que la agricultura en aquélla época era una de las principales actividades, y la tierra por consiguiente era un elemento crítico para el desarrollo de la actividad y de la sociedad. En la actualidad la información es esa "tierra", y el m o d e l o xipe permite regenerarla. C o m o resultado de su aplicación la empresa entra en un proceso de renovación y adaptación a los cambios del mercado actual, logrando mayor competitividad.
xipe
4.2. Modelo
El modelo se c o m p o n e de 5 etapas, agrupadas en 3 actividades, que guiarán a la organización desde el inicio hasta la instalación y prueba de los controles o medidas determinadas. Estas etapas son iniciación, análisis de negocio, respuesta B C M , implementar el plan y finalmente mantenimiento y pruebas (Figura 4.2.)
Para facilitar la compresión del modelo y la tarea que realiza cada una de sus actividades, se puede establecer una analogía con algo conocido perfectamente por el hombre, el cuerpo humano. La relación sería de la siguiente manera:
• La etapa inicial corresponde a los ojos, indica hacia donde debemos ir y el camino que debemos tomar para llegar hasta ese punto.
• Análisis de negocio corresponde el cerebro, su función es analizar y realizar las mejores elecciones ante distintas situaciones.
• Respuesta B C M corresponde al sistema nervioso, es el medio que indica a todas las partes del cuerpo que acción deben realizar y en que momento.
• Las extremidades corresponden a la implementación, son las herramientas del cuerpo humano para realizar las acciones deseadas. • Finalmente revisión y mantenimiento equivale a mantener el cuerpo
humano en forma, es decir ejercitarlo y alimentarlo.
4.3. Etapa 1: Iniciación
Encausar y utilizar de forma correcta el esfuerzo y los recursos, respectivamente, requiere de una actividad de planeación. Omitir esta etapa puede resultar en una relación p o c o sana entre consumo de recursos y entrega de resultados.
»
ja o CQ
<
<
CD ce cu cu c o o CD cd tx Q_ ce cro m uj Ł oí JŁ E o CQ < < m ce ˇS ~ Q_ ce ce o CD LU CO CP CP "o lo CD cu CP co to O) cu cu cu O
co
CP CP
d "O
o CP
to to to o cu cu
o_ CP d
cu CJ o
~o .5= to o to _a CP
cu CP cu
cu 13
" Ł
CP rué SH_
d ta CP
cu ta En l Rea : JO O _o — o en ^ i_ (D i Q ^ < Ł E to o d d 'O cu O
'M CP
cu cu Q_ di di C3" O cu cu nte s CP C: cu CP errn í so o errn í Ł Ł . i De cu
"O CP
CU . i
CP CP CP os C_) cu cu Q_ :=, CP CP O co "O d cu CP cu d co CP SU. cí cu CP SO & .
cu c: cu CU 12 en d "O d CP co CP o
"O cu zn C_J co ~cü CD ~o to CO cu o "O CP "o "O cu co cu CD to CJ to cu C3 d Q. co di to
a— M ID "CP CP
5
H .SH es o. «9 O3
"2 2 85 "K Ł S 3E o LU <C "a oa . O O co
[image:50.612.121.499.97.593.2]sufrimiento financiero para las compańías propietarias y dolores de cabeza para el pesonal involucrado. En un estimado optimista 75 % de los proyectos se entregan tarde, con costo sobregirado, funcionalidad incompleta o son simplemente cancelados [20]. De acuerdo a Glen [20], algunas de las posibles causas de un porcentaje tan alto de fallas en los proyectos son:
• Falta de planeación. Sin una línea base no hay forma de determinar si un proyecto esta retrasado.
• Roles de equipo pobremente entendidos. Si no se han compredido los roles entonces no se ha comprendido las funciones de cada miembro del equipo ni sus responsabilidades, y t a m p o c o la forma en que se debe dar la interacción entre miembros, por lo tanto el trabajo en equipo adquiere una dificultad mucho mayor.
• Ausencia de dirigentes. Si los directivos no participan activamente en el proyecto muy probablemente obtendrán un resultado muy distinto al esperado.
• Falta de liderazgo. Sin liderazgo es muy difícil obtener un buen desempeńo del equipo.
• Metodología incorrecta. Si el equipo no cuenta con un enfoque apropia d o para desarrollar el proyecto muy probablemente tendrá problemas para hacerlo.
El modelo X i p e pretende aminorar o evitar las problemáticas citadas en el párrafo anterior a través de una etapa de planeación. Esta primera etapa esta conformada por tres pasos, la definición del proyecto, concientización y estrategia organizacional.
Objetivos
La etapa persigue dos objetivos principales. El primer objetivo es "entender al cliente" para así poder darle forma al proyecto. El segundo objetivo es involucrar y comprometer al personal de todos los niveles jerárquicos dentro de la organización, para facilitar el desarrollo del proyecto y al mismo tiempo difundir la cultura B C M .
• Directivos .
• Departamento de Difusión.
• Recursos Humanos.
Entregables
• Política B C M (Forma 1 A: Definición del proyecto).
• Listado de la información de contacto del staff que participará en el proceso.
• Calendario de actividades.
• Definición de equipos documentada.
4.3.1. Definición del proyecto
En todas las organizaciones la cantidad de recursos humanos, tecnológicos y económicos es limitada. Debido a esto, un proyecto de la organización no se puede extender indefinidamente en términos de tiempo ni en recursos utilizados.
En base a los recursos disponibles y a las necesidades, es necesario localizar un punto en el cual se tenga un balance entre ambos factores (Figura 4.3). Esta actividad es la definición del proyecto, se indica que áreas abarcará y bajo que restricciones. La tarea requiere de datos complementarios como fechas tentativas de inicio, entregas, pruebas y los responsables de cada parte del proceso.
Si se establece una analogía con algún deporte de conjunto, c o m o el basketball, p o d e m o s decir que se refiere a establecer los límites de la cancha, tiempos de juego, reglas, y los distintos roles c o m o arbitros, jugadores y entrenadores. Pero, no debe entrar en áreas c o m o estrategia de juego de los equipos, o las posiciones que ocupan los distintos jugadores, tareas que en el modelo X i p e pertenecen a las etapas 2 y 3.
Figura 4.3: Relación entre recursos y necesidades.
• Resulta más fácil administrar distintas tareas sencillas que una compleja, por lo que se debe planear en base a bloques pequeńos de actividades cada vez que sea posible.
Procedimiento
1. Reunir información importante. Requerida c o m o apoyo a lo largo del proceso. Ejemplos de esta información son los citados en la lista siguiente [3]:
Información requerida.
• Contratos con terceros que realizan alguna función importante para la organización (outsourcing).
• Información del árbol jerárquico de la empresa y el rol de cada puesto.
• Documentos con la misión, visión y objetivos de la empresa. • Información de las redes y servidores, referente sus funciones,
información contenida o procesada, frecuencia de mantenimiento, respaldos de información, etc.
[image:53.612.183.424.94.261.2]
![Figura 4.4: Ejemplo de estructura de comunicación [15].](https://thumb-us.123doks.com/thumbv2/123dok_es/4479848.36652/55.612.176.432.95.233/figura-ejemplo-de-estructura-de-comunicacion.webp)
