bcp plan de continuidad de negocios...fecha plan continuidad de negocios código: versión:...
TRANSCRIPT
BCP PLAN DE CONTINUIDAD DE NEGOCIOS
2019
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
1
Volver al índice
TABLA DE CONTENIDO
TABLA DE CONTENIDO ......................................................................................................................... 1
INTRODUCCIÓN ....................................................................................................................................... 2
1. OBJETIVOS ........................................................................................................................................ 2
2. ALCANCE ........................................................................................................................................... 3
3. MARCO NORMATIVO ...................................................................................................................... 3
4. GLOSARIO (Terminología) ............................................................................................................. 5
5. PLAN DE CONTINUIDAD DEL NEGOCIO ................................................................................... 6
5.1. Organización y funciones ................................................................................................................ 6
5.2. Políticas de continuidad de negocios ............................................................................................. 8
6. ANÁLISIS DE IMPACTO EN EL NEGOCIO ................................................................................. 9
7. PLAN DE CONTINUIDAD OPERATIVA (BCP / ITSMSC) ....................................................... 13
8. PLAN DE RECUPERACIÓN A DESASTRES (DRP) ................................................................ 32
9. PLAN GENERAL DE MANEJO DE LA CRISIS ......................................................................... 35
9.1. Plan de comunicación de la crisis ................................................................................................. 35
9.2. Plan de asistencia al recurso humano .......................................................................................... 41
9.3. Plan de emergencia ...................................................................................................................... 43
10. ACTUALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE CONTINUIDAD DE
NEGOCIO .................................................................................................................................................. 52
10.1. Actualización del Plan de Continuidad de Negocio .................................................................... 52
10.2. Mantenimiento de Análisis de Impacto de Negocio (BIA) ......................................................... 52
10.3. Plan de comunicaciones ............................................................................................................. 53
10.4. Plan de pruebas .......................................................................................................................... 55
11. LISTA DE DISTRIBUCIÓN .......................................................................................................... 56
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
2
Volver al índice
INTRODUCCIÓN
La gestión de continuidad de negocios establece las políticas, procedimientos y estructura organizacional para responder o anticiparse a eventos que sean de tal magnitud que puedan causar una interrupción significativa en la operación del negocio, permitiendo a la organización continuar con dicha operación a un nivel aceptable predefinido, mediante la combinación de controles preventivos y de recuperación. La correcta implementación de la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de incidentes disruptivos y, en caso de producirse, la organización estará preparada para responder en forma adecuada y oportuna, de esa manera se reduce de manera significativa el impacto potencial que pueda ser ocasionado por un incidente. Valor+ ha desarrollado planes y análisis que hacen parte de este Plan de Gestión General:
- Un Plan de emergencias, el cual hace parte del Plan de emergencias del edificio Plaza la Libertad PH
- Un Plan de comunicaciones asociado al Plan de emergencias del edificio Plaza la Libertad PH
- Un Plan de recuperación de tecnología de información 1. OBJETIVOS
1.1. Objetivo General Definir e implementar directrices y lineamientos necesarios para fortalecer la capacidad de respuesta ante eventos que afecten la continuidad de negocio en Valor+, a partir de los lineamientos establecidos por MinTIC, estándares y mejores prácticas. 1.2. Objetivos Específicos - Identificar los elementos que den origen a procedimientos e instructivos operacionales
específicos que respondan a interrupciones del servicio, con el fin de proteger y recuperar las funciones criticas del negocio que se puedan ver comprometidas
- Identificar las aplicaciones y las plataformas consideradas críticas para la operación del negocio
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
3
Volver al índice
- Identificar al personal clave interno y externo requerido para la operación de las actividades críticas del negocio
- Establecer los tiempos mínimos de recuperación requeridos en los que no se vea afectado el negocio
- Definir la funcionalidad mínima que requiere el negocio en caso de contingencia - Identificar los riesgos presentes para la continuidad - Establecer los elementos esenciales requeridos en el plan de recuperación de desastres - Desarrollar procedimientos específicos y guías de operación en caso de desastre para
cada uno de los servicios críticos vitales especificados en el alcance del plan - Establecer un plan de prueba, gestión y mantenimiento general, necesarios para
garantizar los objetivos del Plan
2. ALCANCE El Plan de continuidad de negocio considera como alcance el Soporte a la Operación de Servicios, tal como fue establecido en el BIA, también incluye el Plan de Comunicaciones y el Plan de Emergencias, integrado al Plan de Emergencias de las oficinas del Edificio Plaza la Libertad PH, en el que se encuentra Valor+.
3. MARCO NORMATIVO
NORMA DESCRIPCIÓN
Ley 1341 de 2009
Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y las comunicaciones - TIC- Se crea la agencia Nacional de espectro y se dictan otras disposiciones
Decreto 1078 de 2015
Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones
Decreto 2573 de 2014 Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones
Ley 527 de 1999
Por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se dictan otras disposiciones
Ley 594 de 2000 Por medio de la cual se expide la Ley General de Archivos
Ley 1266 de 2008
Por la cual se dictan las disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
4
Volver al índice
Ley 1221 del 2008
Por la cual se establecen normas para promover y regular el Teletrabajo y se dictan otras disposiciones
Ley 1273 de 2009
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones
Ley 1581 de 2012
Por la cual se dictan disposiciones generales para la protección de datos personales
Ley 1712 de 2014
Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones
Ley 1915 de 2018
Por la cual se modifica la Ley 23 de 1982 y se establecen otras disposiciones en materia de derecho de autor y derechos conexos
Decreto 2609 de 2012 Decreto 2609 de 2012. Por el cual se reglamenta el Titulo V de la Ley 594 de 2000, parcialmente los artículos 58 y 59 de la Ley 1437 de 2011 y se dictan otras disposiciones en materia de Gestión Documental para todas las Entidades del Estado
Decreto 0884 del 2012
Por el cual se reglamenta parcialmente la Ley 1221 del 2008
Decreto 1377 de 2013
Por el cual se reglamenta parcialmente la Ley 1581 de 2012
Decreto 886 de 2014
Por el cual se reglamenta el Registro Nacional de Bases de Datos
Decreto 103 de 2015
Por medio del cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones
Decreto 1074 de 2015
Por medio del cual se expide el Decreto Reglamentario del Sector Comercio, Industria y Turismo. Reglamenta parcialmente la Ley 1581 de 2012 e imparten instrucciones sobre el Registro Nacional de Bases de Datos. Artículos 25 y 26
Decreto 1008 del 2018
Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones
CONPES 3701 de 2011
Lineamientos de Política para Ciberseguridad y Ciberdefensa
CONPES 3854 de 2016
Política Nacional de Seguridad digital
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
5
Volver al índice
4. GLOSARIO (Terminología) Nota: términos adicionales pueden ser consultados en los glosarios del BCM Institute e ISO22301 - Gestión de continuidad de negocio (BCM): Es una disciplina y conjunto de procesos
(como metodología) a largo de toda la organización que identifica impactos potenciales que amenazan una organización. Provee la capacidad para una respuesta efectiva que permitan proteger su reputación y el interés de las partes interesadas más importantes.
- Planeación de Continuidad de Negocio (BCP): Es el proceso de desarrollo previo de planes y procedimientos que permiten a una organización responder a un evento de tal manera que las funciones críticas de negocio pueden continuar en niveles planeados de operación.
- Análisis del impacto al negocio (BIA): Etapa del proceso de planeación de Gestión de Continuidad de Negocio. Es el proceso de análisis del efecto de las interrupciones a las operaciones o procesos de negocio en todas sus funciones de negocio.
- Planeación de recuperación de desastres de TIC (DRP TIC): Es el proceso de desarrollo de planes y procedimientos que permiten a la organización responder a desastres y retomar los procesos y aplicaciones de tecnología de información críticas en un periodo de tiempo determinado, minimizando la cantidad de pérdidas, y reparando o reemplazando las instalaciones afectadas tan rápido como sea posible.
- Preparación de las TIC para la continuidad de negocio (IRBC, ITSCM en ITIL): Capacidad de una organización para soportar sus operaciones de negocio mediante la prevención, detección y respuesta a una interrupción así como la recuperación de sus servicios TIC (ITSCM), respondiendo de forma efectiva a las fallas en sistemas o componentes de infraestructura.
- Nivel de Criticidad: Descripción cualitativa usada para enfatizar la importancia de un recurso, proceso o función que debe estar disponible y operativa constantemente o disponible y operativa al menor tiempo posible después de que un incidente, emergencia o desastre ocurra.
- Interrupción: Incidente, bien sea anticipado o no anticipados los cuales pueden afectar el normal curso de las operaciones en alguna de las ubicaciones de la organización.
- Punto objetivo de recuperación (RPO): Punto en el tiempo en el cual los sistemas y datos deben ser recuperados después de que un desastre ocurra.
- Punto Tiempo objetivo de tiempo de recuperación (RTO): Periodo de tiempo máximo-aceptable que puede pasar antes que la falta de una función de negocio impacte la organización de una manera severa.
- Tiempo de Recuperación de Trabajo (WRT): Tiempo disponible para recuperar datos perdidos una vez que los sistemas están reparados.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
6
Volver al índice
- PPRE: Plan de prevención, preparación y respuesta ante emergencias.
5. PLAN DE CONTINUIDAD DEL NEGOCIO La gestión de continuidad de negocios requiere la ejecución de un número importante de actividades de preparación y preventivas, de tal forma que al darse un incidente, existan procedimientos predefinidos para actuar que lleven a la organización a lograr en contingencia niveles mínimo aceptables de operación ya predefinidos. Cuando se da un incidente el primer Plan que debe ejecutarse es el Plan de manejo de emergencias, cuyo objetivo más relevante es la protección y salvaguarda de las personas, para luego evaluar el incidente y si es requerido activar los diferentes Planes. En forma paralela se activa el Plan de comunicación de la crisis y se ejecutan las diferentes actividades para lograr la continuidad de negocio, la recuperación de tecnología de información y la restauración de la operación normal de negocio. El marco de referencia utilizado para la implementación es la Guía para la preparación de las TIC para la continuidad de negocio del MinTIC y la norma NTC ISO/IEC 27031.
