Desarrollo de una Metodología para Implementar un Plan de. Continuidad del Negocio (PCN) y su Aplicabilidad en

Transcripción

1 PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS Desarrollo de una Metodología para Implementar un Plan de Continuidad del Negocio (PCN) y su Aplicabilidad en una Organización. FERNÁNDEZ ESPINOSA INÉS MARÍA TRABAJO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO DE SISTEMAS Y COMPUTACIÓN Quito, 2005

2 TEMA 6 INTRODUCCIÓN 7 JUSTIFICACIÓN 8 ALCANCE DEL TRABAJO INVESTIGATIVO 10 ALCANCE DEL TRABAJO APLICATIVO 11 OBJETIVOS GENERALES 12 OBJETIVOS ESPECIFICOS 12 CAPITULO IMPORTANCIA DE UN PLAN DE CONTINUIDAD DEL NEGOCIO _ Definición de un plan de continuidad del negocio o PCN Definición de un plan de contingencia Actividades para implementar un PCN Actividades de inicio del proyecto Análisis del PCN existente (si existe) Diagnóstico de la Situación Actual Beneficios de desarrollar un PCN Definición de las políticas corporativas para un PCN Elaboración del presupuesto para el proyecto PCN Procedimiento para aprobar el contenido del PCN Comunicación del proyecto de PCN a todos los empleados Organización del proyecto Análisis del personal para nombrar al Gerente del Proyecto PCN Selección del personal apropiado para el equipo del PCN Reunión inicial del equipo para el proyecto PCN Objetivos del proyecto Documentos a elaborar Cronograma del proyecto Reportes para control de avance Recolección de documentos e información CAPITULO EVALUACIÓN DEL RIESGO E IMPACTO Evaluación del riesgo Desastres ambientales Interrupción organizada o deliberada Interrupción en el suministro de servicios públicos Falla de los equipos o del sistema Incidentes mayores de seguridad de la información Otras situaciones de emergencia Análisis del Impacto al Negocio Procesos del Negocio Definición de los tiempos de recuperación Impacto financiero y operacional Políticas de Seguridad

3 2.4 Tecnologías de la Información (TI) y comunicaciones Especificaciones de TI y telecomunicaciones Sistemas y procesos de información Lista del personal y sus contactos de emergencia Personal clave de los proveedores de servicios CAPITULO DISEÑO DE ESTRATEGIAS DE CONTINUIDAD Estrategias de back-up y recuperación Identificación de los procesos de reserva para los procesos claves Estrategia de respaldo y recuperación para los sistemas TI Estrategia de respaldo y recuperación para locales Estrategia de respaldo y recuperación para equipos esenciales Estrategia de respaldo y recuperación para servicio al cliente Estrategia de respaldo y recuperación para el área administrativa Estrategia de respaldo y recuperación para información y documentación Personal y proveedores claves para el PCN Estructura funcional Coordinador funcional y delegados para cada área funcional Información del personal clave Información de los proveedores claves Estrategias de recuperación de recurso humano Equipo de Recuperación del Desastre (ERD) Equipo de Recuperación del Negocio (ERN) Documentos claves Documentos y registros vitales para el negocio Documentos que requieren de almacenamiento externo Autorizaciones en una emergencia Presupuesto para back-up y recuperación CAPITULO RECUPERACIÓN DEL DESASTRE Manejo del Desastre Valoración del estado del desastre Incorporación de los servicios de emergencia Evaluación del impacto potencial para el negocio Notificación y reporte durante la fase de recuperación del desastre Movilización del ERD Notificación a la gerencia y empleados claves Manejo de la notificación personal a familiares Manejo de lo medios de comunicación durante la fase de recuperación del desastre Registro de eventos durante la fase de recuperación del desastre Reporte de la fase de recuperación del desastre CAPITULO RECUPERACIÓN DEL NEGOCIO Administración de la fase de recuperación del negocio Movilización del Equipo de Recuperación del Negocio Evaluación del daño e impacto en el negocio Preparación del plan de recuperación específico Seguimiento a los avances

