Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Plan de Continuidad

No description
by

Cesar Quintero Castro

on 9 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Plan de Continuidad

DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
BCM - Business Continuity Management
Empresa ABC S. A.

Universidad de Pamplona
Programa de Contaduría Pública
Auditoría II
Séptimo Semestre
Cread - Chía (Cundinamarca)

Elaborado por:

Julio Cesar Quintero Castro
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
BCM - Business Continuity Management

ANTECEDENTES
ABC S.A. es una compañía que fabrica zapatos, cuenta actualmente con 80 empleados, repartidos en dos plantas de fabricación, a una distancia la una de la otra de 20 kilómetros.

Dentro de la propia fábrica cuentan con un departamento de informática formado por 4 empleados que se encargan de la gestión de todo lo relacionado con comunicaciones, software, hardware y bases de datos. Este departamento y su centro de proceso de datos se encuentran en Bogotá.

Debido al rápido desarrollo y expansión de esta compañía ha tenido un crecimiento tecnológico en los procesos de soporte (tales como facturación, nóminas, atención al cliente, etc), las medidas de seguridad no han acompañado de igual forma a este crecimiento, estableciendo las siguientes falencias en la seguridad de la empresa:

• No existe una política de seguridad en la compañía.
• Sólo hay antivirus en algunos equipos, en otro no se ha instalado.
• No se realizan copias de seguridad de la información.
• Existe control de acceso a los equipos, pero los usuarios comparten contraseñas.
• Los servidores se encuentran en una sala sin ninguna medida de protección física.


DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Se propuso el desarrollo de un Plan de Continuidad de Negocio, para configurar una estrategia de recuperación ante cualquier evento grave que haga peligrar el negocio de la empresa, el contempla las siguientes faces:
Análisis del impacto.
Tiempo máximo de recuperación de los procesos.
Análisis de riesgos
.
Estrategia de recuperación.
Desarrollo del plan.
Fase de Alerta.
Fase de Transición.
Fase de Recuperación.
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Análisis del impacto.
Se realizo un inventario de los procesos críticos de la compañía, estableciendo los tiempos de recuperación de los mismos, antes de incurrir en pérdidas graves. Para ello, se ha entrevisto a los responsables de los procesos obteniendo la siguiente información:
Se destacan los siguientes procesos describiendo cada uno de los componentes Hardware, Software, Comunicaciones, etc., que conforman los procesos definidos.
Pedidos
Nominas
Sistemas del proceso de Pedidos
:
Sistemas del proceso de Pedidos:
Hardware del proceso de Pedidos:
Hardware del proceso de Pedidos:
Sistemas del proceso de Pedidos
:
Sistemas del proceso de Nóminas:
Hardware del proceso de Nóminas:
Hardware del proceso de Nóminas:
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Tiempo máximo de recuperación de los procesos
.

DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Análisis de riesgos
.

Este análisis permitirá a la compañía conocer sus riesgos y gestionarlos de forma adecuada.

Existen diferentes metodologías de riesgo (NIST, MAGERIT, OCTAVE, etc.), la empresa escogió realizar un análisis con un enfoque general, sin entrar en metodologías concretas ni valoraciones de los activos.

Tomando como ejemplo el inventario de los procesos descritos en la presentación de la compañía, se elaboro el Análisis de Riesgos.
INVENTARIO DE ACTIVOS
LISTADO DE AMENAZAS
VULNERABILIDADES
EVALUACIÓN DE RIESGOS
RECOMENDACIONES - CONTRAMEDIDAS
Estrategia de recuperación.
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Ya realizada la gestión de los riesgos detectados, se selecciona una estrategia de recuperación de negocio que asegure la continuidad de los procesos que hemos considerado críticos en el Análisis de Impacto.

De las alternativas existentes y dado que la opción de subcontratar espacios y soporte a terceros resultaría muy cara, la solución más adecuada sería utilizar la sede de producción como alternativa en caso de incidencia grave.

La empresa no autoriza ser mencionada, por lo tanto se cambia su nombre y cualquier información que la identifique.
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Desarrollo del plan.
Una vez que se ha seleccionado la estrategia de continuidad, se puede comenzar a construir el Plan de Continuidad definiendo la estructura y composición de los equipos y las acciones de cada uno de ellos.
COMITÉ DE CRISIS
Lugar de Reunión:

Casa del Director General ubicada en la calle XX No. XX de XXXX.

Una vez que se comunica un incidente, el Comité de Crisis debe reunirse y tomar decisiones para afrontar la situación. Deben estar continuamente informados de la situación y determinar si es necesario iniciar el Plan de Continuidad. En este caso, se comunicará a los responsables de los equipos del comienzo de las actividades que llevarán a restablecer los servicios.
EQUIPO DE RECUPERACIÓN
El equipo de recuperación es el encargado de poner en marcha todo el proceso de recuperación para restaurar los servicios, realizando las siguientes actividades:


Pondrán en marcha por orden de criticidad los sistemas: Pedidos, Facturación, Correo, Nóminas, etc.

Para la puesta en marcha de los sistemas, se tomará la última copia de seguridad de los sistemas.

En primera instancia se reutilizarán los equipos para iniciar los servicios. Se contactará con la persona responsable de logística para que solicite a los proveedores todos los equipos necesarios en los plazos acordados (durante el desarrollo del plan), sirvan todo el material necesario (servidores, PC’s, impresoras, etc.) y que no se ha podido salvar.

Una vez que se vayan restaurando los servicios, debe comprobarse su operatividad.