5.1. Organización y funciones
Comité de emergencias (Centro Cívico de Antioquia – Plaza la Libertad PH): Ordenar la activación de la alarma, en caso de una evacuación total por sismo, amenaza de bomba o incendio grande. Hacer cumplir la operatividad del plan de acuerdo a la política de planes de prevención, preparación y respuesta ante emergencias y seguridad y salud en el trabajo de la organización y promover su divulgación al personal. Asegurar que se mantengan los correctivos del plan de prevención, preparación y respuesta ante emergencias. Asegurar la actualización del documento del plan de prevención, preparación y respuesta ante emergencias. En caso de abrir o cambiar de sede, tener en cuenta el análisis de riesgos de la nueva sede para decidir la ubicación de ésta. Establecer vínculos con los organismos de socorro de la ciudad para poner en práctica la ayuda que se requiera en las emergencias. Asumir la dirección y control de la emergencia, en su respectivo puesto de comando. Determinar si la emergencia requiere evacuación total, parcial o no requiere evacuación del personal. El Comité tiene plena autonomía para decidir cómo proceder en caso de una emergencia. Brigada contra incendio (Centro Cívico de Antioquia – Plaza la Libertad PH): Conocer los riesgos y las actividades que se desarrollan en las diferentes áreas del edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
7
Volver al índice
verificando que se eliminen o solucionen adecuadamente. Realizar inventario frecuentemente de los equipos existentes para el control de incendios y llevar un registro de ellos. Actuar prontamente cuando se informe de una emergencia en su piso, accionando la alerta y la alarma, tratando de controlar la situación, prestando apoyo en la evacuación o en actividades de preparación y orientación de la evacuación. Controlar los conatos de incendio. En cualquier emergencia, actuar coordinadamente con los demás miembros de ayuda externa. Brigada de primeros auxilios (Centro Cívico de Antioquia – Plaza la Libertad PH): Mantener debidamente dotado su equipo de primeros auxilios. Hacer un inventario de los equipos requeridos para la atención de posibles pacientes que se presenten por enfermedad súbita o lesiones. Hacer un diagnóstico de las labores que representen una causa de posibles lesiones a los trabajadores. Prestar los primeros auxilios a los lesionados por la emergencia en el área donde laboran. Coordinar el acceso e intervención de los grupos de ayuda externa (Servicio de Salud), siguiendo las instrucciones del comité de emergencias. Controla la remisión de lesionados a centro de atención médica. Coordinadores de evacuación (Centro Cívico de Antioquia – Plaza la Libertad PH): Conocer los riesgos y las actividades que se desarrollan en el edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y verificando que se eliminen o solucionen adecuadamente. Velar porque se mantenga despejado el acceso a las vías de evacuación y se conserve la señalización. Incitar a las personas a mantener la calma y a seguir las instrucciones emitidas por el sistema de alarma. Dar a conocer y recordar a las personas los procedimientos generales establecidos para casos de emergencia durante las fases de alistamiento y evacuación, indicando la ruta de escape a utilizar y el lugar de reunión final. Incitar a las personas al desplazamiento ordenado por las rutas de evacuación si se escucha el sonido de la alarma. Desplazarse con todo el personal hasta el punto de encuentro asignado. Una vez se haya recibido la orden de evacuar, reunir al personal que tenga a su cargo y obrar según el plan. Equipo de dirección del Plan de Continuidad de Negocios (Valor+): Dirigir, tomar decisiones y aprobar las diferentes etapas de implementación o ajustes al Plan de continuidad de negocio. El Plan de continuidad de negocio cuando se produzca una emergencia será activado sólo por este Equipo de dirección. Coordinador de Continuidad de Negocio (Valor+): Apoyar la activación del Plan de continuidad de negocio. Dar la notificación de emergencia al Sitio Alterno e instalaciones con infraestructura o instalaciones de contingencia fuera de sitio. El Coordinador de Continuidad de Negocio debe ser una persona con conocimiento detallado del Plan de continuidad de negocio.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
8
Volver al índice
Equipo de logística/transporte (Valor+): Hacer los arreglos de emergencia para el transporte, alojamiento y alimentación del personal en el sitio alterno. Ordenar y asegurar la entrega de suministros necesarios fuera de sitio. Equipo de valoración / recuperación de daños (Valor+): Valorar los daños en el sitio del incidente e informar al Equipo de dirección del Plan de Continuidad de Negocios. Trabaja con el Comité de emergencias del Centro Cívico de Antioquia – Plaza la Libertad PH, para verificar que el edificio puede ser ocupado después de un desastre. Equipo de Comunicaciones (Valor+): Gestionar las Relaciones Públicas (Relaciones Públicas y Comunicación de Crisis) y otras comunicaciones (por ejemplo Coordinación con las Autoridades Públicas). Equipo de Telecomunicaciones (Valor+): Recuperar y mantener todas las comunicaciones de voz y comunicaciones de datos. Equipo de tecnología de información (Valor+): Recuperar la operación de todos los sistemas de computación críticos y estaciones de trabajo.
5.2. Políticas de continuidad de negocios
Compromiso de la dirección La alta dirección acompañará, en forma directa o a través de una delegación formal, al equipo de dirección del Plan de continuidad de negocios en la ejecución y actualización del análisis de impacto en el negocio, en la valoración que se realiza de los riesgos, las estrategias de continuidad que se definen y los resultados de los ejercicios o pruebas del Plan. Clasificación de activos de la información El Equipo de dirección del Plan de Continuidad de Negocios debe establecer y usar un marco de trabajo lógico para clasificar todos los activos de información por prioridad de recuperación. Análisis de impacto en el negocio El Equipo de dirección del Plan de Continuidad de Negocio o su designado, debe desarrollar un análisis de impacto de negocios que especificará el período máximo que la organización puede operar sin servicios de procesamiento de información críticos, el período de tiempo en el cual el Equipo de dirección del Plan de Continuidad de Negocios debe decidir si trasladar las actividades a un sitio de procesamiento alterno, y la
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
9
Volver al índice
configuración de recuperación mínima aceptable de los sistemas de información de producción. Preparación y mantenimiento de los Planes de continuidad de negocio El Equipo de dirección del Plan de Continuidad de Negocio debe preparar, actualizar y evaluar regularmente el Plan de Continuidad de Negocios. Pruebas del Plan de continuidad de negocio Los Planes de continuidad de negocio deben ser probados regularmente y esta prueba debe ser documentada en un breve reporte dirigido a la alta dirección detallando los resultados. Planeación de continuidad de negocio y roles de recuperación de tecnología de información Los roles y responsabilidades para la planeación de continuidad de negocios y la recuperación de tecnología de información, deben ser revisados y actualizados anualmente por el Equipo de dirección del Plan de Continuidad de Negocios. Revisión de las políticas de continuidad de negocio Las políticas de Continuidad de Negocios debe ser revisadas en intervalos planeados de tiempo y cuando ocurran cambios significativos en la operación y/o servicios prestados por la organización. Aprobación de las políticas de continuidad de negocio Las políticas de Continuidad de negocio deben ser aprobadas siguiendo los mecanismos de aprobación de las políticas de seguridad de información.
6. ANÁLISIS DE IMPACTO EN EL NEGOCIO El Análisis de Impacto en el Negocio nos permite identificar, de acuerdo al nivel de criticidad para el negocio, qué procesos requieren recuperarse prioritariamente. Los procesos identificados con menor prioridad serán incluidos en los diferentes planes asociados a continuidad de negocio a medida que dicha gestión adquiera mayores niveles de madurez. Teniendo en cuenta la estructura de procesos de Valor+, se evalúa el nivel de impacto de una interrupción dentro de la entidad. El impacto operacional negativo de una interrupción se mide utilizando un esquema de valoración, con los siguientes niveles: A, B o C. Nivel A: La operación es crítica para el negocio. Una operación es crítica cuando al no contar con ésta, la función del negocio no puede realizarse.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
10
Volver al índice
Nivel B: La operación es una parte integral del negocio, sin ésta el negocio no podría operar normalmente, pero la función no es crítica. Nivel C: La operación no es una parte integral del negocio.
MACROPROCESO PROCESO N1 PROCESO N2 NIVEL DESCRIPCIÓN
Estratégicos
Planeación
estratégica
Planeación
estratégica B
Determinar las orientaciones estratégicas
en la Entidad, mediante procesos de
planeación y mejoramiento continuo, para
el cumplimiento de los Objetivos
Estratégicos
Riesgos Riesgos B
Identificar los riesgos de los procesos de
la Entidad, incluidos en la Matriz y/o Mapa
de riesgos y realizarle el control y
seguimiento adecuado para mitigarlos y/o
eliminarlos
Información y
comunicación
Información y
comunicación C
Gestionar la comunicación interna y
externa de la Entidad mediante la
definición de las políticas de información y
comunicación corporativas, con el fin de
informar la gestión empresarial de manera
clara y oportuna a todos los grupos de
interés
Talento humano Talento humano B
Administrar el recurso humano en forma
efectiva y oportuna de acuerdo con las
necesidades de la empresa, atendiendo
los requerimientos derivados de selección,
permanencia y retiro de los empleados, a
través de las actividades de
administración de salarios, formulación y
actualización del manual de funciones y la
implementación del Plan de Desarrollo del
Talento Humano
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
11
Volver al índice
MACROPROCESO PROCESO N1 PROCESO N2 NIVEL DESCRIPCIÓN
Misionales
Comercial Comercial C Cumplir con las ventas acordadas en el
plan de estratégico de la compañía
Servicios
Soporte a la
operación de
servicios:
- Procedimiento
Contact Center
- Procedimiento
Mesa de servicios
- Procedimiento
Monitoreo
- Procedimiento
base de datos de
conocimiento
A
Operar los servicios ofrecidos a nuestros
clientes cumpliendo con nuestros
compromisos contractuales y
garantizando los resultados esperados en
calidad, oportunidad y costo
Apoyo
Financiera y
contable
Financiera y
contable B
Direccionar el Proceso de Gestión
Financiera y Contable, abarcando los
procedimientos de Tesorería,
Contabilidad, Presupuesto y Finanzas
Corporativas
Administrativa Administrativa C
Mantener y responder por el
funcionamiento administrativo de la
empresa a través de la gestión y control
de los recursos físicos y logísticos
Documental Documental C
Apoyar a todos los procesos en la
adecuada identificación, seguimiento,
almacenamiento, organización,
conservación, tiempos de retención y
disposición final de los registros,
garantizando la custodia de los archivos y
la construcción de la memoria histórica de
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
12
Volver al índice
MACROPROCESO PROCESO N1 PROCESO N2 NIVEL DESCRIPCIÓN
la empresa
Contractual Contractual B
Adquirir los bienes y servicios requeridos
por la empresa durante cada vigencia,
para atender las necesidades previstas en
el Plan Anual de Adquisiciones (PAA)
mediante el desarrollo de los procesos
contractuales
Jurídica Jurídica C
Garantizar el cumplimiento de las normas
constitucionales y legales vigentes de
todas las actuaciones jurídicas y de
representación judicial de VALOR +
S.A.S, además del acompañamiento
efectivo a los procesos, velando por los
intereses de la sociedad
Calidad Calidad C
Asegurar el mantenimiento y
sostenimiento del Sistema de Gestión de
Calidad, mediante el uso de mecanismos
que contribuyan a la mejora continua de
los procesos
Tecnología Tecnología A
Definir e implementar la Estrategia de
Tecnología de Información Corporativa
para soportar la operación del negocio de
forma segura, efectiva y eficiente,
asegurando además que los objetivos de
transformación, crecimiento y expansión
de las unidades de negocio se logren a
través del uso de la Tecnología y de la
Información, posicionándola como una
palanca de valor y un activo estratégico
para el negocio
Control y Seguimiento y Seguimiento y B Realizar el seguimiento y evaluación a la
gestión empresarial, mediante métodos y
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
13
Volver al índice
MACROPROCESO PROCESO N1 PROCESO N2 NIVEL DESCRIPCIÓN
evaluación evaluación evaluación herramientas de control, medición y
análisis de información para el
cumplimiento de las metas
Evaluación
independiente
Evaluación
independiente B
Realizar evaluación independiente y
monitoreo permanente a la empresa, con
el fin de medir eficiencia, eficacia y
economía en las actuaciones y medir los
controles existentes en los diferentes
procesos y la calidad y la efectividad o no
de los mismos, de acuerdo con las
normas constitucionales y legales vigente
En el proceso crítico para Valor+ (Soporte a la Operación de Servicios) se consideran los siguientes procedimientos: Procedimiento Contact Center, Procedimiento Mesa de servicios, Procedimiento Monitoreo y Procedimiento base de datos de conocimiento. A través de estos procedimientos se operan los servicios ofrecidos a nuestros clientes cumpliendo con nuestros compromisos contractuales y garantizando los resultados esperados en calidad, oportunidad y costo. El alcance inicial del BCP de acuerdo a las prioridades definidas, tiene como foco este proceso y procedimientos asociados, en las diferentes etapas de maduración se integrará el análisis de otros procesos considerando la metodología aquí utilizada.
7. PLAN DE CONTINUIDAD OPERATIVA (BCP / ITSMSC) Proceso Soporte a la Operación de Servicios Objetivo del proceso Dar soporte a la operación de los servicios ofrecidos a nuestros clientes cumpliendo con nuestros compromisos contractuales y garantizando los resultados esperados en calidad, oportunidad y costo. Con los siguientes objetivos específicos:
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
14
Volver al índice
- Contact Center: Atender requerimientos relacionados con los servicios prestados a terceros y ayudar a solucionar en el menor tiempo posible las dudas, solicitudes o inconvenientes que se presenten por parte de los usuarios o contribuyentes.
