TESIS DE INSTITUTO Y DE ESTUDIOS

(1)

(2)

INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY

CAMPUS MONTERREY

PROGRAMA DE GRADUADOS EN ELECTRÓNICA.

COMPUTACIÓN, INFORMACIÓN Y COMUNICACIONES

T E C N O L Ó G I C O

D E M O N T E R R E Y TESIS

DESARROLLO DE UN MODELO DE USO UBRE PARA LA CONTINUIDAD OPERATIVA EN EMPRESAS MEXICANAS.

PRESENTADA COMO REQUISITO PARCIAL PARA OBTENER EL GRADO ACADÉMICO DE;

MAESTRÍA EN CIENCIAS EN TECNOLOGÍAS DE LA INFORMACIÓN

POR

DREYSER EGUÍA ARROYO

(3)

C A M P U S M O N T E R R E Y

P R O G R A M A D E G R A D U A D O S E N E L E C T R Ó N I C A , C O M P U T A C I Ó N , I N F O R M A C I Ó N Y C O M U N I C A C I O N E S

T E S I S

D E S A R R O L L O D E U N M O D E L O D E U S O L I B R E P A R A L A C O N T I N U I D A D O P E R A T I V A E N E M P R E S A S M E X I C A N A S .

P R E S E N T A D A C O M O REQUISITO PARCIAL P A R A O B T E N E R EL G R A D O A C A D É M I C O DE:

M A E S T R Í A EN CIENCIAS EN T E C N O L O G Í A S D E LA INFORMACIÓN

P O R

D R E Y S E R EGUÍA A R R O Y O

M O N T E R R E Y , N.L. JUNIO 2006

(4)

D E S A R R O L L O DE UN M O D E L O D E USO LIBRE P A R A LA C O N T I N U I D A D O P E R A T I V A EN E M P R E S A S M E X I C A N A S

por

D R E Y S E R EGUÍA A R R O Y O

T E S I S

Presentada al Programa de Graduados en Electrónica, Computación, Información y Comunicaciones

Este trabajo es requisito parcial para obtener el grado de Maestro en Ciencias en Tecnología Informática

I N S T I T U T O T E C N O L Ó G I C O Y DE ESTUDIOS SUPERIORES D E M O N T E R R E Y

JUNIO 2006

(5)

A mi Asesor Por su confianza y apoyo incondicional en todo momento.

A mis amigos y compañeros Gracias por su amistad, y apoyo durante este duro y difícil proceso. Ustedes han sido un gran impulso para mi.

(6)

Dedicatoria

A mi familia,

Especialmente a mis padres,

por la enorme ayuda y orientación

en mi lucha constante por

alcanzar un sueño.

(7)

1. Introducción 1

1.1. Planteamiento del problema 3

1.2. Contexto del problema 3

1.2.1. El factor PyMe en México 3

1.2.2. Situación de las empresas Mexicanas en cuestión de

Tecnología de Información 5

1.3. Hipótesis 7

1.4. Organización de la tesis 8

2. Marco teórico 9

2.1. Conceptos generales 9

2.1.1. Amenazas 9

2.1.2. El proceso de continuidad de negocio 11

2.1.3. Enfoque del modelo Xipe 19

2.1.4. Alcance del modelo Xipe 21

2.2. Continuidad de negocio vs Recuperación de desastres 22

2.3. Las PyMes mexicanas y B C P 23

3. Pruebas de campo 26

3.1. Casos de estudio 26

3.1.1. Huracán Katrina 26

(8)

ÍNDICE GENERAL ÍNDICE GENERAL

3.1.2. Fraude bancario a Banamex 27

3.1.3. El ayuntamiento de Tonalá, Chiapas 28

3.1.4. La historia de Oreck 29

3.1.5. Morphy Richards 30

3.1.6. W T C , ataques del 11 de septiembre 31

4. M o d e l o X i p e 33

4.1. Origen del nombre 33

4.2. Modelo 34

4.3. Etapa 1: Iniciación 34

4.3.1. Definición del proyecto 37

4.3.2. Concientización 40

4.3.3. Estrategia Organizacional 43

4.4. Etapa 2: Análisis de negocio 43

4.4.1. Análisis de impacto al negocio 46

4.4.2. Valoración de riesgos 53

4.5. Etapa 3: Respuesta Business Continuity Managment 59 4.5.1. Plan de administración de crisis ( C M P ) 60 4.5.2. Plan de reanudación de negocio ( B R P ) 61 4.5.3. Plan de respuesta a emergencias ( E R P ) 62

4.6. Etapa 4: Implementar el plan 63

4.6.1. Implementar políticas y controles 64

4.6.2. Entrenamiento de equipos 65

4.6.3. Pruebas iniciales 65

4.6.4. Monitoreo de cultura B C M 66

4.7. Etapa 5: Revisión y mantenimiento 67

4.7.1. Ejecución de pruebas y mantenimiento 68

5. Conclusiones y trabajo futuro 70

(9)

5.1. Resultados 70

5.2. Conclusiones 71

5.3. Trabajo Futuro 73

6. Anexos 74

6.1. Formas del cuestionario BIA 74

6.2. Formas de valoración de riesgos 80

6.3. Ejemplos de reportes BIA y R A 82

6.4. Ejemplos de planes de respuesta B C M 89

(10)

índice de figuras

1.1. Aporte de PyMes a la economía nacional 4

1.2. Análisis retrospectivo del capítulo 7

2.1. Clasificación de las amenazas 10

2.2. Enfoque de Insight 14

2.3. Etapas según A N A O 17

2.4. Etapas según NIST 20

2.5. Enfoque Xipe 21

2.6. Relación entre B C P y D R P 24

4.1. Logotipo Xipe 33

4.2. Etapas del modelo Xipe 35

4.3. Relación entre recursos y necesidades 38

4.4. Ejemplo de estructura de comunicación [15] 40

4.5. Procesos de una abarrotera pequeña 47

4.6. Procesos de una cadena de abarroteras 48

4.7. Análisis de impacto al negocio 50

4.8. Ejemplo de árbol de procesos 54

4.9. Etapas de valoración de riegos 55

4.10. Categorías de amenazas de acuerdo a impacto y probabilidad. 57 4.11. Acción de los planes durante la vida de un incidente 60

(11)

6.1. Forma de listado de procesos 75 6.2. Forma de listado de procesos, clasificación de procesos 76

6.3. Forma de impacto a la organización 77

6.4. Forma de impacto a terceros 78

6.5. Forma de dependencias y recuperación 79

6.6. Forma de valoración de riestos 81

6.7. Mapa de procesos críticos 83

6.8. Categorías de amenazas de acuerdo a impacto y probabilidad. 84 6.9. Reporte R A , clasificación de amenazas 87

6.10. Reporte R A , controles sugeridos 88

6.11. Acción de los planes durante la vida de un incidente 89

6.12. Configuración del árbol de llamadas 92

6.13. Configuración de la red 95

6.14. Plan de evacuación 99

(12)

índice de cuadros

1.1. Empresas nacionales registradas 4

1.2. Clasificación de empresas por tamaño 4

1.3. Establecimientos que cuentan con equipo de cómputo por sector de actividad económica según tamaño del establecimiento

