Grupo Redinfo | Planes de Continuidad del Negocio
Planes de Continuidad del Negocio
Planes de Continuidad del Negocio BCP DRP
16169
page,page-id-16169,page-template-default,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive
 

Diseño e Implementacion Planes de Continuidad del Negocio

OBJETIVO DEL SERVICIO

Construir un plan de continuidad del negocio de manera de Recuperar en el menor tiempo posible la operación de los PROCESOS CRÍTICOS de la organización, estén o no automatizados, a través de una serie de procedimientos operativos y tecnológicos establecidos, difundidos, entrenados y probados.

OBJETIVOS ESPECIFICOS

Los objetivos del Plan de Continuidad para los procesos críticos definidos en la organización serán:

 

  • Proporcionar un mapa de sus procesos críticos vitales para la continuidad operativa.
  • Determinar a los dueños de los procesos críticos y definir claramente su responsabilidad y ámbito de acción en lo respectivo a la administración de riesgos de cada proceso.
  • Establecer el marco de acción general y específico que guiará a la organización frente a la materialización de un escenario de riesgo que afecte severamente su operación normal. Este marco de acción considera la definición clara y concreta de las principales estrategias globales de continuidad frente a los diversos escenarios considerados, adicionalmente el modo de operación general alternativo para cada una de las unidades de operación (Divisiones, Áreas, Departamentos y Cargos Clave) y los procedimientos generales y específicos aplicables a cada proceso crítico definido.
  • Definir la estructura organizacional, roles y responsabilidades de los equipos que realizarán las actividades específicas necesarias para responder frente a la contingencia en sus diversas fases de desarrollo, esto es, en el momento inmediatamente siguiente a su ocurrencia, durante la activación y vigencia del proceso de operación alternativa y, finalmente, durante la restauración a la operación normal de los procesos afectados.
  • Adherencia y cumplimiento de la normativa vigente en relación a la existencia de planes de continuidad de negocio.

 

Las principales actividades a desarrollar son las siguientes:

 

  • Identificación y aprobación de los Procesos Críticos.
  • Identificación de las ventanas de tiempo, que corresponden al tiempo máximo en que un proceso puede permanecer interrumpido antes de alcanzar un nivel de impacto importante para la organización.
  • Definición de Escenarios de Contingencia y eventos específicos para su declaración.
  • Diseño de procedimientos y planes de acción para efectuar la recuperación de procesos y asegurar la continuidad operacional.
  • Elaboración de planes de Capacitación y Pruebas.

 

La elaboración del Plan de Continuidad del Negocio está basada en la metodología:

 

  • DRI International: Disaster Recovery Institute.
  • BSI: British Standard Institute.
  • La norma de seguridad de la información ISO 27001:2013.
  • La norma de administración de la continuidad del negocio ISO 22301:2012
ESCENARIOS DE DESASTRE A CONSIDERAR EN LA CREACIÓN DEL PLAN

los principales escenarios de desastre a considerar en la construcción del plan, serán los siguientes:

 

  • Sin instalaciones

Corresponde a la pérdida de las instalaciones físicas o facilidades básicas (Luz, Agua Potable), frente a la materialización de un desastre (terremoto, incendio, inundación) o la imposibilidad de acceder a las instalaciones (asalto, atentado).

 

  • Sin sistemas

Corresponde a la imposibilidad de operar los sistemas computacionales, pudiendo afectar a toda la organización.

 

  • Sin personal clave

Corresponde a la incapacidad de operar normalmente debido a la ausencia del personal clave responsable de la operación de los procesos críticos.

ANALISIS DE IMPACTO EN EL NEGOCIO

Se realizará un análisis de impacto en el negocio del servicio que definirá las prioridades de restauración de los procesos críticos, en el cual, la identificación de las funciones y procesos claves se determina sobre la base del impacto potencial que conlleva su no disponibilidad. Un proceso es catalogado como crítico cuando ese impacto supera algún criterio o nivel de tolerancia predefinido.