- Mesa de ayuda: Responder de manera oportuna, eficiente, eficaz y con calidad los incidentes, consultas y solicitudes escaladas por el personal de la compañía y sus clientes, dichas solicitudes son canalizadas y atendidas por la Mesa de Ayuda de Valor+, siendo el punto único de contacto para atender los diferentes requerimientos.
- Monitoreo: Generar alertas oportunas que permita cumplir con los indicadores establecidos (operación).
- Base de datos de conocimiento: Diseñar, desarrollar, implementar y mantener la base de datos de conocimiento, a partir de la recepción de los requerimientos funcionales definidos por la operación, con el fin de atender las necesidades de información de los procesos misionales y de apoyo.
Arquitectura del proceso En el proceso de análisis se parte del modelo de arquitectura empresarial (EA) para el proceso, utilizando el modelo TOGAF. Esto permite, no solo para el Plan de Continuidad de Negocios, sino para el análisis de seguridad de información y la planeación de tecnología de información un análisis más detallado y una documentación comprensible para un grupo más amplio de personas, que aquellas con conocimiento en tecnologías de información. La primera parte consiste en la descripción del proceso de negocio (el detalle lo determina el objetivo de análisis y el nivel al cual se toman decisiones o se gestiona el riesgo).
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
15
Volver al índice
Servicios del negocio, funciones del proceso El Soporte a la Operación de Servicios, a través de una serie de procedimientos y actividades permiten que la organización cumpla su propuesta de valor de cara a los clientes; a continuación se identifican los servicios (tareas) que se deben considerar en las etapas posteriores de análisis y cuál sería el impacto en caso de que dichos servicios no se pudieran prestar. Los servicios o funciones se definen a partir del gráfico del proceso presentado anteriormente.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
16
Volver al índice
SERVICIO-FUNCIÓN IMPACTO POR NO DISPONIBILIDAD DEL SERVICIO-FUNCIÓN
Información de liquidación
El servicio no se puede prestar, afectando los ingresos del cliente
externo y de Valor+. Genera pérdida de imagen e insatisfacción del
cliente y del contratante
Estado de cuenta
El servicio no se puede prestar. Puede afectar la oportunidad de
trámites. Genera pérdida de imagen e insatisfacción del cliente y del
contratante
Información general
El servicio no se puede prestar. Puede conllevar a una afectación
económica. Genera pérdida de imagen e insatisfacción del cliente y
del contratante
Soporte servicios de plataforma
Afecta la operación de proyectos y su atención. Puede tener impacto
económico y pérdida de imagen ante el contratante. Puede afectar los
Acuerdos de Niveles de Servicio
Cambios menores Puede tener impacto económico y pérdida de imagen ante el
contratante. Puede afectar los Acuerdos de Niveles de Servicio
Respuesta a clientes internos y externos y
corporativos
El servicio no se puede prestar, afectando los ingresos del cliente
externo y de Valor+. Genera pérdida de imagen e insatisfacción del
cliente y del contratante
Service desk
Afecta la respuesta a los incidentes, consultas y solicitudes escaladas
por el personal de la compañía y sus clientes. Puede afectar los
Acuerdos de Niveles de Servicio
Monitoreo de infraestructura
No se registrarán eventos en la infraestructura que dependiendo de su
nivel podrían afectar el desempeño de la infraestructura y los Acuerdos
de Niveles de Servicio.
Gestión de eventos
Afecta la respuesta a los incidentes, consultas y solicitudes escaladas
por el personal de la compañía y sus clientes. Puede afectar los
Acuerdos de Niveles de Servicio
Gestión de incidentes Afecta la respuesta a los incidentes, consultas y solicitudes escaladas
por el personal de la compañía y sus clientes. Puede afectar los
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
17
Volver al índice
Requerimientos del proceso Se identifican los requerimientos de información, suministros o personas que requiere el proceso para poder operar.
Acuerdos de Niveles de Servicio
Gestión de problemas
Afecta la respuesta a los incidentes, consultas y solicitudes escaladas
por el personal de la compañía y sus clientes. Puede afectar los
Acuerdos de Niveles de Servicio
Gestión de soporte servicios de plataforma
Afecta la respuesta a los incidentes, consultas y solicitudes escaladas
por el personal de la compañía y sus clientes. Puede afectar los
Acuerdos de Niveles de Servicio
Gestión de contacto directo
El servicio no se puede prestar, afectando los ingresos del cliente
externo y de Valor+. Genera pérdida de imagen e insatisfacción del
cliente y del contratante
Gestión solicitudes de servicio
Afecta la respuesta a las solicitudes escaladas por el personal de la
compañía y sus clientes. Puede afectar los Acuerdos de Niveles de
Servicio
Service desk cliente corporativo
Insatisfacción del cliente (ciudadano). Afecta la respuesta a los
incidentes, consultas y solicitudes escaladas por el personal de la
compañía y sus clientes. Puede afectar los Acuerdos de Niveles de
Servicio
IVR
Afecta ejecución de un proyecto, afecta indicadores y probablemente
Acuerdos de Niveles de Servicio. Podría llevar a insatisfacción del
cliente
Campañas de salida
No se podrían efectuar campañas de salida, con la posibilidad de
afectar los ingresos si las campañas no pueden ser pospuestas o si su
efectividad se ve afectada
Tipificación, evaluación y mejoramiento No se podrían presentar reportes de indicadores y estadísticas
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
18
Volver al índice
Requerimientos de información de entrada Información de entrada que requiere el proceso, qué impacto tiene sobre el proceso la no disponibilidad de esa información, quién suministra esa información y si existe otra fuente (o siempre debe ser la misma fuente) que pueda suministrar esta información en caso de que las fuentes primarias no estén disponibles.
INFORMACIÓN DE
ENTRADA
FUENTE
PRIMARIA
IMPACTO
SOBRE EL
PROCESO POR
LA NO
DISPONIBILIDAD
FRECUENCIA
(ÉPOCA - FECHA)
FUENTE
ALTERNATIVA
Llamada telefónica solicitud
de información general Ciudadano
No prestación del
servicio Diario Ninguna
Llamada telefónica solicitud
de información de liquidación Ciudadano
No prestación del
servicio Diario Ninguna
Estado de cuenta Sistema cliente
corporativo
No prestación del
servicio Diario
Depende del plan de
continuidad del
cliente corporativo
Ticket del service desk –
Información de desempeño
Áreas internas
Valor+
Atención sin
generación de
ticket
Diario Registro manual
Ticket del service desk –
Cambios y configuraciones
menores
Agentes y
supervisor de
servicio
Atención sin
generación de
ticket
Semanal - Mensual Registro manual
Información de plataforma Herramientas de
monitoreo
No se realiza el
monitoreo Diario
Comandos manuales
en equipos y
servidores
Información de campañas Áreas internas
Valor+
No se realiza la
campaña Mensual Ninguna
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
19
Volver al índice
Requerimientos de información de salida Información resultado del proceso, para otros procesos internos o para entes externos (incluyendo reportes para entes reguladores). A quién está destinada esta información?, cuál es la sanción por el incumplimiento (ya sea internamente o en el caso de reportes para entes reguladores)?, cuál es la frecuencia y fechas en que esta información debe ser producida y entregada?, y cuáles podrían ser alternativas de generación para entregar a procesos o entes externos esta información de salida?.
INFORMACIÓN DE
SALIDA
QUIÉN
RECIBE
IMPACTO – SANCIÓN
POR
INCUMPLIMIENTO
FRECUENCIA
(ÉPOCA - FECHA)
ALTERNATIVA DE
GENERACIÓN
Información general
(oficinas, sitios y fechas
de pago, etc.)
Ciudadano
Definido en los
Acuerdos de Niveles de
Servicio
Diario Conexiones alternas a
cliente corporativo
Información de
liquidación Ciudadano
Definido en los
Acuerdos de Niveles de
Servicio
Diario Conexiones alternas a
cliente corporativo
Reportes de
desempeño
Áreas
internas
Valor+ /
Cliente
corporativo
externo
Ninguna
(insatisfacción) Diario
Recolección manual de
la información a partir
de archivos de registro
(logs)
Cierre de ticket
Áreas
internas
Valor+
Ninguna
(insatisfacción) Diario Llamada directa
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
20
Volver al índice
Requerimientos tecnológicos Definen los elementos tecnológicos requeridos para ejecutar los diferentes servicios o funciones, tanto a nivel de componentes de software como infraestructura. Estos elementos se detallan a un nivel suficiente que permita realizar el análisis objetivo, a nivel de componentes de tecnología de información para definir estrategias de continuidad de la misma (ITSMC en ITIL) como a nivel de la estrategia de recuperación de sitio (DRP). Para el componente de redes se presenta un detalle mayor para el análisis utilizando elementos de diagramas de arquitectura empresarial (y no un diagrama de redes tradicional) con el fin de mantener la consistencia con un objetivo a mediano plazo de Valor+ sugerido en las políticas de Gobierno Digital, llevar a un estado mayor la calificación de madurez de arquitectura empresarial para la organización.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
21
Volver al índice
Se identifica entonces el software (aplicaciones) o hardware utilizado, para qué actividad se utiliza ese recurso, el impacto que tiene sobre el proceso si éste no se encuentra disponible y en caso que no se encuentre disponible que se debe hacer como contingencia (ya sea considerado como componente independiente o en el caso de un desastre que requiera que la operación se traslade a un sitio alterno).
SOFTWARE/
HARDWARE/RECURSO
UTILIZACIÓN DEL
RECURSO
IMPACTO SOBRE EL
PROCESO POR LA NO
DISPONIBILIDAD
TRATAMIENTO DE
CONTINGENCIA
PLANTEADO
Software VMW
Proporciona ambientes
de ejecución virtual para
el software de PBX,
Software de Help Desk,
IVR, Intranet y Extranet
No se puede ejecutar el
proceso al no poderse
ejecutar el software de
PBX, Software de Help
Desk, IVR, Intranet y
Extranet
Componente (ITSMC): Se
tienen copias de todas las
VM´s que están en los VMW1 y
VMW2 en un servidor alterno
VMW3 dentro del mismo centro
de datos.
Sitio alterno (DRP): El sitio
alterno se contrata con este
componente
Software PBX
Cumplir con las
funcionalidades de una
central telefónica para
No se podría ejecutar el
proceso para las
actividades
Componente (ITSMC): El
servicio se enruta a AWS
mientras se levanta la VM del
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
22
Volver al índice
llamadas entrantes y
salientes
dependientes de
telefonía
VMW3
Sitio (DRP): El sitio alterno se
contrata con este componente.
El sitio de contingencia todos
los agentes contestan todos
los servicios.