(porcentaje) [21] 6

1.4. Establecimientos con equipo de cómputo por sector de actividad económica según disponibilidad de conexión a red

[22] 7

2.1. Relación entre amenazas y propiedades de la información. . . . 11

4.1. Escala para la probabilidad de ocurrencia 58

4.2. Escala para el nivel de impacto 58

6.1. Escala para la probabilidad de ocurrencia 85

6.2. Escala para el nivel de impacto 85

(13)

Introducción

En un mundo comercial día a día más competitivo, toma cada vez mayor peso el valor de la información. Es la base para la toma de decisiones, es la diferencia entre ir un paso adelante o detrás de la competencia. Por esta razón, debe estar disponible en la operación diaria de cualquier organización competitiva. Esta investigación propone un modelo guía para diseñar una estrategia de información disponible la mayor parte del tiempo (conocida como continuidad de negocio), enfocado hacia las empresas de tamaño pequeño y mediano, empresas en crecimiento que requieren herramientas de bajo costo para abrirse paso hacia sus metas.

La vida empresarial es una batalla sin cuartel, una batalla constante en la cual un simple descuido puede cambiar su rumbo e incluso definir su resultado. De acuerdo a estudios realizados por A T & T en Estados Unidos, en relación a incidentes y su efecto en las empresas de este país, se obtuvieron los siguientes datos [4]:

• 1 6 % ha perdido entre US$100 mil y US$500 mil por día y un 2 6 % no sabe el costo de parar la empresa por día.

• Más del 40 % de las empresas no cuenta con servidores de respaldo para sus procesos críticos.

• Casi dos tercios de las compañías que enfrentaron un desastre perdieron el negocio.

(14)

CAPÍTULO 1. INTRODUCCIÓN

• De acuerdo a Gartner Group 2 de cada 5 compañías que enfrentan una catástrofe nunca continúan operando y de las que lo logran una tercera parte sale del negocio en los siguientes 2 años [17].

Tomando como parámetro los datos emitidos por el estudio de A T & T es posible establecer la importancia de un proceso de continuidad de negocio.

Sin embargo dichos datos pueden llevar a creer que implican ocurrencia de catástrofes mayores. Cuando realmente la gran mayoría de las amenazas que enfrentan las organizaciones son incidentes comunes en su operación.

Analizando las empresas de interés para este estudio, el sector de las empresas pequeñas y medianas (PyMes), existe un patrón de estos incidentes comunes que se repite constantemente:

• Generalmente son administrados a prueba y error por los dueños, que en muchas ocasiones carecen de los conocimientos especializados en el área de tecnología de la información (TI). [32]

• No contratan personal especializado y capacitado en el área de TI por no poder pagar altos salarios [32]

• El 35 % de los problemas de una P y M e es la necesidad de crédito, pero el otro 65 % es administración [19]

• Viven al día y no pueden soportar períodos largos de crisis en los cuales disminuyen las ventas [32]

• Dificultad para acceder a recursos financieros [32]

La importancia de contar con herramientas y conocimientos especializados en TI, radica en la diferencia que hace el factor información a la hora de tomar las decisiones, tanto en situaciones de desastre como en situaciones cotidianas, dado que de estas decisiones depende la sobrevivencia y el crecimiento de la organización.

Citando a Benítez[7] "Cada minuto en la operación diaria de un negocio se toman decisiones, la mayor parte de esas decisiones son tomadas con información o cierta intuición de los empleados, mientras más usamos la información y los hechos, y menos utilizamos la intuición, se puede estar más seguro de haber tomado una buena decisión".

(15)

1.1. Planteamiento del problema

Como se verá en el capítulo 2, las PyMes conforman la columna vertebral de la economía de cualquier país. Sin embargo como es de suponerse muchas de estas organizaciones de tamaño pequeño y mediano luchan constantemente contra limitantes de orden económico y tecnológico. Generalmente estos dos factores están fuertemente ligados entre si, el mejorar o empeorar en uno de ellos nos lleva a crecer o disminuir en el otro.

1.2. Contexto del problema

Para fijar el alcance del estudio a México exclusivamente es necesario presentar el contexto. Comenzando por la definición de empresa mediana y su peso en la economía nacional.

1 . 2 . 1 .

El factor PyMe en México

En un país en desarrollo como México, el peso que tienen las PyMes para el desarrollo del país es muy importante representa aproximadamente el 45 % del producto interno bruto y 30 % de la generación de empleos. Este sector empresarial requiere de tecnología de información para ser productivo y continuar e incluso incrementar su aporte a la economía nacional.

La dependencia de nuestra economía hacia este sector, mencionada en el párrafo anterior se refleja en los datos emitidos por la secretaría de economía (Fig. 1.1) [12]:

Por número de empresas registradas también conforma una parte importante del la economía nacional. De acuerdo a datos emitidos por la secretaría de economía (cuadro 1.1), más del 7 % de las empresas registradas pertenecen a las PyMes, en contraste con el 1 % de las empresas grandes[ll].

Una P y M e se define de acuerdo al número de trabajadores con los que cuenta(Ley de desarrollo de la competitividad de la micro, pequeña y mediana empresa) [24]. Existen 4 grupos, esta clasificación se presenta el cuadro 1.2

A pesar de la influencia de las PyMes en la economía existen carencias tecnológicas propias de un país en vías de desarrollo, y para reducirlas se

(16)

Empleo

Figura 1.1: Aporte de PyMes a la economía nacional.

Cuadro 1.1: Empresas nacionales registradas.

Micro Pequeña Mediana Grande Total Registradas

Porcentaje

565,730 91.50%

35,966 5.82%

10,855 1.76%

5,734 0.93%

618,285 100.0%

Cuadro 1.2: Clasificación de empresas por tamaño.

Industria Comercio Servicios Micros

Pequeñas Medianas Grandes

Hasta 10 11 a 50 51 a 250 251 y más

Hasta 10 11 a 30 31 a 100 101 y más

Hasta 10 11 a 50 31 a 100 101 y más

(17)

requieren apoyos en diferentes aspectos sobre este sector.

En México, de acuerdo a estudios realizados [28], existen problemas particulares aunados a citados en la introducción :

• Sector poco estudiado por los investigadores e instituciones públicas y privadas.

• Ausencia de una cultura de calidad que permita competir en forma favorable en el mercado.

• Acceso limitado a la información y capacitación.

• No se encuentran preparadas para la globalización.

Por lo tanto, el sector empresarial centro de este estudio(PyMes) requiere apoyo en diversas áreas, entre ellas la tecnológica. Este apoyo debe ser de bajo costo a manera que sea accesible tanto por organizaciones de recursos limitados como por organizaciones establecidas con recursos disponibles. Esta es el área de oportunidad que se ataca en esta investigación, busca proveer una herramienta tecnológica de uso libre que ayude a las organizaciones a prepararse para combatir las viscisitudes de su operación diaria y por consiguiente obtenga mejores posibilidades de subsistir y crecer eventualmente en un mundo comercial cada vez más competitivo y demandante.