 

Para la definición de estos criterios de tolerancia se considerán aspectos tales como:

 

  • El Recovery Time Objective (RTO), es el máximo tiempo de interrupción tolerable (ventana de tiempo), en que un sistema o aplicación, puede permanecer fuera de operación, tras la ocurrencia de alguna contingencia.
  • Los impactos intangibles, que indican los efectos de la interrupción del proceso en aspectos como la pérdida de la productividad, el deterioro de la imagen, la pérdida de credibilidad, el deterioro del servicio a las insituciones, y de las relaciones con otras instituciones, el incumplimiento de regulaciones legales y el deterioro del ambiente laboral, entre otros.

 

Una vez identificada la criticidad de los procesos, se identificarán los riesgos asociados a los componentes tecnológicos y a otros recursos que soportan a dichos procesos.

ESTRUCTURA GENERAL DEL PLAN A DESARROLLAR

PCNLa estructura del Plan de Continuidad de Negocio a desarrollar, considera 3 capas de descripción de las medidas de continuidad:

PLAN DE RECUPERACIÓN ANTE DESASTRES TECNOLÓGICOS (PCT)

 

El objetivo del Plan de Recuperación ante Desastres (PCT) es asegurar de manera oportuna la continuidad de la plataforma tecnológica que apoya los procesos críticos de la organizaciónpara garantizar su operación. Luego, ante la ocurrencia de un evento catastrófico en el apoyo tecnológico, se considerará lo siguiente:

 

  • La recuperación del Soporte Computacional ante eventos que impliquen la pérdida de disponibilidad del servicio por un período de tiempo prolongado.
  • La existencia de un grupo especializado y capacitado en recuperación ante desastres tecnológicos (Comité de Incidentes de Seguridad).
  • La disponibilidad de sitios alternativos en los que el área tecnológica pueda aplicar los Procedimientos de Recuperación.

 

PLAN DE CONTINUIDAD OPERACIONAL (PCO)

El objetivo del Plan de Continuidad Operacional (PCO) es establecer los procedimientos y recursos necesarios para la administración de procesos críticos en situación de contingencia o sin soporte tecnológico. Provee un marco específico de operación en toda la organización relativo a cómo se debe enfrentar las situaciones en contingencia, ante la pérdida del apoyo tecnológico. Además define el personal y los cargos claves que deben asumir en la toma de decisiones en caso de contingencias. Define grupos de coordinadores que no necesariamente corresponden a la estructura jerárquica y que están facultados y capacitados para decidir.

 

PLAN DE MANEJO DE CRISIS (PMC)

Esta etapa tiene por objetivo el adecuado manejo de la contingencia para hacer frente a las estrategias de comunicación dentro y fuera de la organización, la gestión de la crisis frente a escenarios de desastres mayores, el análisis del impacto frente a la materialización de una amenaza que interrumpa las funciones normales de operación del negocio y la activación de los procedimientos de emergencia, en coordinación con el “Comité de Higiene & Seguridad”. Estas actividades serán coordinadas por el Comité Operativo de Seguridad.

ACTIVIDADES DE GESTIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

PROGRAMA DE PRUEBAS

El objetivo principal del Programa de Pruebas es:

  • Verificar el grado de conocimiento que tiene el personal involucrado en los procedimientos definidos en cada uno de los Planes.
  • Determinar las posibles falencias que existen en los procedimientos y definiciones establecidas.
  • Determinar las actividades necesarias para las correcciones al Plan.

 

EVALUACIÓN DE LAS PRUEBAS

Los criterios de evaluación para las pruebas realizadas, serán los siguientes:

  • PCN (PMC)/PCO: Eficacia de los procedimientos establecidos, porcentaje de errores cometidos, conocimiento de los participantes.
  • PCT: Cumplimento de las ventanas de tiempo establecidas por proceso crítico, verificación de prioridades en proceso de recuperación de servicio, exactitud de los procedimientos definidos.

 

INFORME DE LA PRUEBA

Una vez concluida la prueba, se genera un “Informe de Resultados”, siendo presentado al Comité de Seguridad para la toma de conocimiento. El informe contiene las especificaciones de la prueba realizada, la evaluación, los registros de control de fallas y el plan de modificación (de ser requerido) por cada procedimiento.

PROGRAMA DE ENTRENAMIENTO Y CAPACITACIÓN

Los objetivos principales del Programa de Entrenamiento y Capacitación, se detallan a continuación:

  • Capacitar a los grupos involucrados en la ejecución de los procedimientos definidos en el Plan de Continuidad Operativa y Plan de Recuperación ante Desastres Informáticos.
  • Reducir el riesgo de errores u omisiones ante el surgimiento de una contingencia.