4 5.2 Actividades de recuperación del negocio Energía eléctrica y otros servicios públicos Edificio, muebles y enseres Sistemas de comunicación Sistemas TI (hardware y software) Otros equipos Ventas y servicio al cliente Información y documentación Suministros de oficina Retorno al funcionamiento normal Aplicación de las pólizas de seguro Retorno de las operaciones del negocio a la gerencia habitual Reporte de la fase de recuperación del negocio CAPITULO ENTRENAMIENTO DEL PERSONAL PARA EL USO DEL PCN Administración del proceso de entrenamiento Alcance del entrenamiento Desarrollo del material de entrenamiento Cronograma para el entrenamiento Comunicación al personal que interviene en el PCN Presupuesto para la fase de entrenamiento Evaluación del entrenamiento CAPITULO PRUEBAS Alcance de la prueba Creación del ambiente de prueba Preparación de los datos de la prueba Identificación de quien dirigirá, controlará y supervisará la prueba Cuestionarios de evaluación Preparación de presupuesto para la fase de prueba Entrenamiento al personal que formará parte de las pruebas Ejecución de la prueba Prueba de cada parte del proceso de recuperación del negocio Prueba de eficiencia de las listas de contactos de proveedores y empleados CAPITULO INFORME FINAL Elaboración y entrega del Informe Final CAPITULO Mantenimiento MANTENIMIENTO DEL PCN Control de cambios y procedimientos para actualizar el plan Responsabilidad en el mantenimiento de cada parte del plan Pruebas a todos los cambios del plan CAPITULO

5 10 METODOLOGÍA DE DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO PARA EL LABORATORIO DE COMPUTACIÓN DE LA FACULTAD DE INGENIERÍA DE LA PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR. 193 Actividades para implementar un PCN Evaluación del riesgo e impacto Diseño de estrategias de continuidad Recuperación del Desastre en el Laboratorio de Computación Recuperación del negocio en el Laboratorio de Computación Entrenamiento del Personal del Laboratorio para el uso del PCN Pruebas en el Laboratorio de Computación CAPITULO CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones BIBLIOGRAFÍA 331 5

6 TEMA Desarrollo de una Metodología para implementar un Plan de Continuidad del Negocio (PCN) y su Aplicabilidad en una organización. 6

7 INTRODUCCIÓN Los desastres o sucesos inesperados pueden provocar que las empresas desaparezcan, ya que las pérdidas tanto de información como de bienes pueden dejarlas inactivas, por estos motivos en la actualidad las empresas buscan maneras de prevenir o minimizar las pérdidas ante desastres. Estudios realizados en los Estados Unidos estiman que todos los años 1 de cada 500 centros de datos sufrirán un siniestro grave y que las empresas cuya estructura informática permanezca inactiva un período superior a 10 días nunca se recuperarán completamente de las pérdidas financieras. De hecho, el 50 por ciento de dichas compañías cerrará en un plazo de cinco años. Tras estas investigaciones y los desastres que han afectado últimamente a las empresas como: tsunami y terrorismo, los empresarios han visto la necesidad de elaborar un plan para que sus procesos críticos no dejen de funcionar, por lo que una correcta organización administrativa y operativa, evitará pérdidas mayores y permitirá que las empresas regresen a trabajar lo antes posible. 7

8 JUSTIFICACIÓN Se ha considerado este tema para motivar a las organizaciones para que busquen la manera de implantar un Plan de Continuidad del Negocio ya que es una metodología que garantiza a las empresas productividad y competitividad ante cualquier tipo de desastre que se pueda presentar. La información, es el recurso más importante en un negocio y tenerla siempre disponible es esencial y es una de las razones por la que siempre debe estar protegida. Los desastres naturales, accidentes catastróficos, problemas con los proveedores de servicios, entre otros pueden ser muy perjudiciales ya que impactan de manera negativa los procesos claves del negocio y además producen pérdidas. Hoy en día las organizaciones que brindan servicios requieren que sus tareas sean cumplidas sin fallas y que sus sistemas sean seguros, confiables, disponibles y controlados de manera apropiada y para esto es necesario determinar cuales son los procesos importantes que deben entrar a formar parte del Plan de Continuidad del Negocio. El impacto negativo que un desastre tiene en una empresa de cualquier tipo es muy alto ya que en su mayoría dependen de la tecnología. La pérdida completa o parcial de información puede causar la quiebra o iniciar problemas graves en la estabilidad de un negocio, pero prevenirlas es uno 8

9 de los principales enfoques que tiene un Plan de Continuidad del Negocio (PCN). 9