Resumiendo, el objetivo principal de este desarrollo es crear una metodología gratuita para implementación de un proceso de continuidad del negocio en las PyMes mexicanas (llamada modelo Xipe).

1.2.2. Situación de las empresas Mexicanas en cuestión de Tecnología de Información

En las secciones anteriores se han expuesto ideas acerca de la importancia de proteger la información de una empresa a través de un proceso de continuidad de negocio y el peso sobre la economía nacional del sector de las medianas y pequeñas empresas. Finalmente, y para fijar el punto de partida del presente estudio, es necesario relacionar ambas ideas. Es decir, definir la situación actual de las empresas en términos de tecnología de información.

(18)

Cuadro 1.3: Establecimientos que cuentan con equipo de cómputo por sector de actividad económica según tamaño del establecimiento (porcentaje) [21].

Sector de actividad Grandes Medianos Pequeños

Servicios 94.6 63.5 21.1

Comercio 96.1 69 23.6

Manufacturas 99.1 98.9 61.9

Construcción 99.6 98.3 96.5

Agroindustria 100 99 86.9

De acuerdo a información proporcionada por el INEGI, la situación del sector privado en cuanto equipo de cómputo utilizado en sus tareas cotidianas es la presentada en el cuadro 1.3:

Las empresas medianas y pequeñas tienen una dependencia considerable de los sistemas de tecnología de información, las 5 áreas de estudio promedian un uso de 85 % en cuanto a medianas y 5 7 % para las empresas pequeñas, sin embargo hay que tener en cuenta que los datos son del año de 1999, por lo que las cifras se pueden haber incrementado notablemente.

Al unir la información del cuadro anterior con la información de la sección

"El factor P y M e en México", en donde se aclara el aporte de las PyMes (En suma aportan más del 40 % al PIB y 30 % a la generación de empleo), emerge una clara idea acerca del peso que tienen los sistemas de información para el desarrollo económico del país.

Otra parte fundamenta de los sitemas de información son las telecomunicaciones, que también se encuentran suceptibles de ataques o fallas. De acuerdo a lo explicado durante el desarrollo del modelo Xipe, los sistemas de información se encuentran expuestos a distintos tipos de amenazas de orígenes y magnitudes muy variados. Sin embargo con la proliferación de la internet en la iniciativa privada durante los últimos años un tipo de amenaza ha cobrado fuerza considerable, el crimen cibertnético.

Según estadísticas del INEGI del año de 1999, de los establecimientos con equipo de cómputo, solo algunos cuentan con acceso a internet, cuadro 1.4.

Finalmente a través de una análisis retrospectivo: la economía nacional se sustenta sobre la productividad de las empresas, éstas a su vez basan en gran

(19)

Cuadro 1.4: Establecimientos con equipo de cómputo por sector de actividad económica según disponibilidad de conexión a red [22].

Sector Con equipo de cómputo Con conexión Sin conexión

Total 1,089,260 243,081 845,657

Comercio 480,500 75,017 405,075

Servicios 318,153 67,631 250,506

Manufacturas 276,434 96,676 179,702

Construcción 11,912 2,774 9,096

Agroindustria 2,261 983 1,278

medida su funcionamiento en tecnología de información y telecomunicaciones (TIC), como resultado de su operación normal T I C sufre de amenazas y fallos, sin embargo pueden ser mitigados a través de un proceso de continuidad de negocio. La cadena se expone en la figura 1.2.

Figura 1.2: Análisis retrospectivo del capítulo.

1.3. Hipótesis

Demostrar que es importante que las empresas pequeñas y medianas cuenten con una metodología sencilla y fácilmente aplicable para implementar un proceso de continuidad de negocio en su operación diaria.

(20)

1.4. Organización de la tesis

Este documento está organizado en seis capítulos. El primero de ellos es el actual que comprende la introducción al tema. En el capítulo número dos se presenta el marco teórico, es decir, los antecedentes, la exposición de conceptos básicos para el desarrollo del modelo de continuidad del negocio, así como modelos similares y sus características. En el capítulo tres se presentan casos de estudio. En el cuarto capítulo se explica a detalle el modelo de de continuidad de negocio Xipe. En el capítulo cinco se presentan las conclusiones y trabajo futuro.

(21)

Marco teórico

2.1. Conceptos generales

2.1.1. Amenazas

A lo largo del presente documento se utilizan bastante dos palabras utilizadas indistintamente, riesgo y amenaza, para evitar ambigüedad en su interpretación, se presenta una definición en el contexto de la continuidad de negocio:

Un riesgo es todo aquel problema potencial que pueden experimentar el sistema o sus usuarios, y esta constituido básicamente de 3 características

[8]:

• Impacto. El evento tiene un efecto, ya sea negativo o positivo, una pérdida o ganancia asociada, puede ser una monetaria, de imagen en el mercado, de tiempo, etc.

• Probabilidad. Cada riesgo tiene una cierta probabilidad de ocurrencia implícita, que, como en cualquier otra área, se encuentra en el rango de 0 a 1, cuando su valor es muy cercano o igual a 1, entonces se dice que tenemos un problema.

• Control de riesgo. Definir las acciones que se pueden tomar para evitar o mitigar los efectos del impacto.

(22)

CAPÍTULO 2. MARCO TEÓRICO

Existe una clasificación de las amenazas de acuerdo al daño que causa sobre la información, dicha clasificación consta de 5 grandes áreas 2.1 [18]:

Ametistas

• Incendios

• Inundaciones

• Eventos sociales radicales

• Robo de información

• Mal funcionamiento de equipo

• Pérdida de valores intelectuales

• Etc.

ValCfBa de mionraoón

< /

<3>

JHI

Resultan en

Modificación de la información

Robo de información Destrucción de información Revelación de información Interrupción de servicios

Figura 2.1: Clasificación de las amenazas.

1. Destrucción de la información. Es cuando la información deja de existir para los individuos y entidades legales que tienen derechos sobre la misma.

2. Modificación de información. Se refiere a la alteración malintencionada y deliberada de información, se puede considerar como una destrucción parcial de la información.

3. Robo o pérdida de información. Se da por una extracción y / o remoción de información ya sea deliberadamente o accidentalmente.

4. Revelación de información. Tiene por objetivo filtrar hacia el exterior información que debido a su sensibilidad es considerada con confidencial por la organización.

5. Interrupción de servicios. Esta situación se presenta cuando uno o más de los servicios ofrecidos encuentran un impedimento para continuar con su funcionamiento normal, por lo que los clientes del servicio pierden la facultad de uso del mismo.

(23)

Cuadro 2.1: Relación entre amenazas y propiedades de la información.

Confidencialidad Disponibilidad Integridad

Destrucción X X

Modificación ^X ^X

Robo/Pérdida X

Revelación X

Interrupción X

Estas amenazas a los valores de información pueden resultar en daños a uno o de mas de los tres factores determinantes en un sistema de tecnología de información:

1. Confidencialidad. Es el objetivo de seguridad que genera el requerimiento de protección de intentos accidentales o intencionales para realizar lecturas de datos no autorizadas. Protege los datos en almacenamiento, procesamiento y durante su tránsito [30].