Punto de Reunión:
Centro de Trabajo. Si no es posible reunirse en el Centro porque los daños son cuantiosos, se tomará como punto de reunión otra bodega, situada a 500 metros del centro de trabajo y con quienes se ha firmado un acuerdo de colaboración.
EQUIPO DE COORDINACIÓN LOGÍSTICA
El equipo de coordinación logística es responsable de todo lo relacionado con las necesidades logísticas.

En función del tipo de incidente se encargará de:

Atender las necesidades logísticas de primera instancia tras la contingencia. (Transporte de personas, transporte de materiales, etc.)

Contactar con los proveedores para solicitar el material necesario que indiquen los responsables de la recuperación.

Reservar habitaciones de hotel para las personas que se desplacen.

Gestionar el suministro de comida al personal involucrado.
EQUIPO DE RELACIONES PÚBLICAS
El equipo de Relaciones Públicas es responsable de “ser la voz” de la empresa en el contexto de la contingencia.

Las tareas a realizar serán:

Si el tipo de incidente lo requiere, emitir un comunicado oficial a clientes y proveedores en el que se indique que se restablecerán los servicios lo antes posible.

Atender a los clientes para proporcionarles información sobre el incidente y tranquilizarles lo máximo posible.
EQUIPO DE UNIDADES DE NEGOCIO
Estos equipos estarán formados por las personas que trabajan con las aplicaciones críticas, y serán los encargados de realizar las pruebas de funcionamiento para verificar la operatividad de los sistemas.
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Fase de Alerta.
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE

Cualquier empleado que sea consciente de un incidente grave que pueda afectar a la empresa, debe comunicarlo al Jefe de Seguridad de la Planta proporcionando el mayor detalle posible en la descripción de los hechos.

El Jefe de Seguridad debe evaluar la situación e informar al Responsable del Comité de Crisis, que en este caso coincide con la figura del Director General.
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN

El Comité de Crisis reunido en el punto de encuentro evaluará la situación. Con toda la información de detalle sobre el incidente, se decidirá si se activa o no el Plan de Continuidad de Negocio. En caso afirmativo, se iniciará el procedimiento de ejecución del Plan.

En el caso de que el Comité decidida no activar el Plan de Continuidad porque la gravedad del incidente no lo requiere, sí será necesario gestionar el incidente para que no aumente su gravedad.
PROCEDIMIENTO DE NOTIFICACIÓN DE EJECUCIÓN DEL PLAN

Activar el árbol de llamadas para avisar a los integrantes de los diferentes equipos que van a participar en el Plan.
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Fase de Transición.
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS

Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al centro de reunión indicado. Además del traslado de personas al Centro de Encuentro, hay que trasladar todo el material necesario para poner en marcha el centro de recuperación (backup, material de oficina, documentación, ...). Esta labor queda en manos del equipo logístico.
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN

Una vez que el equipo de recuperación llegue al Centro de Encuentro, y que los materiales empiecen a llegar, pueden comenzar a instalar las aplicaciones en los equipos que se encuentran en esta oficina.

El equipo de recuperación solicitará al equipo de logística cualquier tipo de material extra que fuera necesario para la recuperación.
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Fase de Vuelta a la Normalidad.
Fase de Recuperación.
PROCEDIMIENTO DE RESTAURACIÓN

El orden de recuperación de las funciones se realizará según la criticidad los sistemas: Pedidos, Facturación, Correo, Nóminas.

Los dos primeros sistemas deben recuperarse lo antes posible, en las 48 horas siguientes. Los demás sistemas pueden esperar a recuperarse después de Pedidos y Facturación.
PROCEDIMIENTO DE SOPORTE Y GESTIÓN

Una vez recuperados los sistemas, se avisará a los equipos de los departamentos que gestionan los sistemas (listado del equipo de Unidades de Negocio) para que realicen las comprobaciones necesarias que certifiquen que funcionen de manera correcta y pueda continuarse dando el servicio.

Además el Equipo de Seguridad deberá comprobar que existen las garantías de seguridad necesarias (confidencialidad, integridad, disponibilidad) antes de dar por terminada la fase de recuperación.
DESARROLLO PLAN DE CONTINUIDAD DE NEGOCIO.
Fase de Vuelta a la Normalidad.
Una vez con los procesos críticos en marcha y solventada la contingencia, hay que plantearse las diferentes estrategias y acciones para recuperar la normalidad total de funcionamiento.
ANÁLISIS DEL IMPACTO

Es el momento de realizar una valoración detallada de los equipos e instalaciones dañadas para definir la estrategia de vuelta a la normalidad. Para ello, el equipo de recuperación junto con el equipo de seguridad, realizarán un listado de los elementos que han sido dañados gravemente y son irrecuperables, así como de todo el material que se puede volver a utilizar. Esta evaluación deberá ser comunicada lo antes posible al equipo director para que determinen las acciones necesarias que lleven a la operación habitual lo antes posible.
ADQUISICIÓN DE NUEVO MATERIAL

Una vez realizada la evaluación del impacto, se determinará la necesidad de nuevo material. El Comité de Crisis contactará con el seguro de la compañía para conocer qué parte cubre el seguro (dependiendo del tipo de póliza contratada) y qué inversión tendrá que hacer la compañía en el material que no se pueda recuperar.

Contactar con los proveedores para que en el menor tiempo posible repongan todos los elementos dañados.
FIN DE LA CONTINGENCIA

Dependiendo de la gravedad del incidente, la vuelta a la normalidad de operación puede variar entre unos días (si no hay elementos clave afectados) e incluso meses (si hay elementos clave afectados). Lo importante es que durante el transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a los clientes y trabajadores por parte de la compañía y que la incidencia afecte lo menos posible al negocio.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Del Pino Jiménez Laura, Guía de Desarrollo de un Plan de Continuidad de Negocio, Julio 2007.
Full transcript