10 ALCANCE DEL TRABAJO INVESTIGATIVO El Plan de Continuidad del Negocio se inicia valorando los actuales procedimientos que las empresas poseen como plan ante desastres y determinando los procesos claves sin los cuales las empresas dejarían de prestar sus servicios, después se deberá buscar alternativas para estos procesos y prepararlas para usarlas en caso de problemas. Para un proyecto como este debe existir una persona denominada Gerente del Proyecto que es el/la encargado/a de guiar su desarrollo y respaldar las decisiones que se vayan a tomar. Al evaluar los riesgos que cada empresa puede tener tomando en cuenta los desastres naturales ante los cuales puede estar expuesta, se puede llegar a determinar el impacto financiero y operacional que ocasionarían, permitiendo disminuir las perdidas que se estos producirían. Las estrategias y recomendaciones que se plantearán para el manejo de la información, respaldos, recuperación y almacenamiento son el resultado de la investigación minuciosa de los procesos. El Plan de Continuidad del Negocio es un documento que detalla todo lo antes mencionado y además se agregan los planes con las pruebas que se deben realizar periódicamente para evaluar la efectividad al final del proyecto. 10

11 ALCANCE DEL TRABAJO APLICATIVO Un Plan de Continuidad del Negocio es muy necesario por esto se plantea desarrollar uno para el LABORATORIO DE COMPUTACIÓN DE LA FACULTAD DE INGENIERIA DE LA PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR. Los limitantes para esta parte del proyecto es la alta inversión que la Universidad se vería en la obligación de entregar ya que son necesarios: equipos costosos e infraestructura, por esto se entregará el documento escrito completo con todo el estudio, pero para la implantación será utilizando los recursos existentes. 11

12 OBJETIVOS GENERALES Proponer una metodología que permita a las empresas mantenerse trabajando ante cualquier desastre natural, problemas catastróficos, fallo en los servicios básicos o pérdida de información. Demostrar lo necesario que es un Plan de Continuidad del Negocio dentro de las empresas Presentar un Resumen Ejecutivo de cómo elaborar un Plan de Continuidad del Negocio para que las empresas puedan mantener segura su información. OBJETIVOS ESPECIFICOS Identificar los procesos claves de una organización para que esta no deje de trabajar. Optimizar la operatividad de la organización mediante un Plan de Continuidad del Negocio. 12

13 Proponer el desarrollo de un Plan de Continuidad del Negocio para el LABORATORIO DE COMPUTACIÓN DE LA FACULTAD DE INGENIERIA DE LA PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR. Redefinir las políticas de seguridad en cuanto a información. 13

14 CAPITULO 1 1 IMPORTANCIA DE UN PLAN DE CONTINUIDAD DEL NEGOCIO 1.1 Definición de un plan de continuidad del negocio o PCN Un Plan de Continuidad del Negocio también conocido como PCN o BCP Business Continuity Planning es un documento que contiene la planeación, organización, control y mantenimiento de las estrategias y medidas contra desastres, respuesta a interrupciones en los procesos del negocio y su restablecimiento. El plan de continuidad está orientado a asegurar la continuidad financiera, productividad y satisfacción del cliente a pesar de una catástrofe. El plan de continuidad se ejecuta permanentemente a través de la administración de riesgos tanto en la información como en la operación. Un plan de continuidad del negocio debe incluir: un plan de recuperación de desastres, el cual especifica la estrategia de un negocio para implementar procedimientos después de una 14

15 falla; un plan de reanudación que especifica los medios para mantener los servicios críticos; un plan de recuperación que especifica los medios para recuperar las funciones del negocio en una ubicación alterna; y un plan de contingencia que especifica los medios para manejar eventos externos que puedan tener serio impacto en la organización. Hoy en día la DRI International es la institución que se encarga de establecer los estándares mínimos que se deben seguir para la implementación de un Plan de Continuidad del Negocio. 1.2 Definición de un plan de contingencia Un plan de contingencia es un documento que contiene los procedimientos que entran a operar en caso de ocurrir una emergencia para que los servicios que se brindan se restablezcan en el menor tiempo posible, también posee los procedimientos para volver al funcionamiento normal. El enfoque del plan de contingencia se basa en la minimización del impacto financiero que pueda tener un desastre en la compañía. 15