2. Integridad. Propiedad de los datos que asegura que no han sido alterados de una manera no autorizada. Aplica a los datos en almacenamiento, procesamiento y durante su tránsito [30].

3. Disponibilidad. Objetivo de seguridad que genera el requerimiento de protección contra remoción no autorizada de datos intencional o accidentalmente, busca evitar la negación de servicios [30].

Realizando un mapeo entre los diferentes tipos de amenazas y sus efectos resultantes se obtiene la información presentada en el cuadro 2.1:

2.1.2. El proceso de continuidad de negocio

Se refiere a la tarea de analizar el funcionamiento de una organización desde un punto de vista de procesos para determinar sus elementos vitales y protegerlos con el objetivo de minimizar el impacto de los eventos adversos y lograr un funcionamiento ininterrumpido en la medida de lo posible del área de IT de la organización.

(24)

CAPÍTULO 2. MARCO TEÓRICO

De acuerdo a otros autores el proceso de continuidad de negocio se puede definir como:

"Es el proceso mediante el que los planes son puestos en su lugar y administrados para asegurar que los servicios de IT se puedan recuperar y continuar en operación si un incidente serio ocurriera. No se trata simplemente de medidas reactivas, si no también proactivas "[26].

"Es ampliamente definido como un proceso de negocio que busca asegurar que las organizaciones sean capaces de soportar cualquier interrupción al funcionamiento normal" [16].

Contar con un proceso de continuidad de negocio provee a la organización con una herramienta muy poderosa para mantener las propiedades básicas de la información (disponibilidad, confidencialidad e integridad). Existen diferentes enfoques acerca de como alcanzar esta meta, desarrollados por empresas u organizaciones con experiencia amplia en el área, a continuación se muestran 3 de ellos:

Para Insight Consulting [10], consta básicamente de 4 partes (fig. 2.2):

1. Iniciación. Un paso clave en el desarrollo del plan es confirmar su alcance, de manera que se puedan conocer los aspectos de la organización que deberán ser incluidos en el proyecto. También se identificará el staff y las ubicaciones de las oficinas, así como organizaciones ajenas que deberán ser incluidas. Y finalmente definir roles, equipos de trabajo y fechas.

2. Requerimientos y estrategia. La siguiente actividad corresponde a el análisis de impacto de negocio o BIA (por sus siglas en inglés), se pretenden identificar los procesos críticos del negocio, el impacto potencial que pueden sufrir después de diferentes niveles de interrupción, los requisitos mínimos para mantener y reestablecer esos procesos clave. En seguida se conduce una valoración de riesgos, donde se identifican amenazas y vulnerabilidades. Como resultado de esta etapa se obtiene una combinación de medidas de reducción de riegos y opciones para la recuperación del negocio.

3. Implementación. Considera distintos aspectos como las opciones con que se cuenta si se desea contratar un servicio de outsourcing para ubicaciones temporales de oficinas. En esta etapa se desarrollan

(25)

detalladamente los planes de continuidad de negocio y de recuperación de desastres para los procesos del negocio y los sistemas de TI. Estos deben incluir cualquier programa de reducción de riesgos necesario para contrarrestar las amenazas y vulnerabilidades identificadas. Otro componente esencial del plan es desarrollar una estructura de control y administración de crisis, ya que actuar inmediatamente después de algún incidente puede marcar la diferencia en la reputación de la empresa. Finalmente se establece y ejecuta un plan de pruebas para verificar que se cumpla con los objetivos fijados.

4. Administración operacional. El mantenimiento de un entorno B C M es vital para asegurar su efectividad. En este último paso se definen los procedimientos necesarios para lograr este mantenimiento en un esquema día a día. Incluye revisiones regulares de la estrategia e integración con los cambios en los procesos de administración para asegurar la consistencia. Como componente final de un B C M efectivo se necesita una fuerza de trabajo entrenada, por lo que se organizan programas de concientización a través de distintas técnicas.

De acuerdo con la Australian National Audit Office [5] y su guía de mejores prácticas, las etapas son 6 (fig. 2.3):

1. Iniciar el proyecto. El plan se debe preparar documentando los objetivos, alcance y límites. El administrador, o comité administrador responsable del proyecto deberá aprobar el plan, incluido el presupuesto. El plan no necesita ser demasiado largo o detallado, sino reflejar el tamaño complejidad de los problemas de continuidad de negocio en la organización.

También se establecen roles y responsabilidades, además de referenciar cualquier material o documentación existente que resulte relevante.

2. Identificar los procesos clave. La entrada principal para el BIA en el paso 3 es una lista, ordenada de acuerdo a su importancia, de los procesos clave esenciales para alcanzar los objetivos del negocio.

Cada proceso se identifica en términos de las actividades emprendidas y los recursos consumidos por esas actividades. Para realizar este segundo paso se requieren 3 actividades:

(26)

Enfoque insight Consulting

f

Iniciación q es»

'C 5

y*

( Análisis de impacto a negocio ( Valoración de riesgos

| Estrategia de continuidad de negocio

3

( Planeación de organización e imptementación ) Implementar

arreglos stand-by

Desarrollar planes Recuperación de

negocio Admon. de crisis

Implementar medidas de reducción de

riesgos Desarrollar procedimientos

Pruebas inicíales

C5 c o

i

Educación

y alerta Revisión i Pruebas

r Admon. del Entrena "\

s cambio miento

J V J ^}

Aseguramiento

Figura 2.2: Enfoque de Insight.

(27)

a) Establecer y priorizar los procesos claves del negocio.

b) Mapear las actividades emprendidas dentro de cada proceso.

c) Relacionar los recursos con las actividades.

3. Análisis de impacto de negocio. Se analiza la información del paso 2, y se obtienen los impactos operacional y financiero que resultarían de interrupciones a, o pérdidas de, un procese de negocio valorado. A partir de aquí se determina el máximo período fuera operación permisible para los procesos y recursos críticos. Es decir cuanto tiempo se puede sobrevivir sin la actividad o el recurso crítico antes de que tenga un efecto perjudicial.

El análisis de impacto operacional y financiero comienza con una serie de entrevistas con los administradores de las actividades y recursos críticas. El análisis debe estar basado en una interrupción en la cual todas las actividades y recursos no estén disponibles. Asumir el peor caso, asegura que todos los impactos son considerados.

4. Diseñar tratamientos de continuidad. Este paso identifica los tratamientos a dirigir y, de los cuales pretendemos minimizar sus efectos. El análisis de tratamiento identifica los requerimientos para asegurar la disponibilidad continua de los procesos y recursos clave durante una interrupción. Se forman recomendaciones para cada área de servicio basadas en las opciones de tratamiento seleccionadas, y donde se identifique se hacen recomendaciones para mejoras en los procesos de negocio a ser implementados. El resultado de este análisis forma la base para el plan de continuidad de negocio.

5. Implementar los tratamientos de continuidad. La selección de trata- mientos de continuidad y recuperación guiarán a: " Implementación de procedimientos para apoyar la recuperación de una interrupción

"Documentación de los arreglos de recuperación. Los procedimientos implementados deben ser tanto preparatorios como reactivos. Esto implica colocar controles que mitiguen las consecuencias de una interrupción. Tres de los controles más importantes son respaldo de procesos, administración de registros y arreglos formales de contingencia con partes externas.