Si la atención en sitio alterno
es por un largo periodo se
recuperan respaldos (AWS S3)
y se reinstalan en la nueva
infraestructura (CDR, bases de
datos y configuración del PBX)
Software Help Desk
(OTRS)
Plataforma para la
atención de eventos y
soporte de servicios de
tecnología de
información
El proceso se puede
ejecutar. Se podría
prestar el soporte
realizando inicialmente
un registro manual
Componente (ITSMC): Tiene
los niveles de disponibilidad de
AWS
Sitio (DRP): Tiene los niveles
de disponibilidad de AWS
Gestión conocimiento y
autoayuda OTRS
Plataforma para
almacenar el análisis de
gestión de problemas
creando las bases para
la atención de futuros
eventos y la autogestión
No se contaría con este
servicio pero el proceso
podría seguir operando
Componente (ITSMC): Tiene
los niveles de disponibilidad de
AWS
Sitio (DRP): Tiene los niveles
de disponibilidad de AWS
IVR
Plataforma de telefonía
que permite interactuar
con un sistema de
audiorespuesta a través
de opciones utilizando
los tonos del teclado
telefónico o
instrucciones simples de
voz
No se contaría con este
servicio pero el proceso
podría seguir operando
Componente (ITSMC): El
servicio se enruta a una
máquina en AWS mientras se
levanta la VM del VMW3
Sitio (DRP): No se ofrecerá al
ciudadano este servicio.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
23
Volver al índice
Intranet y extranet CRM &
KDB
Plataformas de trabajo
colaborativo orientadas
al público interno y
externo (clientes),
recogiendo información
para la formación en los
servicios prestados por
Valor+ y temas de
interés relacionados
No se contaría con este
servicio pero el proceso
podría seguir operando
Componente (ITSMC): Tiene
los niveles de disponibilidad de
AWS
Sitio (DRP): Tiene los niveles
de disponibilidad de AWS
LAN
Red de Área Local.
Infraestructura de
comunicación a nivel
local que permite la
interconexión y uso de
recursos de hardware y
software
No se permitiría la
interconexión y uso de
recursos de hardware y
software en el área local
y afectaría la
conectividad a Internet.
El proceso no podría
seguir operando
Componente (ITSMC): Se
tiene equipos y conectividad
redundante
Sitio alterno (DRP): El sitio
alterno se contrata con este
componente
Firewall
Elemento de protección
que permite controlar el
tráfico entre elementos
de la red
Se perdería parte del
control de acceso a los
elementos de la red
afectando el nivel de los
riesgos de seguridad de
información
Componente (ITSMC): Se
tiene equipo redundante y se
redirige el tráfico a este
componente
Sitio alterno (DRP): El sitio
alterno se contrata con este
componente
Internet
Red descentralizada de
recursos a nivel global
que permite la
interconexión a través
del protocolo de
comunicaciones TCP/IP
No se permitiría la
interconexión y uso de
recursos y servicios
ofrecidos o soportados
a través de esta red . El
proceso no podría
seguir operando
Componente (ITSMC): Se
tiene servicio de Internet
redundante, con
configuraciones replicadas
sobre cada conexión para una
respuesta rápida a la
contingencia
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
24
Volver al índice
Sitio alterno (DRP): El sitio
alterno se contrata con este
componente
Software CC (Internet)
Plataforma que permite
a los agentes
administrar las llamadas
telefónicas de los
clientes, de una manera
eficiente permitiendo
además la trazabilidad y
generación de
estadísticas
El proceso se seguiría
ejecutando pero con
limitaciones. No se
podría tener interacción
con el cliente a través
de esta plataforma, se
haría de forma estática
sin tipificación
Componente (ITSMC):
Asignación estática de agentes
a colas, no se utiliza el
software de CC, por lo tanto,
se trabaja sin tipificación.
Sitio (DRP): No se utiliza este
software en el sitio alterno.
Troncal SIP (Internet)
Servicio de telefonía
que permite conectar el
software de PBX a la
red telefónica, a través
del protocolo TCP/IP en
Internet
No se podría ejecutar el
proceso para las
actividades
dependientes de
telefonía
Componente (ITSMC): Por la
configuración y el servicio
contratado con el proveedor, si
la falla es solo para el servicio
de Valor+ todas las llamadas
se enrutan al sitio alterno. El
personal debe desplazarse al
sitio alterno.
Si la falla del servicio es
general del proveedor no se
puede realizar ningún
tratamiento.
Sitio (DRP): El sitio alterno se
contrata con este servicio, pero
de menor simultaneidad
SMS (Internet)
Servicio de mensajería
simple o de mensajes
cortos a teléfonos
móviles utilizado por
Valor+ para realizar
No se contaría con este
servicio pero el proceso
podría seguir operando
Componente (ITSMC): El
servicio lo ofrece un proveedor
a través de Internet, tiene los
ANS del proveedor, no se
requiere disponibilidad 100%,
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
25
Volver al índice
campañas si no esta disponible no se
realizan campañas
Sitio (DRP): El servicio lo
ofrece un proveedor a través
de Internet, tiene los ANS del
proveedor, no se requiere
disponibilidad 100%, si no está
disponible no se realizan
campañas
E-mail campañas (Internet)
Servicio de mensajería
electrónica utilizado por
Valor+ para realizar
campañas
No se contaría con este
servicio pero el proceso
podría seguir operando
Componente (ITSMC): El
servicio lo ofrece un proveedor
a través de Internet, tiene los
ANS del proveedor, no se
requiere disponibilidad 100%,
si no está disponible no se
realizan campañas.
Sitio (DRP): El servicio lo
ofrece un proveedor a través
de Internet, tiene los ANS del
proveedor, no se requiere
disponibilidad 100%, si no está
disponible no se realizan
campañas.
Telefonía extendida
Servicio de telefonía
que incluye telefonía fija
y a celular para
llamadas de salida
No se contaría con este
servicio pero el proceso
podría seguir operando
Componente (ITSMC): El
servicio lo ofrece un proveedor
a través de Internet, tiene los
ANS de Google Cloud, no se
requiere disponibilidad 100%,
No se usa para llamadas de
entrada, si no está disponible
no se realizan llamadas de
salida a los destinos utilizados
con este proveedor
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
26
Volver al índice
Requerimientos de personal Hasta el momento se han identificado los requerimientos de información y tecnológicos para la ejecución del proceso, otro recurso de vital importancia son las personas, cuya no disponibilidad podría interrumpir completamente un proceso. En el tratamiento de continuidad se considera como medida preventiva la preparación adicional (capacitación) que requieren otros miembros de los equipos de trabajo para poder realizar esas labores en caso de una contingencia. Para cada uno de los roles (cargos) requeridos para la ejecución del proceso, ¿qué impacto tendría que éste no estuviera disponible? ¿Y qué se podría hacer o qué alternativas tienen para que el proceso pueda ser ejecutado en caso de que algún miembro del personal no esté disponible?
Sitio (DRP): El servicio lo
ofrece un proveedor a través
de Internet, tiene los ANS de
Google Cloud, no se requiere
disponibilidad 100%, No se usa
para llamadas de entrada, si
no está disponible no se
realizan llamadas de salida a
los destinos utilizados con este
proveedor
Canales dedicados clientes
corporativos
Canales de
comunicación
establecidos con los
clientes ya sea como
Internet, redes privadas
sobre Internet o por
conexiones establecidas
directamente
No se podría tener
acceso a las
plataformas de los
clientes por lo que no se
podría prestar los
servicios que dependan
de dichas plataformas
Componente (ITSMC):
Conexiones por VPN
Sitio alterno (DRP):
Conexiones por VPN
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
27
Volver al índice
CARGO IMPACTO SOBRE EL PROCESO
POR LA NO DISPONIBILIDAD
TRATAMIENTO DE
CONTINGENCIA PLANTEADO
Administrador VMW
No sería posible realizar acciones de
soporte y configuración como
creación de nuevas máquinas
virtuales, recuperación de imágenes
anteriores, revisión y aseguramiento
de copias de imágenes, aumento de
espacio en disco de máquinas
virtuales, revisión de estado de
máquinas, solucionar situaciones
que impiden que una máquina virtual
se inicie, no sería posible
sobreponerse a bloqueos de red del
servidor ESXI.
Documentación de pares –
Instructivos operacionales
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
28
Volver al índice
Administrador PBX
Si por algún motivo falla el software
de PBX no sería posible revisar el
motivo y subir de nuevo el servicio,
no se podrían realizar nuevas
configuraciones, ni cambiar
grabaciones de mensajes, no se
tendría quien revise los respaldos y
las copias de las grabaciones en
AWS S3, no se podrían revisar fallas
de canales que impiden utilización
de troncales, no se podrían
desbloquear IP’s banneadas ni
solucionar situaciones de softphone,
no se tendría quien realice nuevas
configuraciones en la aplicación de
aprovisionamiento del softphone ni
sería posible dar soporte, revisar y
solucionar problemas de
configuración realizados por
personal de la mesa de ayuda.
Documentación de pares –
Instructivos operacionales
Administrador OTRS
No se podría realizar nuevas
configuraciones de servicios,
adicionar usuarios, generar nuevos
reportes.
Documentación de pares –
Instructivos operacionales
Administrador IVR
No se podría revisar y buscar fallas
en el servicio, agregar mensajes,
realizar configuraciones de acuerdo
a fechas especiales ni adicionar
nueva funcionalidad.
Documentación de pares –
Instructivos operacionales
Administrador Intranet y Extranet
No se podría prestar el servicio
afectando todos los procesos que las
utilizan, las comunicaciones internas,
los flujos de procesos, compartir
archivos, etc.
Documentación de pares –
Instructivos operacionales
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
29
Volver al índice
Administrador LAN
No se tendría ningún servicio que la
utiliza como Internet, intranet,
extranet, telefonía, call center, y
demás plataformas de servicio.
Documentación de pares –
Instructivos operacionales
Administrador Internet
No se podría revisar las fallas y
solucionarlas, enrutar por diferentes
canales o por el alterno, no se
prestaría a los usuarios los servicios
que lo requieren para poder
ejecutarse como OTRS, software
CC, Telefonía extendida, intranet,
extranet
Documentación de pares –
Instructivos operacionales
Administrador Software CC (Internet)
No se podrían realizar reportes, ni
revisar y monitorear el servicio
prestado, reasignar usuarios a colas,
descargar grabaciones y realizar
monitoreo de calidad de servicio.
Documentación de pares –
Instructivos operacionales
Administrador Troncal SIP (Internet)
No se prestaría a los usuarios el
servicio y no sería posible revisar
fallas y solucionarlas. No se tendría
servicio de llamadas de entrada o
salida local en el call center.
Documentación de pares –
Instructivos operacionales
Administrador SMS (Internet)
No sería posible ejecutar las
campañas, revisar y evaluar los
reportes de la campaña realizada.
Documentación de pares –
Instructivos operacionales
Administrador E-mail campañas
(Internet)
No sería posible ejecutar las
campañas, revisar y evaluar los
reportes de la campaña realizada.
Documentación de pares –
Instructivos operacionales
Administrador telefonía extendida
No se prestaría a los usuarios el
servicio y no sería posible revisar
fallas y solucionarlas o enrutar el
tráfico a otro proveedor.
Documentación de pares –
Instructivos operacionales
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
30
Volver al índice
Administrador de base de datos
(Internet)
No se podría solucionar posibles
fallos o lentitud de la base de datos
ni recuperar información de copias
de seguridad y afectaría el servicio
que las utiliza.
Documentación de pares –
Instructivos operacionales
Administrador canales dedicados
clientes corporativos
Si se pierde la conectividad por
canales dedicados y no se tiene un
administrador con conocimiento para
solucionar la situación se afectan los
servicios que lo utilizan para
consultas a host de clientes o para
comunicaciones telefónicas, lo cual
conlleva a afectación de estos
servicios algunos de los cuales no se
pueden solventar con VPN’s sobre
Internet.
Documentación de pares –
Instructivos operacionales
Supervisor Contact Center
No se podrían realizar reportes,
medir efectividad de campañas,
capacidad del call center, realizar
campañas de llamadas de salida,
SMS y correos electrónicos,
tampoco revisar y monitorear el
servicio prestado, reasignar usuarios
a colas, descargar grabaciones y
realizar monitoreo de calidad de
servicio, tampoco dar soporte en
información de proceso o servicios a
los agentes para resolver dudas en
la atención a los usuarios.
Personal capacitado en la estructura
organizacional del Contact Center
(pares)
Documentación de pares –
Instructivos operacionales
Agentes
En la planeación de los turnos de
atención del call center siempre se
tiene en cuenta la posible falta al
puesto de trabajo de un porcentaje
de agentes, este porcentaje se
calcula con el histórico de ausencias
Planeación de disponibilidad
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
31
Volver al índice
reportadas, por lo tanto, se tiene
contemplado posibles ausencias de
este cargo.