16 El plan de contingencia se concentra en la recuperación de eventos únicos que producen una interrupción prolongada del servicio. 1.3 Actividades para implementar un PCN Un Plan de Continuidad del Negocio o PCN está compuesto por varias etapas que se deben cumplir para que el proyecto se concluya con éxito. Un detalle de las etapas y de los controles que se deben realizar sobre las mismas se tiene en el formulario

17 ACTIVIDADES PARA IMPLEMENTAR UN PCN Inicio del Proyecto FECHA DE INICIO FECHA DE TERMINACION RECURSO HUMANO UTILIZADO RECURSOS RESPONSABLE SUPERVISOR COSTO REQUERIDO NOMBRE FECHA NOMBRE FECHA Evaluación del Riesgo e impacto Diseño de estrategias de continuidad Fase de recuperación del desastre Fase de recuperación del negocio Pruebas Entrenamiento Mantenimiento 17

18 SUPERVISOR % DE EJECUCIÓN REAL % DE EJECUCIÓN ESPERADO % DE RETRASO CALIFICACIÓN DEL PLAN Para la calificación del plan se utilizará la siguiente tabla Excelente A Bueno B Muy Bueno C Malo D Formulario 1.1 CONTROL DE AVANCE Y CUMPLIMIENTO DEL PROYECTO PARA Nombre de la Empresa o Institución Elaborado por: 18

19 1.4 Actividades de inicio del proyecto Si una empresa decide implementar un PCN, está debe realizar varias reuniones para determinar las bases del proyecto, recopilar la información que se va a utilizar, el grupo de trabajo con los responsables y principalmente establecer las necesidades del negocio. Actividades de Inicio del Proyecto Análisis del PCN existente Diagnóstico de la Situación Inicial Beneficios de Desarrollar un PCN Definición de las políticas corporativas para un PCN Elaboración del presupuesto para el PCN Procedimiento para aprobar el contenido del PCN Comunicación del Proyecto PCN a todos los empleados Gráfico 1.1 Actividades de inicio del proyecto Elaborado por: 19

20 1.4.1 Análisis del PCN existente (si existe) De existir un PCN es necesario que las personas que lo manejan brinden la información necesaria incluidas fechas, datos y archivos de las pruebas para determinar si se lo debe adecuar, complementar o si es necesario realizar uno nuevo debido a cambios en la organización o en las actividades que se realizan. Las características o partes que se deben tomar en cuenta para determinar si el PCN existente sirve son: Una estructura clara. Una sección detallada de amenazas o incidentes. La determinación del riesgo, abarcando los procesos claves del negocio. Debe poseer una estrategia documentada para recuperación en todos los aspectos: TI, sistemas, comunicaciones, información del negocio, producción, ventas, contabilidad, servicio al cliente y relaciones públicas. 20

21 Debe existir una sección para atender la fase de recuperación del desastre con instrucciones claras. Deben existir también los pasos de recuperación de los procesos del negocio. El PCN debe incluir aspectos para la prueba, el entrenamiento y difusión del plan, y los procesos para mantenerlo actualizado. El formulario 1.2 que se encuentra a continuación se debe aplicar al PCN existente para analizar su eficacia. Existe un PCN? Si la respuesta es SI, responda las siguientes preguntas. (Si la respuesta es NO, vaya directamente a ) 1. a) Fecha cuando fue creado el PCN b) Fecha cuando el PCN fue actualizado 2. El PCN identifica el equipo responsable por el mantenimiento? SI COMENTARIOS: 3. El PCN incluye lo siguiente: Riesgos del Negocio y Análisis de Impacto SI NO COMENTARIOS: SI NO NO ACTIVIDADES necesarias documentadas para preparar la organización para posibles emergencias (incluyendo medidas estratégicas de recuperación) COMENTARIOS: Actividades detalladas para realizar con la situación de emergencia (Plan de Recuperación del Desastre) COMENTARIOS: SI NO SI NO 21

22 Procedimientos para administrar los Procesos de Recuperación del negocio SI NO COMENTARIOS: Plan para probar el PCN Si NO COMENTARIOS: Plan para entrenamiento del personal en el proceso de recuperación del negocio. SI NO COMENTARIOS: Procedimiento para mantener el plan actualizado SI NO COMENTARIOS: Formulario 1.2 Evaluación del PCN existente Fuente: EMPRESA ECUATORIANA Una vez que se haya revisado y valorado el PCN existente se lo puede categorizar como útil o inútil dependiendo de si modificarlo va ayudar o complicar su implantación. Después de haber sobrepasado esta prueba se puede determinar la fecha de inicio. Al final de cada formulario debe siempre incluirse el nombre, la firma del responsable y la fecha. REALIZADO POR: NOMBRE FIRMA: FECHA: En caso de existir una persona de cargo superior que realice la verificación de la información también debe incluirse su información. 22