Las estrategias utilizadas para la ejecución de este programa, son las siguientes:

  • Capacitación mediante E-learning para difusión general orientada a todo el personal.
  • Capacitación Presencial sobre la ejecución de los procedimientos definidos, a los grupos involucrados en la operación de los Planes.
  • Capacitación por Cascada, utilizada para el entrenamiento especial de los Jefes de área, con el objetivo que instruyan al personal en la ejecución del PCO.

 

EVALUACIÓN DE LA CAPACITACIÓN

Las evaluaciones por capacitación, tienen por objetivo asegurar que los conocimientos difundidos, fueron aprendidos por el personal. Esta evaluación se realiza a través de ejercicios grupales de operación y pruebas individuales.

 

INFORME DE LOS RESULTADOS DE LA CAPACITACIÓN

Una vez efectuadas las capacitaciones y evaluaciones, el se genera un “Informe de Resultados”, siendo presentado al Comité de Seguridad para la toma de conocimiento.

El informe contiene la siguiente información:

  • Objetivo de la capacitación.
  • Temario.
  • Resultados y análisis de evaluación.
  • Nómina de participantes.
  • Conclusiones y Actividades a seguir.

 

PROGRAMA DE DISTRIBUCIÓN

El objetivo del Programa de Distribución es asegurar que los documentos involucrados en el Plan de Continuidad, se distribuyan correctamente al personal involucrado en los procedimientos.

Se realizan las siguientes actividades de distribución:

  • Elaborar y mantener actualizada la lista de los integrantes que participan del Plan de Continuidad del Negocio:
    • Comité de Seguridad de la Información
    • Departamento de Informática
    • Recursos Humanos
    • Comité de Higiene & Seguridad
  • Guardar una copia actualizada del Plan de Continuidad y sus anexos, fuera de las dependencias de la organización.
  • Distribuir y controlar la recepción, mediante correo electrónico, del ejemplar del Plan de Continuidad a la lista de los integrantes antes definidos.
  • Distribuir una copia impresa del documento Plan de Continuidad a todo el personal involucrado en los procedimientos.
  • Publicar en la Intranet institucional y coordinar la recepción conforme por cada empleado, del documento Plan de Continuidad.
  • Distribuir y controlar la recepción de las actualizaciones del documento.

 

PROGRAMA DE DIFUSIÓN DEL PLAN DE CONTINUIDAD

El programa de Difusión, tiene por objetivo dar a conocer el Plan de Continuidad en forma global a todo el personal de la organización.

Se llevarán a cabo las siguientes actividades:

  • Charlas y presentaciones al personal involucrado en los procedimientos:
    • Personal Clave (Jefes de área, encargados, analistas).
    • Personal de Operación (Comité de Seguridad de la Información, Recursos Humanos, Departamento de Informática).
    • Inducción al nuevo personal.

Envío de Memo a todo el personal, con las características generales y definiciones del Plan de Continuidad y el calendario de Capacitación.

 

PROGRAMA DE REVISIÓN Y MANTENCIÓN DEL PLAN DE CONTINUIDAD

El programa de revisión y mantención del Plan de Continuidad tiene por objetivo documentar cualquier cambio en el ambiente del negocio.

Se realizan las modificaciones correspondientes al plan cuando:

  • Se modifiquen o reestructuren algunas o todas las áreas operativas.
  • Se implanten nuevas infraestructuras de TI y aplicaciones de soporte a los procesos críticos.
  • Se efectúen modificaciones importantes a los sistemas administrativos y/o tecnológicos actuales.
  • Se modifiquen o incorporen nuevos Procesos Críticos

Las actividades de mantención se detallan a continuación:

  • Modificación del Plan de Continuidad del Negocio.
  • Administrar las versiones modificadas del PCN.
  • Distribuir las nuevas modificaciones del Plan acorde a lo definido.
  • Planificar las capacitaciones, si las modificaciones del plan así lo ameritan.
  • Planificar las pruebas de las modificaciones del PCO y PCT.

Como parte del proceso de actualización del PCN (PMC) – PCO – PCT, se guian sesiones del Comité de Seguridad trimestralmente para verificar el cumplimiento.

METODOLOGIA APLICADA

bcpMETODOLOGIA