Supervisor Mesa de servicio
Algunas de sus responsabilidades, y
funciones no se podrían ejecutar de
la mejor manera, ya que las
personas que podrían reemplazarlas
no tienen el mismo perfil ni
capacidades, ni relacionamiento con
los clientes.
Documentación de pares –
Instructivos operacionales
Agentes Mesa de servicio
La capacitación de los agentes en
las diferentes mesas de servicio
permite que cada uno de ellos pueda
atender todos los frentes que la
mesa soporta, por lo tanto en
ausencia de un agente los demás
pueden realizar las labores sin
generar afectación del servicio.
Capacitación de agentes Mesa de
Servicio
Documentación de pares –
Instructivos operacionales
Administrador servicios AWS
No se podría estar evaluando el
costo del uso de la nube, buscar y
evaluar formas de reducir facturación
modificando servicios, tampoco
implementar nuevos servicios ni
realizar modificaciones a los ya
existentes. En caso de falla del
sistema no se podría evaluar la
causa ni generar ninguna acción de
solución, tampoco se podría hacer
verificación proactiva de los servicios
evitando la falla o caída de éstos.
Documentación de pares –
Instructivos operacionales
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
32
Volver al índice
8. PLAN DE RECUPERACIÓN A DESASTRES (DRP) Requerimientos tecnológicos sitio alterno De acuerdo a la información anterior se definió la infraestructura mínima para operación en contingencia.
Una vez identificados los procesos críticos del negocio, se deben establecer los tiempos de recuperación que son una serie de componentes correspondientes al tiempo disponible para recuperarse de una alteración o falla de los servicios. Los tiempos de recuperación de describen a continuación: - Punto objetivo de recuperación (RPO): Punto en el tiempo en el cual los sistemas y
datos deben ser recuperados después de que un desastre ocurra. - Punto Tiempo objetivo de tiempo de recuperación (RTO): Periodo de tiempo máximo-
aceptable que puede pasar antes que la falta de una función de negocio impacte la organización de una manera severa.
- Tiempo de Recuperación de Trabajo (WRT): Tiempo disponible para recuperar datos perdidos una vez que los sistemas están reparados.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
33
Volver al índice
HW / SW
ACTIVO DE
INFORMACIÓN
RELACIONADO
RTO
(Horas
)
RPO
(Horas)
WRT
(Horas)
RAZÓN/JUSTIFICACIÓN
CALIFICACIÓN
Software VMW
Ninguno. Solo se
requiere
configuración
mínima de
hardware
0 0 0
El sitio alterno se contrata con
este componente, debe tener
mínimo 4 VCPU, 8 GB RAM y
50 GB de disco
Software PBX
Base de datos
CDR,
Grabaciones,
Base de datos
configuración de
la planta
4 1
0 2
24 4
El sitio alterno se contrata con
este componente. El sitio de
contingencia todos los agentes
contestan todos los servicios.
Si la atención en sitio alterno
es por un largo periodo se
recuperan respaldos (AWS S3)
y se reinstalan en la nueva
infraestructura (CDR, bases de
datos y configuración del PBX)
FreePBX 0 24 0
Debe tener la misma versión
de producción de módulos,
Asterix y FreePBX, es
responsabilidad del proveedor
de sitio alterno mantener
actualizada a la versión de
producción accediendo a la
información de Valor+
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
34
Volver al índice
HW / SW
ACTIVO DE
INFORMACIÓN
RELACIONADO
RTO
(Horas
)
RPO
(Horas)
WRT
(Horas)
RAZÓN/JUSTIFICACIÓN
CALIFICACIÓN
disponble en la nube
LAN Sitio Alterno
Configuraciones
de acceso a la
infrestructura de la
Gobernación.
Dominios de
cifrado
0 0 0
El sitio alterno se contrata con
este componente, debe
mantenerse preconfigurado
Firewall sitio
alterno
Preconfiguración
en sitio alterno 0 0 0
El sitio alterno se contrata con
este componente. Debe estar
preconfigurado
Internet Preconfiguración
en sitio alterno 0 0 0
El sitio alterno se contrata con
este componente. Debe estar
preconfigurado
Troncal SIP Preconfiguración
en sitio alterno 0 0 0
El sitio alterno se contrata con
este servicio, pero de menor
simultaneidad. Debe estar
preconfigurado
Software Help
Desk
Toda la
plataforma 0 12 0
Tiene los niveles de
disponibilidad de AWS
Motor Base de
Datos
Toda la
plataforma 0 12 0
Tiene los niveles de
disponibilidad de AWS
Canales dedicados
clientes
corporativos
Preconfiguración
en sitio alterno 0 0 0
Conexiones por VPN. Deben
estar preconfigurados los
clientes VPN
1. Recuperación completa para traslado a sitio alterno durante un largo periodo de tiempo 2. No es necesaria recuperación completa, se opera como se encuentre la instalación
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
35
Volver al índice
9. PLAN GENERAL DE MANEJO DE LA CRISIS
9.1. Plan de comunicación de la crisis
El plan de comunicación de la crisis provee las políticas y procedimientos requeridos para la coordinación de las comunicaciones de Valor+ y su personal, los medios y el público en general en caso de una emergencia o un evento que así lo amerite. Las emergencias pueden incluir sismos, atentados – explosiones, incendios, inundaciones, etc. Este Plan de comunicaciones no modifica la forma en que las emergencias son inicialmente reportadas, analizadas y comunicadas por el Puesto de Mando Unificado (PMU). Los objetivos del Plan son: - Coordinar toda la información que debe ser difundida - Proporcionar a los medios de comunicación y partes interesadas consistencia en la
información - Designar un grupo específico de personas (titulares y suplentes) con la responsabilidad
de difundir la información - Identificar los aspectos que deben ser informados acerca de una situación determinada - Comunicar los hechos acerca de la emergencia Organización Jefe o Coordinador General de Emergencias Es la máxima instancia para decisiones operacionales durante la fase de Control de la emergencia, el cual es responsable de la implantación del plan y posee el máximo nivel estratégico de decisión. Entre sus principales funciones están: - Decretar el estado de emergencia y su categoría - Tomar decisiones estratégicas necesarias para el manejo de la emergencia - Coordinar las diferentes funciones de emergencia, así como la actuación de los grupos
de apoyo internos - Coordinar la intervención de los grupos internos con los grupos de operación externos - Ordenar la evacuación parcial o total de las instalaciones - Coordinar con los organismos asesores internos la utilización de recursos necesarios
para el control de las emergencias - Declarar la finalización de la fase de control del evento - Coordinar con las demás dependencias de la organización las labores de
reconstrucción
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
36
Volver al índice
Puesto de Mando Unificado – PMU Propiedad Horizontal Es el sitio donde se reúne el Comité de Emergencia para Coordinar y atender la emergencia. Es el lugar donde se centraliza la información y la toma de decisiones durante una emergencia. En la cadena de intervención técnica está integrado por un representante de cada uno de los grupos comprometidos en la atención y reparación del daño. Sus funciones son: - Evaluar la magnitud del evento y sus efectos - Organizar el plan de actividades - Adoptar y transmitir ordenes - Conseguir y coordinar los recursos requeridos - Canalizar la información para los medios de comunicación y la comunidad - Hacer informes de las actividades realizadas - Dar la orden de regreso a la normalidad Notificación de emergencias Para la notificación se requiere de un sistema de registro de información, y los medios que permitan conocer cuándo, dónde y de qué magnitud es la amenaza o el desastre. Estos mecanismos deben estar dispuestos para los empleados y las áreas vulnerables. El Comité ha definido la siguiente organización interna para dar respuesta a los programas de prevención, atención y recuperación en caso de emergencias y desastres. Componentes: - El Informante: Es la persona o el equipo de monitoreo que da el aviso de la existencia
de un peligro - El Receptor Inicial: Es la persona disponible para recibir, procesar y verificar la
información. Se debe disponer de este medio las 24 horas del día durante todo el año - Evaluación del mensaje y toma de decisiones: Es el nivel de la organización que debe
valorar el aviso del informante y determinar la importancia de notificar la emergencia a otras instancias administrativas y personas afectadas
- A su vez incluye la notificación a los integrantes del Comité de Emergencias quienes determinan la magnitud de la emergencia y los impactos esperados
- Declaración de alerta y alarma: Es el mecanismo que permite informar oportuna y adecuadamente a todas las personas e instituciones implicadas en la situación generada y la puesta en marcha de los planes operativos.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
37
Volver al índice
- El aviso: Es la información que se trasmite y determina la declaración de alerta o alarma. Esto debe contener el motivo de la emergencia, las instrucciones básicas y resumidas sobre el que hacer en este momento
- Se ha establecido una Cadena de Llamadas, para notificar a los responsables oportunamente
- Se tiene en cuenta que puede haber dificultades en las comunicaciones. Se considera que si el sistema falla, la misma ocurrencia del evento informará a los responsables para que asuman sus funciones
- La Cadena de llamadas se debe actualizar constantemente y se entregará copia a todos los involucrados cada vez que se actualice
Mecanismos de Comunicación
Mecanismo Utilización
Contacto telefónico directo o contacto
personal
Valor+ tiene un representante en el Comité de Emergencias y en
la Brigada de emergencias de la Propiedad Horizontal
En el Comité de Emergencias se toma la decisión de evacuación.
El representante de Valor+ es el responsable de comunicar al
Gerente y al personal la orden de evacuación
Se busca prioritariamente la protección de vidas humanas
El representante de Valor+ en el Comité de Emergencias
transmite el alcance de la misma al Gerente y personal de Valor+
Contacto personal
El PMU (solamente lo componen miembros de la Propiedad
Horizontal), se reúne en el punto de encuentro con el Comité de
Emergencias para informar el alcance de la emergencia.
Contacto telefónico directo
Utilizado por el PMU para la mayor parte del contacto externo.
Utilizado por Valor+ para el contacto con familiares que consultan
sobre una situación de emergencia.