C o m o parte final de este paso se prepara el BCP. Un B C P es una compilación de planes individuales de recuperación y contingencia,

(28)

reunidos con un plan de administración para coordinar los planes inferiores. Contempla la interrupción del negocio desde la respuesta al desastre inicial hasta el punto en el que se cuenta con operación normal.

6. Probar y mantener el plan. La revisión del B C P es esencial para asegurar que refleje los objetivos de la organización, sus funciones clave, los procesos y recursos correspondientes y una prioridad acordada de recuperación. Las pruebas y mantenimiento de el proceso de recuperación documentado en el B C P provee la seguridad administrativa de que el plan es efectivo.

De acuerdo a NIST [26] las etapas son las listadas a continuación (fig.

2.4):

1. Identificar las funciones críticas. Proteger la continuidad de misión o de negocio de una organización es muy difícil si no esta claramente identificado. Es necesario comprender el funcionamiento de la organización desde un punto de vista global. Esta definición de las funciones críticas para la misión o negocio se llama plan de negocios.

Ya que el plan de negocios será usado para apoyar la planeación de contingencia es necesario también asignar prioridades a las funciones críticas. Ya que no se podría establecer redundancia para cada función debido al costo.

2. Identificar los recursos que apoyan las funciones críticas. Esta actividad consta de identificar los recursos, los tiempos en que son usados (por ejemplo si es usado constantemente, solo mensualmente, etc), y el efecto que tiene la indisponibilidad del recurso. Un problema común en este paso es que distintos administradores supervisan diferentes recursos.

Quizá no tengan claro como los recursos apoyan a las funciones del negocio. El análisis deberá ser llevado por alguien que entienda como se ejecuta la función y las dependencias entre los recursos, así como otras relaciones críticas.

3. Anticipar contingencias o desastres potenciales. Aunque es imposible contemplar todas las cosas que podrían salir mal debemos identificar al menos un rango con las más probables. El desarrollo de escenarios

(29)

Enfoque ANAO

o 5 o

i? a.

£ <u

•o

c

Documentar objetivos, alcance, limites Establecer presupuesto y tiempos

5 SP

= 5

11

Identificar objetivos clave de negocio Identificar productos clave de negocio Alinear procesos dave con productos clave

Entender actividades, recursos y dependencias clave

ra

g

_ra

en o

Identificar persona! clave

c

Agendar y conducir entrevistas

Documentar preocupaciones, prioridades y expectativas ) (T3'e'témwiFt«OT^

T> «5 TÍ

S

_{£ C}

S

³

c sa

5 § 5 »

Revisar controles existentes Identificar y evaluar opciones Seleccionar actividades y recursos alternos

Implementar medidas

D D 1 ™'

^ ^ ^ J o.

le

⁸

Establecer equipos de recuperación

Z j

Documentar pasos de servicio y acción ) ( Obtener listas de contacto e inventario ") ( Documentar el proceso de admon. de recuperación )

I

^I

•E o.

I - *

C

Prueba en papel

Verificación manual

c

Validación de proveedores

( Disponibilidad de proveedores, servicio y equipo"

Caminata estructurada Reunir equipo sin previo aviso

Figura 2.3: Etapas según A N A O .

(30)

nos ayuda a desarrollar un plan para dirigir el amplio rango de cosas que podrían salir mal. Los escenarios deben incluir contingencias tanto grandes como pequeñas.

Hay algunos escenarios que pueden resultar obvios, sin embargo, muchos otros no, para estos se requiere imaginación e investigación.

Estos escenarios deben contemplan cada uno de los recursos del paso anterior.

4. Seleccionar las estrategias de planeación. El objetivo de este paso es conocer como se van a recuperar los recursos necesarios. Para evaluar las alternativas es necesario considerar los controles para prevenir y minibar las contingencias. Ya que no se pueden prevenir todas las contingencias es necesario coordinar esfuerzos entre prevención y recuperación.

Una estrategia de este tipo normalmente consta de 3 partes: respuesta a emergencias, recuperación y reanudación. La primera parte engloba las acciones iniciales para limitar el daño. Recuperación se refiere a los pasos a seguir para continuar con el apoyo a funciones críticas.

Reanudación es el regreso a un estado de operación normal. La selección de las estrategias se debe basar en consideraciones prácticas, incluyendo viabilidad y costo, también se deben considerar las diferentes categorías de recursos.

5. Implementar las estrategias de contingencia. Se compone de tres actividades: la implementación en si, documentación y entrenamiento del personal. Implementación debe considerar principalmente dos cosas

¿cuántos planes se van a desarrollar? Y ¿quién va a preparar cada plan?

La documentación es mantener en forma escrita el plan, mantenerlo actualizado y en un lugar seguro. El entrenamiento se refiere a capacitar al personal para realizar sus funciones de contingencia correspondientes de manera correcta. 6. Probar y revisar el plan. El plan debe ser probado periódicamente para identificar y corregir fallas. Se debe asignar específicamente la responsabilidad de mantener actualizado el plan. La parte de pruebas se puede realizar de diferentes maneras: revisiones, análisis y simulaciones. Revisión se refiere a la documentación, es decir verificar que los datos contenidos como números de teléfono, identificadores de cuartos, etc., sean correctos. Análisis se puede aplicar a todo el plan o a ciertas porciones, es recomendable que lo realice

(31)

alguien ajeno a la elaboración del plan, con la finalidad de encontrar fallas de planeación. La simulación se basa en emular eventos de desastre para probar la reacción del plan.

6. Pruebas y revisiones. Un plan de contingencia contiene indudablemente fallas en el diseño y en la implementación, por lo tanto deberá ser probado periódicamente para detectar y erradicar estas fallas. Se debe asignar a un responsable del mantenimiento del plan.

Además de las organizaciones citadas anteriormente existen otras que también ofrecen información acerca del Continuidad del Negocio, algunos ejemplos de ellas son:

• The Business Continuity Institute. "Business Continuity Management G o o d Practice Guidelines" [6]

• British Standards Institution. "PAS 56 Guide to Business Continuity Management" [9]

2.1.3. Enfoque del modelo Xipe

Dentro de la estructura de una organización existen 4 áreas o elementos candidatos a protegerse con BCP:

• Información. Datos digitales o impresos, ya sea que se encuentren almacenados, siendo procesados o en movimiento (por ejemplo a través de la red).

• Infraestructura tecnológica. Elementos tecnológicos necesarios para la operación de la organización, por ejemplo servidores, red de computadoras, teléfonos, software, etc.

• Infraestructura no tecnológica. Elementos no tecnológicos como vias de acceso a las instalaciones de la organización, el edificio mismo, etc.

• Recurso humano. Se refiere al staff de la organización, clientes, terceros, etc.