23 REVISADO POR: NOMBRE FIRMA: FECHA: Diagnóstico de la Situación Actual La situación inicial a partir de la cual se elabora el proyecto, debe explicar los problemas, defectos o carencias que lo generan y la necesidad y justificación de los cambios a realizar. Existen diversos métodos y técnicas de diagnóstico, como la utilización de múltiples herramientas que permiten: Recoger información (observación, pruebas, encuestas, análisis de registros) Analizarlas y organizarlas (pueden ser gráficos) En ésta etapa participan todos los empleados de la empresa, ya que es tan valioso conocer como opera el gerente y de igual manera el resto del personal. 23

24 1.4.3 Beneficios de desarrollar un PCN Las personas dependiendo de las necesidades tienen diferentes intereses puestos en las organizaciones: propietarios, clientes, empleados, proveedores. Todos ellos tienen diferentes expectativas y necesidades que la empresa debe satisfacer. Es responsabilidad de los directivos de las empresas que estos beneficios estén protegidos para así asegurar la permanencia e incrementar el bienestar de los involucrados y una de las opciones que se tiene es un Plan de Continuidad ya que evita que las empresas dejen de cumplir con sus actividades. Independientemente del objetivo comercial, giro, procedencia, tamaño o mercado en el que opere, todas las organizaciones deben rendir cuentas a un grupo de persona, por lo que la interrupción en sus operaciones afectará sus resultados, así la aplicación a cualquier nivel de profundidad de una estrategia de continuidad protegerá de perdidas a los involucrados. La propuesta debe contener claramente detalladas las razones para comprometerse a realizar un proyecto 24

25 PCN, y debe incluir los beneficios y soluciones que se quieren obtener para esto se debe tener aprobadas algunas de las siguientes ideas: El nivel de dependencia de la tecnología, de sistemas de cómputo incluidos los mecanismos y procedimientos de ventas y de entrega del servicio, lo que representaría pérdidas en la operación normal del negocio. Requerimiento de controles y seguridades en los sistemas de información y en los recursos de tecnología de la información, que pueden no estar establecidos en la actualidad y que permitan minimizar el impacto de un desastre hasta los niveles aceptables para el negocio. Reconocimiento del impacto que un incidente serio podría causar al negocio llegando incluso a la desaparición. Necesidad de establecer un proceso formal cuando un desastre ocurre. 25

26 El desarrollo de estrategias efectivas de respaldo y recuperación para minimizar el impacto. Intención de planear el manejo de menores costos en la recuperación, dado que si un incidente grave se presenta, no ayudará a la economía de la empresa. Evitar detener el trabajo por accidentes o problemas que pueden ser pronosticados previamente Definición de las políticas corporativas para un PCN Un PCN es de gran importancia y su iniciación debe aprobarse a nivel del organismo que lidere la empresa por ejemplo la Junta de Accionistas, para que se garantice el compromiso, disponibilidad de recursos y atención de la gerencia al proyecto. La gerencia y los socios representantes, deben realizar la planeación de las reglas o políticas bajo las cuales se irá calificando el PCN junto al grupo que se encargará de dirigir el manejo del proyecto ya que en estas se basarán 26

27 cada uno de los miembros del equipo del PCN al momento de realizar su trabajo. Dentro de las políticas que cada organización apruebe se deben detallar las siguientes instrucciones que serán las que indiquen las prioridades bajo las cuales se debe trabajar y debe ser entregado al gerente del proyecto mediante un acta: Deben determinarse los riesgos y los requerimientos del PCN. El PCN debe cubrir todas las actividades del negocio críticas y esenciales. El PCN debe probarse periódicamente, en un ambiente simulado, para garantizar que pueda implantarse en situaciones de emergencia y que la gerencia y el personal entiendan cómo debe ejecutarse. Todo el personal de empleados debe conocer el plan general y sus roles respectivos. El PCN debe mantenerse actualizado para atender las circunstancias cambiantes del 27