Contacto directo con el personal
Utilizado por Valor+ para contactar a los familiares del personal
cuando se presentan lesiones graves o muertes (siempre que sea
posible)
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
38
Volver al índice
Línea de Emergencia de Valor+ Utilizado por los empleados para obtener información sobre las
condiciones de emergencia
Correo electrónico Utilizado por Valor+ para contactar a los empleados
Página Web Utilizado por los empleados para obtener información sobre las
condiciones de emergencia
Responsables de la Comunicación Los miembros titulares y suplentes asignados para realizar contactos internos y externos son los siguientes:
Responsabilidad Miembro Titular Miembro Suplente
Responsabilidad general PMU Propiedad Horizontal Dirección Administrativa
Línea de emergencia de VALOR+ Dirección Administrativa Gerencia Administrativa y Financiera
Contacto con los medios Gerencia General Secretaría General
Contacto con los empleados Dirección Administrativa Gerencia Administrativa y Financiera
Contacto con los familiares de los
empleados Dirección administrativa Gerencia Administrativa y Financiera
Contacto con los clientes Gerencia de Operaciones Gerencia de Tecnología
Contacto con entes gubernamentales Gerencia General Secretaría General
Contacto con las compañías de Dirección Administrativa Gerencia Administrativa y Financiera
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
39
Volver al índice
Seguros
Contacto con los proveedores para la
recuperación de la tecnología de
Información en sitio
Dirección de Infraestructura Gerencia de Tecnología
Contacto con los proveedores para la
recuperación en sitio Dirección de Infraestructura Gerencia de Tecnología
Contacto con los proveedores Dirección de Compras Secretaría General
Contacto con los contratistas Dirección Jurídica Contractual Secretaría General
Contacto con vendedores Dirección Administrativa Gerencia Administrativa y Financiera
Nota: El PMU desarrolla oportunamente las “declaraciones o informes” de la situación ocurrida a fin de que todos los involucrados con las comunicaciones internas y externas utilicen la misma declaración. En algunos casos los “Directores” y personas específicas podrán ser mencionados por su nombre – especialmente para el contacto con vendedores, subcontratistas, proveedores, etc. Las personas identificadas en el cuadro anterior son las únicas autorizadas para realizar los contactos ahí establecidos – nadie más esta autorizado para realizar dichos contactos. Comunicación con empleados Sistemas de notificación Alerta-Alarma La alerta es el aviso de la situación de peligro e implica estar dispuestos para actuar. La alarma es la señal que se debe adoptar para indicar la necesidad de salir en forma inmediata de la edificación. A la fecha se tiene establecido como sistema de alarma la utilización de pitos codificados así: un pitazo prolongado y fuerte, se cuenta hasta cinco, se vuelve a sonar el pito, se hace durante tres veces y se continúa la orientación por parte del líder o coordinador de evacuación. Este sistema se conoce como intermitente. La alerta es dada por la persona que inicialmente contacta con la fuente del riesgo. Se informa a Recepción quien notifica al Supervisor de Vigilancia y al Comité de Emergencias,
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
40
Volver al índice
quienes corroboran y evalúan el nivel de riesgo o daños y establecen la conveniencia de la evacuación. Regreso a la normalidad (ocupación) Es la información que indica la terminación de la emergencia o ejercicio de entrenamiento (simulacro), el regreso a la normalidad o la disminución del peligro. Una vez controlado el evento le corresponderá al Coordinador Plan PPRE ordenar el regreso a la normalidad. En el caso de una evacuación será el mismo Coordinador el encargado de ordenar el regreso a las dependencias. Desastres graves con impacto en toda la comunidad Surgen dos nuevos problemas con este tipo de desastres en la comunidad. Primero, La infraestructura de comunicaciones puede estar inhabilitada. Segundo, Los empleados pueden ser directamente afectados por el desastre, lo que vuelve difícil o imposible un rápido retorno al trabajo. Si ocurre un desastre en la comunidad, la administración puede necesitar ponerse en contacto con el personal directamente. Esto se puede lograr si cada supervisor contacta su personal. Una vez que el contacto inicial se ha hecho o se ha intentado, el estado de cada empleado es reportado a Recursos Humanos. Recursos Humanos se mantendrá en contacto permanente, y (si es necesario) dará ayuda a todo el personal. Los empleados también están obligados a mantenerse en contacto con Valor+. Contacto con los medios de comunicación Una sola fuente de información permitirá a Valor+ (posteriormente debe ser a través del PMU) reducir el número de reportes contradictorios que inevitablemente se producen después de un desastre. Se debe asegurar que las personas que atienden requerimientos de medios de comunicación sean conscientes a quien deben dirigir las llamadas y que tienen instrucciones de no hablar con los medios de comunicación.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
41
Volver al índice
9.2. Plan de asistencia al recurso humano
Medidas preventivas
ACCIONES RESPONSABLES
Hacer un diagnóstico de las labores que representen una causa de posibles lesiones a los trabajadores
Brigada de primeros auxilios
Conocer los riesgos y las actividades que se desarrollan en el edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y verificando que se eliminen o solucionen adecuadamente
Coordinadores de evacuación
Mantener debidamente dotado su equipo de primeros auxilios Brigada de primeros auxilios
Velar porque se mantenga despejado el acceso a las vías de evacuación y se conserve la señalización
Coordinadores de evacuación
Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes, durante y después de una emergencia
Coordinador Plan PPRE
Notificaciòndelaemergencia
Existenriesgos?
Utilicelosrecursosdeatenciondelesionados.
NO.
Puedecontrolarlosriesgos?
SI.
SI.
NO.
Primerosauxiliosycontenciondelaemergencia
Controleenlazona
Transladeacentroasistencial,recupereelareaafectadayrealiceelreportedelaemergencia.
FIN.
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
42
Volver al índice
Durante el evento
ACCIONES RESPONSABLES
Dar a conocer y recordar a las personas los procedimientos generales establecidos para casos de emergencia durante las fases de alistamiento y evacuación, indicando la ruta de escape a utilizar y el lugar de reunión final
Coordinadores de evacuación
Invitar a las personas a mantener la calma y a seguir las instrucciones emitidas por el sistema de alarma
Coordinadores de evacuación
Prestar los primeros auxilios a los lesionados por la emergencia en el área donde laboran
Brigada de primeros auxilios
Coordinar el acceso e intervención de los grupos de ayuda externa (Servicio de Salud), siguiendo las instrucciones del comité de emergencias
Brigada de primeros auxilios
Controlar la remisión de lesionados a centro de atención médica Brigada de primeros auxilios
Invitar a las personas al desplazamiento ordenado por las rutas de evacuación si se escucha el sonido de la alarma
Coordinadores de evacuación
Desplazarse con todo el personal hasta el punto de encuentro asignado Coordinadores de evacuación
Una vez se haya recibido la orden de evacuar, reunir al personal que tenga a su cargo y obrar según el plan
Coordinadores de evacuación
Posterior al evento
ACCIONES RESPONSABLES
Realizar un informe completo de la administración de la emergencia y presentarlo a la alta gerencia
Comité de emergencias
Colaborar con los organismos de ayuda externa en la atención de los lesionados
Brigada de primeros auxilios
Tomar registro del traslado de los pacientes a los centros asistenciales Brigada de primeros auxilios
Realizar un conteo del personal evacuado Coordinadores de evacuación
Estar presto a la orden de la normalización de la emergencia para coordinar el retorno del personal a sus sitios de trabajo
Coordinadores de evacuación
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
43
Volver al índice
9.3. Plan de emergencia
Actividades preventivas
General
ACCIONES RESPONSABLES
Asegurar la actualización del documento del plan de prevención, preparación y respuesta ante emergencias
Comité de Emergencias
En caso de abrir o cambiar de sede, tener en cuenta el análisis de riesgos de la nueva sede para decidir la ubicación de ésta
Comité de Emergencias
Conocer los riesgos y las actividades que se desarrollan en las diferentes áreas del edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y verificando que se eliminen o solucionen adecuadamente
Coordinadores de evacuación, Brigada contra incendio
Realizar inventario de los equipos existentes para el control de incendios y llevar un registro de ellos
Brigada contra incendio
Asegurar que se mantengan los correctivos del plan de prevención, preparación y respuesta ante emergencias
Comité de Emergencias
Hacer cumplir la operatividad del plan de acuerdo a la política de planes de prevención, preparación y respuesta ante emergencias y seguridad y salud en el trabajo de la compañía y promover su divulgación al personal
Comité de Emergencias
Establecer vínculos con los organismos de socorro de la ciudad para poner en práctica la ayuda que se requiera en las emergencias
Comité de Emergencias
Mantener debidamente dotado su equipo de primeros auxilios Brigada de primeros auxilios
Hacer un inventario de los equipos requeridos para la atención de posibles pacientes que se presenten por enfermedad súbita o lesiones
Brigda de primeros auxilios
Hacer un diagnóstico de las labores que representen una causa de posibles lesiones a los trabajadores
Brigada de primeros auxilios
Ordenar la activación de la alarma, en caso de una evacuación total por sismo, amenaza de bomba o incendio grande
Comité de Emergencias
Velar porque se mantenga despejado el acceso a las vías de evacuación y se conserve la señalización
Coordinadores de evacuación
Amenaza de Sismo
ACCIONES RESPONSABLES
Coordinar con un profesional en estudios técnicos de sismo resistencia para que realice una inspección a las estructuras del edificio, la cual debe quedar documentada con planes de acción y seguimiento
Coordinador Plan PPRE
Realizar capacitaciones periódicas con todos los ocupantes del edificio en temas sobre qué hacer antes durante y después de un sismo
Comité de Emergencias, Coordinador Plan PPRE
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
44
Volver al índice
Coordinar con la brigada de emergencias y/o personal de mantenimiento, inspecciones periódicas de trabajos que puedan generar una modificación en las estructuras del edificio.
Coordinador Plan PPRE, Brigada, Mantenimiento
Amenaza de lluvias y granizadas
ACCIONES RESPONSABLES
Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes durante y después de una lluvia o granizada
Coordinador Plan PPRE
Revisar, limpiar y dar mantenimiento periódico a canoas, sótanos y bajantes de los techos
Coordinador Plan PPRE, Mantenimiento
Coordinar con la brigada de emergencias y/o personal de mantenimiento, inspecciones periódicas de trabajos que puedan generar una modificación en las estructuras del edificio
Coordinador Plan PPRE, Brigada, Mantenimiento
Amenaza de inundaciones
ACCIONES RESPONSABLES
Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes, durante y después de una inundación
Coordinador Plan PPRE
Revisar, limpiar y dar mantenimiento periódico a canoas, sótanos y bajantes de los techos
Coordinador Plan PPRE, Mantenimiento
Coordinar con la brigada de emergencias y/o personal de mantenimiento, inspecciones periódicas de trabajos que puedan generar una modificación en las estructuras del edificio
Coordinador Plan PPRE, Brigada, Mantenimiento
Amenaza de incendio
ACCIONES RESPONSABLES
Coordinar con el área de mantenimiento la realización de inspecciones de seguridad documentadas con planes de acción y seguimiento
Coordinador Plan PPRE, Mantenimiento
Realizar estudio técnico de condiciones del sistema eléctrico del edificio
Coordinador Plan PPRE, Mantenimiento
Verificar de condiciones de seguridad y de no sobrecarga de instalaciones eléctricas en cada una de las oficinas
Coordinador Plan PPRE, Mantenimiento, brigada
Capacitar a todo el personal en el manejo de extintores Coordinador Plan PPRE, Brigada de emergencia
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
45
Volver al índice
Amenaza de fugas
ACCIONES RESPONSABLES
Coordinar con el área de mantenimiento la realización de inspecciones de seguridad documentadas con planes de acción y seguimiento
Coordinador Plan PPRE, Mantenimiento
Realizar estudio técnico de condiciones del sistema de la red de gas del edificio
Coordinador Plan PPRE, Mantenimiento
Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes durante y después de una fuga de gas
Coordinador Plan PPRE, Mantenimiento, brigada
Amenaza de terrorismo
ACCIONES RESPONSABLES
Coordinar con el jefe de seguridad requisas antes de ingresar tanto del personal como de los paquetes o maletines
Coordinador Plan PPRE y jefe de seguridad
Realizar rondas continuas tanto dentro de las instalaciones del edificio como en sus zonas externas
Coordinador Plan PPRE y jefe de seguridad
Capacitar al personal de interés en temas de orden público y manejo de crisis
Coordinador Plan PPRE
Tener el número telefónico de contacto de la estación de policía más cercano, sijin, gaula, cti o cuadrante de la zona
Coordinador Plan PPRE
Amenaza de alteración del orden público
ACCIONES RESPONSABLES
Coordinar con el jefe de seguridad física las fechas importantes o noticias que puedan generar un cambio en la sociedad, fechas electorales, paros de estudiantes, paros de comerciantes, desfiles, entre otras
Coordinador Plan PPRE y Jefe de seguridad
Redoblar el sistema de seguridad cuando se tenga la certeza de estas fechas que nos pueden generar desorden publico
Coordinador Plan PPRE y Jefe de seguridad
Capacitar el personal en manejo de crisis y tener a la mano el número de teléfono del escuadrón antidisturbios
Coordinador Plan PPRE y Jefe de seguridad
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
46
Volver al índice
Actividades durante el evento
General
ACCIONES RESPONSABLES
Asumir la dirección y control de la emergencia, en su respectivo puesto de comando
Comité de emergencias
Determinar si la emergencia requiere evacuación total, parcial o no requiere evacuación del personal
Comité de emergencias
Actuar prontamente cuando se informe de una emergencia en su piso, accionando la alerta y la alarma, tratando de controlar la situación, prestando apoyo en la evacuación o en actividades de preparación y orientación de la evacuación
Brigada contra incendio
Controlar los conatos de incendio Brigada contra incendio
Coordinar en cualquier emergencia los demás miembros de ayuda externa Brigada contra incendio
Prestar los primeros auxilios a los lesionados por la emergencia en el área donde laboran
Brigada de primeros auxilios
Coordinar el acceso e intervención de los grupos de ayuda externa (Servicio de Salud), siguiendo las instrucciones del comité de emergencias
Brigada de primeros auxilios
Controlar la remisión de lesionados a centro de atención médica Brigada de primeros auxilios
Invitar a las personas a mantener la calma y a seguir las instrucciones emitidas por el sistema de alarma
Coordinadores de evacuación
Dar a conocer y recordar a las personas los procedimientos generales establecidos para casos de emergencia durante las fases de alistamiento y evacuación, indicando la ruta de escape a utilizar y el lugar de reunión final
Coordinadores de evacuación
Invitar a las personas al desplazamiento ordenado por las rutas de evacuación si se escucha el sonido de la alarma
Coordinadores de evacuación
Acompañar a todo el personal hasta el punto de encuentro asignado Coordinadores de evacuación
Una vez se haya recibido la orden de evacuar, reunir al personal que tenga a su cargo y obrar según el plan
Coordinadores de evacuación
Sismo
ACCIONES RESPONSABLES
Mantener la calma y ubíquese en las zonas de seguridad del lugar en que usted se encuentre al momento del sismo y procure protegerse lo mejor, permaneciendo donde está. La mayor parte de los heridos en un sismo se ha producido cuando las personas intentaron entrar o salir del edificio
Todo el personal
Si se encuentran en espacios abiertos o en la vía pública, buscar una zona verde o parque donde no existan cables de conexión eléctrica de alta tensión o estructuras que puedan derrumbarse
Todo el personal
Mantener la distancia de ventanas espejos y artículos de vidrios que puedan quebrarse
Todo el personal
Atender las indicaciones de las autoridades o de los coordinadores de evacuación. No evacuar hacia el punto de encuentro, hasta que le sea informado por el
Todo el personal
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
47
Volver al índice
Comité o Brigada de emergencia.