(32)

CAPÍTULO 2. MARCO TEÓRICO

Enfoque NIST

Identificar funciones criticas Identificar funciones criticas

f Identificar funciones críticas "j Identificar funciones criticas

o- 2? Recursos humanos )

a .1

_o ^• Capacidad de procesamiento

)

i r i

?r V) 3 5 «5 Sí ¿ —

Aplicaciones automatizadas y datos )

?r V) 3 5 «5 Sí ¿ —

í= ™

^'5

21

~ 9

Servicios basados en computadoras

)

í= ™

^'5

21

~ 9

Infraestructura

)

í= ™

^'5

21

~ 9 ^/• Documentos

)

o tí! V>

1 Anticip ' cortigenc desastr potencie

Anticipar contigencias o desastres potenciales

)

1 Anticip ' cortigenc desastr potencie m Q>

2t c

«8 < ¡

Recursos humanos )

m Q>

2t c

«8 < ¡ m Q>

2t c

«8 < ¡ ^• Capacidad de procesamiento )

Í2 '<•> !fi ra

Í2 '<•> !fi ra (' Aplicaciones automatizadas y datos )

| 5

o °-

'8-8

| 5

o °-

'8-8

(. Servicios basados en computadoras )

| 5

o °-

'8-8

^{ Infraestructura )

c

Documentos )

Implementar estrategias oe contingencki Implementar estrategias oe contingencki

<" Implementación

)

Implementar estrategias oe contingencki

( Documentación )

( Entrenamiento )

«>

J3 ro

«>

J3 ro ^<&

c:

^Pruebas ⁾

w

c

Revisiones

CL

Figura 2.4: Etapas según NIST.

(33)

Estos cuatro elementos resultan de crucial importancia para el un sano funcionamiento de la organización, la relación existente entre ellos tiene incidencia directa sobre el desempeño. Por lo tanto la falta o falla de alguno mermaría la competitividad y desarrollo. Se puede considerar que los cuatro tienen un nivel similar de importancia dado que requieren de los demás para realizar su función.

Para la implementación de continuidad de negocio Xipe considera un enfoque con información e infraestructura tecnológica como la base del análisis, y los otros dos elementos (Infraestructura no tecnológica y recurso humano) como apoyo para mantener un status funcional (fig. 2.5).

Continuidad de negocio

Recurso Humano Infraestructura no

tecnológica

Información Infraestructura Tecnológica

Figura 2.5: Enfoque Xipe.

2.1.4. Alcance del modelo Xipe

De acuerdo al enfoque presentado del modelo, se busca su aplicabilidad en organizaciones para las cuales sus sistemas de información tienen un peso de considerable a crítico para su operación diaria. Por esta razón su rango de aplicabilidad se ve reducido. A continuación se presenta una lista organizada

(34)

por actividad de las organizaciones paras las que el modelo es 100 % aplicable, sin embargo, su uso no esta limitado a la lista.

• Centros de salud. Requieren mantener los registros de historias médicas, cargos al paciente, datos del paciente, etc.

• Negocios basados en internet. Debido a que están expuestos a ataques de cualquier parte del mundo, además de que están diseñados para operar las 24hrs del días.

• Medios de comunicación. A través de las redes se mantienen actualizados de las noticias, además de que necesitan la infraestructura tecnológica para entregar sus servicios.

• Empresas de diseño y publicidad. Debido a que utilizan en gran medida TI para entregar sus productos.

• Empresas dedicadas a servicios de TI. Por ejemplo fábricas de software, empresas de telecomunicaciones, hospedaje de sitios web, etc.

• Instituciones financieras. Debido a que la infraestructura de TI resulta crítica para su operación.

• En general podemos decir que aplica en cualquier empresa que dependa en forma importante de su infraestructura de TI y / o información.

2.2. Continuidad de negocio vs Recuperación de desastres

Existen diversas técnicas actualmente para proteger el proceso de negocio de una empresa. Dos de los más importantes son continuidad de negocio y recuperación de desastres. Estos dos términos pueden ser fácilmente confundidos debido a sus similitudes, sin embargo, son diferentes e incluso complementarios.

Para aclarar el concepto a continuación se presentan las características más importantes de recuperación de desastres [25]:

• Utiliza principalmente un enfoque reactivo.

(35)

• Busca establecer medidas para proteger y recuperar los elementos más importantes de la organización.

• Incluye en su estudio comunicaciones, recurso humano, flujos de trabajo, interacción entre estos elementos, etc. Es decir busca identificar que y quien resulta crítico, deseable, etc.

• Generalmente presenta resultados en términos de tiempo. Tiempo de control del incidente, de recuperación, regreso a operación normal, etc.

C o m o se expone en el resto de este documento, continuidad de negocio tiene básicamente las mismas características citadas anteriormente, existe una gran diferencia, localizada en el enfoque. Continuidad de negocio planea en forma visionaria, busca estudiar todos las posibles variantes que pudieran afectar la operación, incluyendo mercado, legales, sociales, etc.

A pesar de las similitudes y diferencias expuestas, las dos técnicas no son excluyentes, contrario a lo que se podría pensar son complementarias (fig 2.6). Continuidad de negocio analiza la situación desde un punto de vista global, lo cual implica una visión más amplia, implica involucrar todas las funciones de negocio. Por otro lado, recuperación de desastres se enfoca en rehabilitar el núcleo de la empresa, es decir la infraestructura de TI.

La relación consiste en la necesidad de la continuidad de negocio de mantener funcional la infraestructura de TI, o en caso de desastre, recuperar el estado operacional a la brevedad posible.

2.3. Las PyMes mexicanas y BCP

A pesar de que actualmente existen diferentes modelos, la mayoría de los esfuerzos de las organizaciones citadas anteriormente se encuentran bajo la premisa de funcionar como una plantilla genérica, es decir lograr su aplicabilidad a empresas de cualquier tamaño y giro, cuando la brecha existente entre los problemas de una pequeña empresa y una grande puede ser abismal. El modelo Xipe se enfoca en un sector particular de medias y pequeñas, por esta razón su campo de acción se ve reducido pero su eficiencia incrementa al estudiar un grupo con un patrón de problemáticas común hasta cierto punto.

(36)

Continuidad de negocio Visión globai del negocio, enfocada hacia proteger el negocio como un todo

Recuperación de desastres Visión más estrecha del negocio, enfocada hacía proteger básicamente la

infraestructura de Tí

Figura 2.6: Relación entre B C P y DRP.

De acuerdo a la naturaleza de creación de las estas estrategias, es decir su objetivo y alcance, existen factores que no se pueden considerar. Por ejemplo problemáticas particulares de las PyMes, y que en ocasiones llegan a afectar en la misma o mayor medida. Una de estas problemáticas particulares es el surgimiento de empresas a partir de iniciativas familiares o individuales, lo que resulta en una administración a base de prueba y error por parte del dueño [29], este escenario generalmente termina en una administración que tiene por objetivo mantener a flote el negocio y no en una planeación adecuada.

Un segundo factor clave en el impulso para el desarrollo del modelo presentado en esta trabajo es el hecho de que pocos modelos existentes están bajo la licencia de uso público. La importancia de este punto radica en dato que indica que el número dominante de organizaciones en el país pertenece al sector las PyMes, y generalmente este tipo de empresas no cuentan con los recursos para pagar una implementación de esta clase. Una persona que vende un servicio profesional técnico cuenta con un salario mínimo promedio de $230 diarios [1], cuando el salario promedio de un empleado de PyMes es de $143 aproximadamente [2]. Aunado al pago del profesional que pretende llevar el proceso se encuentra el pago de la herramienta misma, lo cual hace menos atractiva la implementación de un BCP. Como valor agregado se pretende que al ser de uso público perciba aportaciones técnicas de personas expertas en el área para mejorar el modelo.