28 negocio (tecnología, dirección estratégica, nuevos procesos, etc.). Todos los puntos tratados y las decisiones tomadas en las reuniones de trabajo deben quedar registradas en un documento tipo acta que variará en su modelo dependiendo de la fase en la que se encuentre el proyecto. Las hojas deberán poseer el membrete de la Empresa o Institución, a continuación en el formulario 1.3 se presenta un modelo que puede ser utilizado. 28

29 Logotipo NOMBRE DE LA EMPRESA Fecha Número de Acta Orden del Día * * * * Puntos Tratados Comentarios y Dudas Firmas de los Asistentes Formulario 1.3 Beneficios de elaborar un PCN Elaborado por: Inés Fernández 29

30 1.4.5 Elaboración del presupuesto para el proyecto PCN Los Planes de Continuidad de Negocio deben ser considerados como una inversión y no un gasto, aun cuando la inversión que se necesita es realmente alta. Cuando se va ha aprobar la iniciación del proyecto es realmente el momento más oportuno para realizar una estimación de los costos para saber si la empresa realmente tienen la capacidad financiera para invertir en el proyecto PCN. El objetivo es determinar un presupuesto que incluya el análisis financiero en varias estrategias de recuperación. Los costos que se deben tomar en cuenta en el presupuesto preliminar cubriendo los costos de comenzar el proyecto de PCN, deberían incluir lo siguiente: Costo del personal de la administración del proyecto de PCN Costo de personas que forman parte del equipo de PCN y que pertenecen a otras áreas. 30

31 Herramientas de planificación y soporte del PCN, metodología, plantillas y materiales de referencia. Adquisición de equipo o mantenimiento del existente, por ejemplo PCs, impresoras, portátiles, teléfonos móviles, software etc. para el equipo de planificación de PCN. Inversión en nueva infraestructura que se requiere al momento de poner a prueba el PCN. Inversión en suministros para la difusión del PCN al personal y los clientes Procedimiento para aprobar el contenido del PCN La realización de un Plan de Continuidad del Negocio debe ser aprobado por la Directiva de la organización y debe determinarse una persona que se haga cargo de supervisar como se lleva a cabo el trabajo que se lo llamará Gerente del proyecto. Todos ellos tienen obligaciones durante la elaboración y aprobación del PCN. 31

32 Todo cambio que se realice debe ser controlado cuidadosamente porque éste puede causar problemas en procesos antes levantados y aprobados por este motivo cuando se realice un cambio deberá ser notificado al Gerente del Proyecto y él definirá si se lo acepta o no. Todos estos procesos deben ser documentados y firmados por los responsables directos de las actividades que se vayan realizando, al final de cada hoja, para que el supervisor conozca quién, qué y porqué la realizó. Por las altas responsabilidades que significa el implementar un PCN se presenta a continuación la estructura jerárquica de aprobación en las diferentes etapas del PCN. La Directiva es la responsable de : Aprobar el inicio del proyecto Las políticas bajo las cuales se va a trabajar Verificar el presupuesto que se tiene para el proyecto Designar al Gerente del Proyecto de PCN 32

33 Informar a los empleados de lo que se va hacer. La Gerencia Primera Parte o Inicio del Proyecto Nombramiento del equipo que va a trabajar en el PCN Aprobar y Controlar el cronograma Determinar si el contenido del plan está completo Segunda Parte o Desarrollo del Proyecto Aprobación de los proveedores que será requeridos en las diferente etapas Verificar que los seguros que se tienen y que se van a adquirir sean los más adecuados. Analizar del impacto del negocio. Determinar del riesgo del negocio. Encontrar las estrategias de TI. Aprobar los presupuestos de recuperación y backup de TI 33

34 Cambiar a los miembros del equipo del PCN en caso de ser necesario. Aprobar las estrategias de recuperación del negocio. Aprobación del estado del desastre. Cambios que se realicen al Plan. El Gerente del Proyecto Analizar si la información es precisa y exacta. Aprueba las estrategias de entrenamiento del PCN Mantenimiento y actualización del PCN Cambios de información que se realicen en el documento del PCN Comunicación del proyecto de PCN a todos los empleados El Implementar un PCN es un trabajo muy difícil y todos los empleados de la institución están involucrados por lo que se deben realizar reuniones en las que se explique que es el PCN y como va a ayudar a la organización, 34