Lluvias o granizadas
ACCIONES RESPONSABLES
Mantener la calma y ubíquese en las zonas de seguridad del lugar en que usted se encuentre al momento de la lluvia o granizada y procure protegerse lo mejor, permaneciendo donde está
Todo el personal
Mantener la distancia de ventanas espejos y artículos de vidrios que puedan quebrarse
Todo el personal
Atender las indicaciones de las autoridades o de los coordinadores de evacuación
Todo el personal
Conservar la calma Todo el personal
Tener a mano los artículos de emergencia Todo el personal
Cubrir con bolsas de plástico aparatos u objetos que puedan dañarse con el agua
Todo el personal
Inundaciones
ACCIONES RESPONSABLES
Evitar que el agua llegue a lugares críticos utilizando barreras con material destinado para ello o improvisando con sacos de arena u otro material disponible
Todo el personal
Si el tiempo lo permite mover a un lugar alto los elementos de más valor Todo el personal
Subir a un lugar alto y permanecer allí. Evitar caminar por aguas en movimiento. Hasta 15 centímetros de agua en movimiento pueden hacerle caer
Todo el personal
Incendio
ACCIONES RESPONSABLES
Avisar inmediatamente al personal de emergencias de la institución Todo el personal
No tratar de apagar el fuego si no conoce el manejo correcto del extintor Todo el personal
Nunca usar agua para apagar un incendio eléctrico o líquidos inflamables. Sólo use un extintor de incendios aprobado para incendios eléctricos.
Todo el personal
Nunca usar la palma de su mano o los dedos para ver si algún objeto metálico está caliente, use una toalla o cualquier objeto.
Todo el personal
Si su ropa se ha incendiado, deténgase, échese al suelo, cubra su rostro con ambas manos y ruede sobre el suelo hasta que el fuego se haya extinguido. Correr sólo hace que el fuego lo queme más rápidamente.
Todo el personal
Si tiene que salir a través del humo, agáchese y gatee sobre el piso bajo el humo hasta su salida – el humo denso y los gases venenosos se acumulan primero a lo largo del cielo raso. Una vez que esté seguro afuera, quédese afuera. Llame a los bomberos.
Todo el personal
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
48
Volver al índice
Fugas
ACCIONES RESPONSABLES
Cerrar las llaves de paso de gas más cercana al área de la fuga o, en su defecto, la llave general de alimentación, normalmente ubicada junto al recipiente de almacenamiento
Todo el personal
No buscar el área de la fuga con una flama, sólo con espuma de jabón y por parte de personal especializado
Todo el personal
Abrir puertas y ventanas para que circule el aire natural y retírese del lugar Todo el personal
No conectar ni desconectar la energía eléctrica: los interruptores “siempre” generan chispas y éstas, provocan una explosión
Todo el personal
Avisar inmediatamente a la subestación de bomberos más cercana a su empresa o a la compañía de gas, para que atiendan la emergencia, y vigile que el personal especializado repare la fuga. Llame desde un teléfono que no esté al interior de su empresa.
Todo el personal
Terrorismo
ACCIONES RESPONSABLES
Si se produce un atentado terrorista, es importante mantener la calma y seguir las instrucciones de los funcionarios locales y del personal de servicios de emergencia
Todo el personal
Usted debe estar consciente de su entorno y atento a ataques adicionales Todo el personal
Mirar la televisión y escuchar las radios locales para obtener instrucciones e información sobre viajes e instrucciones de los funcionarios locales
Todo el personal
Si usted está ubicado en el área donde se produce el ataque, buscar a personas heridas y proporcione primeros auxilios si tiene conocimiento de cómo hacerlo.
Todo el personal
Llamar inmediatamente a las líneas de emergencia que haya en la zona y reporte de manera concreta, clara y veraz lo que está sucediendo.
Todo el personal
Alteración de orden público
ACCIONES RESPONSABLES
Iniciar evacuación cuando lo ordene el Coordinador PPRE si las condiciones del área ofrecen peligro
Todo el personal
Prestar ayuda a quien lo requiera Todo el personal
No se deje llevar por el pánico, no grite, no corra y mantenga la calma Todo el personal
Resguárdese en un lugar seguro, al lado de un escritorio, mesa o cerca de una columna y ubíquese en posición fetal lejos de las ventanas hasta cuando pueda salir
Todo el personal
Llamar al 123 y reportar la situación Coordinador PPRE
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
49
Volver al índice
Acciones posteriores al evento
General
ACCIONES RESPONSABLES
Realizar un informe completo de la administración de la emergencia y presentarlo a la alta gerencia
Comité de emergencias
Reunirse con el coordinador de la brigada y hacer retro alimentación de lo sucedido
Comité de emergencias
Gestionar la reposición de los equipos y herramientas utilizadas en la emergencia
Comité de emergencias
Colaborar con los organismos de ayuda externa en la remoción de escombros
Brigada contra incendio
Reportar al comité de emergencias los equipos utilizados para su respectiva reposición
Brigada contra incendio
Ayudar con el comité de emergencias con la elaboración del informe de lo sucedido
Brigada contra incendio
Realizar una inspección de las instalaciones que sufrieron daño para programas de recuperación
Brigada contra incendio
Colaborar con los organismos de ayuda externa en la atención de los lesionados
Brigada de primeros auxilios
Tomar registro del traslado de los pacientes a los centros asistenciales Brigada de primeros auxilios
Reportar al comité de emergencias los equipos utilizados para su respectiva reposición
Brigada de primeros auxilios
Ayudar con el comité de emergencias con la elaboración del informe de lo sucedido
Brigada de primeros auxilios
Verificar con el encargado de cada área que se haya hecho la evacuación de cada piso
Coordinadores de evacuación
Realizar un conteo del personal evacuado Coordinadores de evacuación
Estar presto a la orden de la normalización de la emergencia para coordinar el retorno del personal a sus sitios de trabajo
Coordinadores de evacuación
Ayudar con el comité de emergencias con la elaboración del informe de lo sucedido
Coordinadores de evacuación
Sismo
ACCIONES RESPONSABLES
Verificar si hay lesionados y de ser necesario busque ayuda médica. No utilice los elevadores y sea cauteloso con las escaleras, pudieron haberse resentido con el sismo
Todo el personal
Si queda atrapado, usar una señal visible o sonora para llamar la atención Todo el personal
Al evacuar hágalo rápido, pero sin correr y no regrese al sitio del incidente. Todo el personal
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
50
Volver al índice
No lleve objetos que obstaculicen su desplazamiento
Coordinar con un profesional para que realicen pruebas de sismo resistencia a la estructura que quedo en pie
Coordinador PPRE
No permitir el ingreso de personas al interior del edificio sin antes realizar una inspección del lugar
Coordinador PPRE
Lluvias o granizadas
ACCIONES RESPONSABLES
Verificar si hay lesionados y de ser necesario busque ayuda médica Todo el personal
Seguir las instrucciones transmitidas por las autoridades a través de los medios de comunicación
Todo el personal
Examinar la propiedad para evaluar daños Coordinador PPRE
Mantener desconectados el gas, la luz y el agua hasta asegurarse de que no haya fugas ni peligro de corto circuito
Coordinador PPRE
Cerciórarse que sus aparatos eléctricos estén secos antes de conectarlos Todo el personal
Inundaciones
ACCIONES RESPONSABLES
Escuchar la radio o la televisión para obtener información sobre la emergencia, y posibles instrucciones de la autoridad a cargo
Todo el personal
Evitar entrar en el agua, puede encontrar elementos corto punzantes o contaminantes tóxicos
Todo el personal
Volver al interior de la empresa sólo cuando sea seguro o las autoridades así lo indiquen
Todo el personal
No entrar a los edificios si todavía hay agua alrededor Todo el personal
Reparar las instalaciones sanitarias lo antes posible, ya que dañadas son un riesgo para la salud
Coordinador PPRE
Incendio
ACCIONES RESPONSABLES
No regresar al lugar del incendio hasta que le den orden los bomberos o personas autorizadas
Todo el personal
Dar primeros auxilios según sea necesario. Llame a los bomberos, enfríe y cubra las quemaduras para reducir la posibilidad de más lesiones o infección
Todo el personal
No entrar al edificio dañado por un incendio a menos que las autoridades digan que puede hacerlo
Todo el personal
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
51
Volver al índice
Fugas
ACCIONES RESPONSABLES
Dar primeros auxilios según sea necesario, si hubo personal que inhalo del gas en fuga. Llame a los bomberos
Todo el personal
Evaluar las causas de la emergencia y plantee las acciones correctivas y preventivas necesarias
Coordinador PPRE
No entrar a la edificación a menos que las autoridades digan que puede hacerlo
Todo el personal
Una vez reparada la fuga, retomar las mismas medidas preventivas, para evitar que vuelva a ocurrir otro incidente
Coordinador PPRE, Todo el personal
Terrorismo
ACCIONES RESPONSABLES
Después de un ataque terrorista, se espera la participación de la policía y entidades de investigación a nivel local..