(37)

Lo que es considerado actualmente para los directivos como una inversión fuerte o como un gasto no necesario, puede convertirse a través de una herramienta gratuita, y de sencilla implementación, en una motivación y una oportunidad para mejorar la competitividad de su negocio.

C o m o conclusión, el sector PyMe requiere de apoyo tecnológico de bajo costo para superar las deficiencias implícitas en la cultura de negocios mexicana y las desventajas derivadas de la globalización. Esto tiene particular importancia dado el peso que tienen las PyMes en la economía nacional.

(38)

Capítulo 3

Pruebas de campo

La investigación de campo para la prueba del modelo Xipe implica un tiempo considerablemente largo para pasar a través de las 5 etapas del modelo y entregar un resultado funcional al 100%. Debido al tiempo disponible para completar el trabajo se optó por utilizar un enfoque distinto, consistente en presentar casos ocurridos en empresas localizadas en el país y complementarlos con pruebas en entornos controlados.

Se presentan primeramente casos en los cuales las orgnizaciones estudiadas no contaban con algún plan para enfrentar las contingencias y sus respectivos desenlaces al enfrentar una situación de desastre. Posteriormente se realiza un contrastre con las organizaciones que tenían implementados planes de continuidad en forma correcta, se analiza como afrontaron el desastre y el desenlace.

3.1. Casos de estudio

3.1.1. Huracán Katrina

Katrina fue el más costoso y unos de los más mortales huracanes en la historia de los Estados Unidos. Fue el tercer huracán mas fuerte que entrado en territorio Norteamericano. Se formó en finales de agosto durante la temporada de huracanes y devastó gran parte de la costa del golfo de México. Los efectos más notables se dieron en las ciudad de New Orleans,

(39)

Louisiana.

Katrina se formó sobre las Bahamas el 23 de Agosto de 2005, y cruzó la florida como categoría 1, pero para el 29 de Agosto entro a territorio de Louisiana con una categoría mucho mayor, una categoría devastadora. La oleda causada por el huracán dejó daños deastadores a través de la costa del golfo de méxico, arradanso las ciudades Mobile, Alabama, Waveland y Biloxi/Gulfport en Mississippi, y Slidell en Louisiana. Los diques encargados de contener el agua del lago Pontchartrain no resistieron la oleada y 80 % de la ciudad de Nueva Orleans fue inundada.

La inundación destruyó los registros médicos de miles de personas evacuadas de la ciudad de Nueva Orleans, llevándose ordenes para tratamiento de cáncer, diabetes e información de medicamentos almacenados en las clínicas y consultorios de la ciudad.

Durante el desastre la gente acudió a protegerse a los refugios y muchos lograron salvarse, sin embargo, posteriormente a la hora de recibir atención médica la tarea se dificultó debido a que no se contaban con los registros médicos de los refugiados. Por lo cual el mayor reto fue proveer asistencia médica a personas que padecen enfermedades crónicas.

Con más de un millón de personas desplazadas y muchos de ellos sin registros médicos la tarea de reconstruir la información es enorme, y el proceso para extraer los datos puede ser complejo.

El departamento de salud y servicios humanos esta tratando de recrear parte de dicha información electrónicamente, en lo que parece ser una caso de prueba para los esfuerzos del gobierno para desarrollar sistemas de TI en el área de salud.

Se pudo compilar datos obtenidos de farmacias y almacenaros en bases de datos disponibles via internet a los médicos trabajando en 8 refugios. Sin embargo la tarea se complicó cuando las personas evacuadas comenzaron su regreso a la ciudad, ya que muchos tampoco contaban con su registro médico.

3.1.2. Fraude bancario a Banamex

México, DF, 18 de julio de 2005. Personal de la Policía Judicial detuvo a un joven especialista en sistemas de cómputo que transfirió, vía bancanet, tres millones 612 mil 500 pesos a su cuenta personal.

(40)

CAPÍTULO 3. PRUEBAS DE CAMPO

Ricardo Reyes Orozco, de 20 de años, realizó la operación vía Internet desde una cuenta maestra a una de perfiles, de la que es titular, y en diferentes días retiró en diferentes instituciones la cantidad de 526 mil pesos, a través de 29 cheques de varias denominaciones.

Sin embargo, el joven hacker fue detenido al intentar hacer una transacción en la sucursal Banamex de Calzada de Tlalpan y calle Circunvalación, pues personal del banco detectó que los retiros de la cuenta eran elevados y presentaban anomalías.

Con el argumento de que en cuestión de minutos le sería entregado su dinero, el joven fue entretenido en la sala de espera de sucursal, lo que dio tiempo para que arribara al lugar personal de la Policía Judicial, que procedió a la detención.

Reyes Orozco aceptó su culpabilidad, por lo que fue remitido ante el Ministerio Público de la Coordinación Territorial Coyoacán Dos.

Ante la representación social, personal jurídico de la institución afectada mostró los documentos que acreditaban que la cantidad transferida a la cuenta del indiciado, pertenecía a otro cliente que se quejó al descubrir el gran faltante.

Una vez reunidos los elementos de prueba en la averiguación previa F C Y / C O Y - 2 T 1 / 1 2 4 3 / 0 5 - 0 7 , el agente ministerial determinó el ejercicio de la acción penal en contra de Ricardo Reyes Orozco, por lo que fue ingresado al Reclusorio Preventivo Sur, por el delito de fraude.

3.1.3. El ayuntamiento de Tonalá, Chiapas

Tonalá, Chiapas, 29 de mayo de 2006 . Las pensiones del Estado son las primeras víctimas de los llamados hackers de Internet, esta vez llevaron a cabo un fraude cibernético por más de 10 millones de pesos.

Ahora tocó el turno al Ayuntamiento de Tonalá, Chiapas, donde los dejaron sin la segunda quincena del mes de mayo; prácticamente los dejaron en la calle.

Palemón García Real, presidente Municipal dijo "el 26 de mayo fuimos víctimas de un fraude cibernético de 7.5 millones de pesos que recibimos por parte de finanzas del Gobierno del Estado se efectuaron disposiciones de

(41)

dinero a diferentes plazas de la República".

Los 7 millones 520 mil pesos, fueron cobrados en diversos estados de la República como Monterrey, Distrito Federal y Veracruz donde ya hay un detenido.

García Real reconoce que las transferencias se hicieron a cuentas desconocidas y se cobraron recursos en Veracruz, se detuvo a una persona un retiro de 26 mil pesos de nombre José Jonahtan Medina Solano.

Ante el insólito caso no quedó más que pedir el auxilio del Gobierno del Estado para que se faculte al tesorero Municipal tramitar ante Finanzas de Jalisco el acceso al Fondo de Contingencias para pedir un apoyo de 7.5 millones de pesos y cubrir el pago pendiente de la nómina.