NA
Su lugar de trabajo puede permanecer cerrado, y puede haber restricciones en los viajes nacionales e internacionales
Todo el personal
Usted y sus compañeros quizás tengan que evacuar la zona, según las instrucciones de las autoridades locales
Todo el personal
Le espera una amplia cobertura de los medios de comunicación y el aumento de presencia policial, Valor+ tiene canales de comunicación formalmente establecidos y estos son los únicos que deben referirse oficialmente a los acontecimientos
Todo el personal
Alteración de orden público
ACCIONES RESPONSABLES
Revisar que todo el personal en su empresa este en buenas condiciones de salud o no tenga lesiones personales
Coordinador PPRE
Si se encuentra algún empleado lesionado en estado de crisis, se debe remitir a los centros asistenciales
Coordinador PPRE
Contabilizar el personal, verificar que estén todos los empleados, indagar donde están los ausentes y si tiene alguna ausencia no justificada avisar a las autoridades competentes
Coordinador PPRE
Revisar el estado de las estructuras y partes locativas de su empresa, reportar los daños que puedan generar accidentes
Coordinador PPRE
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
52
Volver al índice
10. ACTUALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE CONTINUIDAD DE
NEGOCIO
10.1. Actualización del Plan de Continuidad de Negocio
El Plan de continuidad de negocio es actualizado cada vez que hay un cambio de negocio o de personal relevante. Un cambio de negocio puede incluir también un cambio en la infraestructura de tecnología de información. Para realizar un seguimiento a los cambios se realiza una reunión periódica (trimestral) con todos los líderes de procesos y el equipo de administración de riesgo para evaluar cambios o eventos que puedan impactar el Plan de continuidad de negocios. Los cambios en el personal ocurren con más frecuencia, por lo que se debe evaluar constantemente si estos cambios afectan en algo el Plan de continuidad de negocios. Otros cambios, como los de infraestructura de tecnología de información se realizan a través de un proceso de control de cambios formal que permita mantener el registro de los mismos. Como mínimo las listas de llamadas y responsables se actualizan y distribuyen trimestralmente. Para los cambios controlados por los procedimientos de gestión de cambios o cambios no programados, el Plan de continuidad de negocio es actualizado tan pronto como sea posible después de que el cambio ocurra. El Coordinador de Continuidad de negocio es responsable que la información sobre las actualizaciones al Plan de continuidad de negocio sean reportadas a la Lista de distribución descrita en este documento.
10.2. Mantenimiento de Análisis de Impacto de Negocio (BIA)
El Análisis de Impacto de Negocio (BIA) no es un proyecto que se realiza una sola vez debido a los cambios que se pueden dar en el negocio, nuevas reglamentaciones, cambios en los canales y formas de prestar los servicios, etc. El BIA es ajustado cada vez que ocurren cambios importantes en el negocio o al menos una vez al año, lo que ocurra primero. Las Implementaciones y mejoras de aplicaciones deben seguir un proceso formal de toma o ajustes de requisitos, desarrollo, pruebas y puesta en producción que permitan tener
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
53
Volver al índice
documentación precisa que permita realizar el soporte y planear las actividades de continuidad de las mismas.
10.3. Plan de comunicaciones
El Plan de Comunicaciones para el el BCP se ajusta al Plan de Comunicaciones del MSPI en Valor+, el cual busca ir más allá de la transmisión de una información, busca la adopción de los nuevos conocimientos, hasta convertirlos en una práctica diaria, de tal manera que las practicas definidas no se queden en la memoria pasiva de la organización. Una intervención de este tipo está encaminada a desplegar, instruir, entrenar y verificar y validar el accionar de los usuarios, en función del modelo de seguridad definido. Las siguientes son algunas áreas que se han considerado en el Plan de Comunicaciones para el MSPI en Valor+:
- Políticas Corporativas: Los usuarios deben comprender las políticas de seguridad de
información existentes, las cuales incluyen BCP, para evitar las violaciones no intencionales a éstas y que permita reconocer cuando otros lo hacen y reportarlo.
- Aspectos de seguridad de infromación y continuidad de negocio: Se requiere entrenar a los empleados en diferentes aspectos de seguridad, desde acceso físico, mal uso de la información, seguridad en el correo electrónico, etc, buscando que apoyen con su comportamiento las diferentes iniciativas de seguridad y continuidad que se desarrollen.
- Rol del empleado: Las personas tienden a prestar menos atención a aspectos que no los afectan directamente. El comportamiento adecuado y las acciones proactivas son más probables si los empleados entienden las consecuencias negativas para la organización y para ellos mismos de no acatar las diferentes políticas de seguridad.
- Cómo reportar y responder: Se debe capacitar a los empleados en el reconocimiento de incidentes, y la mecánica de reporte debe estar definida mediante procedimientos precisos que deben ser ampliamente difundidos, comprendidos y aplicados.
Políticas
Corporativas
Aspectos de
Seguridad
Rol del
Empleado
Reporte /
Respuesta
Las reglas Comportamiento
seguro
Pertinencia Qué hacer
Podría el empleado
identificar una brecha de
seguridad?
Podrían ellos
reportarla?Saben ellos cómo
reportarla?
Políticas
Corporativas
Aspectos de
Seguridad
Rol del
Empleado
Reporte /
Respuesta
Las reglas Comportamiento
seguro
Pertinencia Qué hacer
Podría el empleado
identificar una brecha de
seguridad?
Podrían ellos
reportarla?Saben ellos cómo
reportarla?
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
54
Volver al índice
Valor+ ha desarrollado una matriz de comunicación con los siguientes componentes: - Grupos objetivo - Qué voy a transmitir (mensaje) - Canales que voy a utilizar para cada mensaje - Responsables - Cronograma - Seguimiento Con el objetivo de transmitir a todo el personal mensajes sobre: - Cumplimiento de políticas de seguridad de información - Confidencialidad, Integridad, Disponibilidad - Administración de contraseñas - Política de pantalla y de escritorios limpios - Ingeniería Social - Virus y Antivirus - Amenazas en la navegación por Internet - Uso seguro del correo electrónico - Respaldo de la información - Reporte de incidentes de seguridad - Propiedad intelectual Y al personal Gerencia de Tecnología y Operaciones: - Refuerzo compromiso con cumplimiento de políticas y procedimientos en cada uno de
los procesos - Refuerzo estándares de seguridad, línea base de configuración - Refuerzo aspectos legales, cumplimiento, propiedad intelectual - Refuerzo confidencialidad de la información e ingeniería social - Refuerzo confidencialidad de información y aspectos asociados a equipos en soporte o
que vayan a ser desechados - Responsabilidad en el uso de la información de acceso a sistemas - Confidencialidad de la información de Valor+ y conexión a la infraestructura Valor+
- Respaldo de información, instructivos operacioneales de pares
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
55
Volver al índice
10.4. Plan de pruebas
El Coordinador de Continuidad de negocio es responsable de llevar a cabo ejercicios periódicos del Plan de Continuidad de Negocio, siguiendo el procedimiento de pruebas y mantenimiento BCP elaborado para tal fin. Cada año se lleva a cabo al menos dos ejercicios independientes: - Un ejercicio de seguimiento paso a paso, para actualizar el Plan de continuidad de
Negocio - Ejercicio técnico para recuperación de tecnología de información de componentes
críticos Los objetivos del seguimiento paso a paso son: - Determinar el estado de preparación del Plan de continuidad de negocio creando un
ambiente adecuado de forma que todos los participantes puedan aprender acerca del Plan.
- Validar que las listas de recursos del Plan de continuidad de negocio (personas y otros recursos) son suficientes para recuperar las operaciones de negocio o servicios de tecnología de información como esta planeado. Documentar cambios y actualizaciones (incluyendo omisiones) al Plan de continuidad de negocios.
- Verificar que el Plan de continuidad de negocio está actualizado y refleja con precisión los requerimientos de la organización.
Después de la prueba, debe asegurar que todos los cambios y actualizaciones están completos, y son distribuidas aquellas actualizaciones a la Lista de Distribución incluida en este documento. En los ejercicios técnicos, la primera Prueba Técnica esta limitada sólo al personal de tecnología de información. Es usual durante un Ejercicio Técnico identificar aspectos que causen problemas durante la restauración de sistemas y respaldo de datos, pérdida de respaldos o medios, medios corruptos/ilegibles, fallas de comunicación de todo tipo, hardware incompatible, y varias otras fallas de hardware. Los objetivos del ejercicio técnico son idénticos a los indicados para el ejercicio paso a paso estructurado, especialmente si este ejercicio es para ayudar a identificar problemas (y sus acciones correctivas) y proveer capacitación. Cuando el personal de tecnología de información haya completado una Prueba Técnica que logre todos los objetivos de recuperación de tecnología de información, se require entonces realizar un ejercicio que incluya recuperación de tecnología de información y
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
56
Volver al índice
participación de usuarios para validar que todos los sistemas y datos recuperados son exactos, operacionales y se encuentran sincronizados. Los resultados de las pruebas son presentados al Comité de Gestión de Valor+ con una copia a todos los participantes de la prueba, lo mismo que a la Lista de distribución incluida en este documento.
11. LISTA DE DISTRIBUCIÓN Identificación de las personas que deben recibir información sobre actualizaciones al Plan de continuidad de negocios. La información sobre actualizaciones se realizará preferiblemente vía correo electrónico. ANEXOS
Actividades Continuidad Tecnología de Información
Información a personal técnico
ACCIONES RESPONSABLES
Recepción del Gerente General y Gerente de Nuevos Negocios y Tecnología de la situación de emergencia
Coordinador Plan PPRE
Evaluación de daños en infrestructura tecnológica Director de Infraestructura / Gerente de Nuevos Negocios y Tecnología
Determinación de necesidad de iniciar operación en sitio alterno Gerente de Nuevos Negocios y Tecnología
Informar a Director de Infraestructura y Director de Conectividad la necesidad de operación en sitio alterno
Gerente de Nuevos Negocios y Tecnología
Nombre Teléfono Dirección de Correo
Directora de Planeación 202 planeació[email protected]
Jefe de Control Interno 198 [email protected]
Director de Infraestructura 302 [email protected]
Director de Conectividad 302 [email protected]
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
57
Volver al índice
Informar a proveedores de DRP la situación de emergencia y necesidad de activar la operación en sitio alterno
Director de Infraestructura
Informar a Director Administrativo la necesidad de activar la operación en sitio alterno para la logística de traslado de personal
Gerente de Nuevos Negocios y Tecnología
Apagado de equipos
ACCIONES RESPONSABLES
Seguir el instructivo para apagado de servidores del Centro de Datos Director de Infraestructura
Solicitar autorización al Coordinador de Emergencias para hacer evaluación de daños en el centro de datos principal
Director de Infraestructura
Seguir el instructivo para evaluación de daños en el centro de datos principal
Director de Infraestructura
Preparación de infraestructura alterna
ACCIONES RESPONSABLES
Establecer comunicaciones y soporte de aplicaciones para el sitio de recuperación TI
Director de Infraestructura / Director de Conectividad
Mantener soporte de comunicaciones y aplicaciones desde el sitio de recuperación de TI
Director de Infraestructura / Director de Conectividad
Seguir instructivo de recuperación de respaldos Director de Infraestructura
Seguir instructivo de pruebas iniciales de infraestructura Gerente de Nuevos Negocios y Tecnología / Gerente de Operaciones
Operación alterna
ACCIONES RESPONSABLES
Seguir instructivos de operación alterna Gerente de Operaciones
Seguir instructivo de generación de respaldos en contingencia Director de Infrestructura
Retorno al sitio
ACCIONES RESPONSABLES
Comenzar la reparación del centro de datos principal: - Reparar el hardware que lo permita - Instalar el hardware de reposición - Supervisar a los subcontratistas
Director de Infraestructura / Director Administrativo
Trasladar las operaciones críticas del sitio de recuperación de TI al centro de datos
Gerente de Nuevos Negocios y Tecnología
Consolidar información generada en sitio alterno (llamadas, grabaciones, Gerente de Nuevos Negocios
PLAN CONTINUIDAD DE NEGOCIOS
Código:
Versión:
Fecha creación:
Código: /Versión:01/ Fecha creación:
58
Volver al índice
etc) según instructivos de retorno al sitio y Tecnología / Gerente de Operaciones