El Ayuntamiento ya interpuso una denuncia en la Procuraduría General de la República ( P G R ) .

3.1.4. La historia de Oreck

La preparación da buenos resultados

Ante los avisos del 27 de Agosto de un impacto directo del Huracán Katrina, la Oreck planea mudar las operaciones de su oficina principal y centro de datos en Nueva Orleans a sus instalaciones de fábrica y cali center de Long Beach, Miss., y viceversa. Estas operaciones serian complementadas por un centro de datos de apoyo en Boulder, C O , y un cali center en Denver.

La Oreck no planeó tomar un impacto directo tanto en sus instalaciones de Nueva Orleans como de Long Beach. Los esfuerzos de la Oreck enfatizan la importancia de hacer backup de datos importantes y tener personal de apoyo en localidades dispersas, tener la capacidad de desmontar la empresa a su mínimo esencial y disponer de personal que pueda improvisar incluso cuando los mejores planes fracasen.

Entretanto, la Oreck hace copias de seguridad de sus últimas ocho horas de actividad - facturas, pedidos de fabricación e informaciones de embarque - en cintas magnéticas a ser alimentadas en sus mainframes IBM AS/4000 en Boulder. El C E O de la Oreck, Tom Oreck, de 54 años, hijo del fundador de la empresa David Oreck, lleva las cintas a Houston y las envía a Boulder vía Federal Express. Enseguida, el C E O de la Oreck lanza el plan de contingencia de la empresa, que transfiere el cali center de la empresa para Denver, un

(42)

sitio que regularmente toma el excedente de llamadas desde su cali center de Long Beach. Los empleados de la Oreck llevan todos los datos y documentos (datos de clientes, destinos de embarques e información de inventario) que la empresa necesitaría para recomenzar más tarde.

El 14 de Septiembre, equipos de limpieza lucharon contra el moho del agua de la tormenta en la planta de Long Beach de la Oreck. El sitio Web de la Oreck está online nuevamente, pero hay atrasos de dos o tres semanas en los pedidos de Oreck.com. El desafío principal para la Oreck fue la comunicación: la BellSouth no disponía de un cronograma de instalación de las líneas necesarias para restablecer las comunicaciones. El C E O de Oreck está examinando otras localizaciones temporarias para sus instalaciones en Dallas en caso de que la empresa no pueda mudarse de vuelta para Nueva Orleáns rápidamente.

3.1.5. Morphy Richards

Continuidad de negocio ayuda a Morphy Richards a recuperrarse tras los daños de inundación en sus instalaciones principales cuando el mal clima de diciembre dejó las instalacios de South Yorkshire inundadas, el staff tuvo que evacuar rápidamente las instalaciones.

El caudal del río Don cubrió el sitio instalada en Mexborough con aproximadamente dos pies de agua, afectando sus sitemas de TI dejando sus instalaciones inutilizables. Afortunadamente, Morphy Richards cuenta con un plan de continuidad de negocio en operación, por lo que pudo poner el procedimiento en acción, y contactó a su socio de continuidad Synstar International, quien arracnó el plan. EL proveedor de continuidad de negoció arrivo al sitio en 6 horas para controlar la situación y determinar el nivel de daños. Debido al extenso nivel de daños, se adaptaron instalaciones temporales en Rotherham, donde sistemas de TI de respaldo fueron instalados para correr las aplicaciones requeridas por Morphy Richards.

Técnicos de la compañía Morphy Richards pudieron transferir toda la información desde sus computadoras a los sistemas de respaldo, habilitando nuevamente a la empresa para continuar con su operación. Casi 3 semanas después Morphy Richards seguía en las instalaciones temporales en su sitio alterno utilizanod los sitemas de respaldo mientras el sitio ubicado en Mexborough era rehabilitado para el regreso.

(43)

Trevor Burrows, jefe del departamento de TI en Morphy Richards, comentó: "La respuesta de nuestro proveedor de continuidad de negocio fue rápida y profesional. La cuesta hacia navidad es nuestra temporada de mayor actividad, y la respuesta inmediata de continuidad de negocio permitió mantener los sistemas esenciales en estatus operacional durante este período de altísima demanda. Después de perderlo todo en el sitio Mexborough, todos los sitemas clave para el negocio estuvieron disponibles nuevamente en las siguientes 24 horas. Tener un plan de continuidad de negocio no es una opción, es esencial."

3.1.6. W T C , ataques del 11 de septiembre

Ese día de septiembre muchas compañías intaladas en los alrededores de las torres del W T C también sufieron daños considerables, una de ellas fue Tucker Anthony Sutro, una correduría dedicada a inversionistas pequeños.

En la compañía labora Dennis Cassidy, oficial de información en jefe.

Una vez que estuvo fuera de peligro, Dennis contactó al consejo directivo de la compañía en San Francisco e inmediatamente entró en conferencia con ellos. La conversación que tomó lugar entre ellos no resultó en caos debido a que la compañía contaba con un plan de contiuidad de negocios instalado con 5 años de anterioridad, y probado rigurosamente en base anual.

Por lo tanto la compañía conocía el curso de acción a seguir para lograr la seguridad de los 300 empleados de la organización (todos ellos sobrevivieron), y para accesar la información crítica y reconstruir los sistemas que conectan sus tres ciudades concentradoras de las cincuenta sucursales en la región.

El siguiente paso de Cassidy fue llamar a la unidad de continuidad de negocio y recuperación en IBM para hacer la declaración formal del desastre.

Tucker Anthony Sutro regreso a un estado operacional en una ventana de 24 horas. Está claro que sin un plan de continuidad bien diseñado y probado la correduría habría salido del negocio o habría continuado pero con problemas serios.

El día posterior al desastre un equipo de experto de TI de la correduría llegó al hot site para averiguar que las cintas de respaldo ya habían sido entregadas por la empresa contratada. Con el apoyo de IBM, Tucker Anthony Sutro lidereada por Paul Stringer, se avocó a la tarea de restaurar el mainframe que suporta las oficinas concentradoras y las cincuenta sucursales,

(44)

en total el sistema soporta 60 sub-sistemas y 3,000 programas. Por otra parte Cassidy, estuvo orquestando la reconstrucción de la red a través de tres lineas telefónicas. Adicionalmente se requirió encontrar un espacio temporal para los empleados. Fue un trabajo intenso, sin embargo en la siguientes 24 horas la empresa se encontraba operando casi normalmente.

(45)

Modelo Xipe

4.1. Origen del nombre

Xipe es un Dios de la mitología del México antiguo, venerado en las culturas maya y azteca. Representa la regeneración de la tierra, y por lo tanto es relacionado con la fertilidad, renovación y cambio[27]. Es conocido que la agricultura en aquélla época era una de las principales actividades, y la tierra por consiguiente era un elemento crítico para el desarrollo de la actividad y de la sociedad. En la actualidad la información es esa "tierra", y el modelo xipe permite regenerarla. Como resultado de su aplicación la empresa entra en un proceso de renovación y adaptación a los cambios del mercado actual, logrando mayor competitividad.

xipe

Figura 4.1: Logotipo Xipe.