35 para que de esta manera ellos se sientan incluidos y colaboren en el proyecto. También se deben enviar comunicaciones del día de inicio y los avances que se tienen para que el personal se mantenga informado continuamente. 1.5 Organización del proyecto La organización de un proyecto para implementar un PCN debe tener la estructura que se muestra en el gráfico

36 Organización del Proyecto Análisis del personal para nombrar al gerente del proyecto PCN Selección del personal apropiado para el equipo del PCN Reunión inicial del proyecto del PCN Objetivos del proyecto PCN Documentos a elaborar Cronograma del Proyecto Reporte para control de avances Recolección de Documentos e información Gráfico 1.2 Organización del proyecto Elaborado por: Análisis del personal para nombrar al Gerente del Proyecto PCN Para determinar al Gerente de Proyecto se debe analizar primeramente el rol y sus responsabilidades ya que son 36

37 diferentes de una empresa a otra y el Gerente de Proyecto es el responsable de garantizar el éxito del proyecto. En proyectos con grandes inversiones como un PCN lo más probable es que se contrate un sólo gerente del proyecto desde el inicio hasta que esté totalmente terminado para que los tiempos se cumplan y no existan grandes retrasos por desconocimiento de las actividades que ya se han llevado a cabo. Otros títulos también pueden ser usados: Coordinador de Proyecto, o Líder de Equipo, esto depende del tipo de organización de la empresa, pero las responsabilidades y obligaciones son las mismas. El Gerente del Proyecto debe ser quien: debe definir el proyecto, luego construir el plan de ejecucióncronograma, por ejemplo Si se inicia con el proyecto, y se determina que el alcance del proyecto ha sido erróneamente definido, el Gerente del Proyecto, será el responsable de realizar los cambios necesarios y si el plan está completamente mal elaborado, el gerente del 37

38 proyecto será la persona a la cual el Directorio pedirá las explicaciones necesarias porque él definió el proyecto. Definir un proyecto se refiere a entender y lograr concretar los acuerdos sobre los objetivos, alcance, riesgos, enfoque, presupuesto, etc. También incluye definir, o adoptar, los procedimientos gerenciales que se usaran para manejar el proyecto. Para un proyecto de PCN que tienen una gran importancia y necesita de muchísimo apoyo de todos los que conforman la organización es necesario tener un Gerente del Proyecto el cual dependiendo del tamaño de la empresa se lo puede requerir por tiempo completo, medio tiempo o por horas (cuando la persona es externa y presta servicios como consultor del proyecto). El Gerente del proyecto de PCN debe poseer cualidades que le permitan dominar el grupo con el que va ha trabajar como son: liderazgo, paciencia, y además debe entender los procesos de negocio y de gerencia de negocios, buena experiencia en TI y seguridad informática, y saber como dirigir el proyectos. En muchas 38

39 organizaciones el Gerente del Proyecto puede ser la persona que se encarga de la Seguridad Informática. Se puede usar un formato como el siguiente para el nombramiento del gerente del proyecto: 39

40 GERENTE DEL PROYECTO NOMBRE: Fecha nombramiento como Gerente del Proyecto PCN: Tiempo completo o parcial: Si es tiempo parcial, cargo actual: Persona a la que reporta el Gerente del Proyecto: Breve descripción del perfil: Detalles de contacto: Teléfono Casa: Teléfono Oficina: Teléfono Celular: Dirección Casa: Dirección Oficina: Otros Detalle del contacto en emergencias: Teléfono Celular: Otros Formulario 1.5 Nombramiento del gerente del proyecto Elaborado por: Inés Fernández 40

41 1.5.2 Selección del personal apropiado para el equipo del PCN El equipo que trabajará en el PCN debe seleccionarse y notificarse por escrito para que sea un cargo formal. Lo importante es que cada una de las áreas del negocio estén representadas en el equipo del PCN, para saber cómo funciona cada área y también una visión completa del negocio como un todo. El representante de cada área tiene la obligación de entregar al equipo del PCN la información completa de cómo funciona su área, las actividades críticas y las áreas claves de riesgo. SELECCIÓN DEL EQUIPO DEL PCN NOMBRE CARGO Y DEPARTAMENTO EN LA ORGANIZACION FECHA NOMBRAMIENTO EN EL EQUIPO DEL PROYECTO FECHA NOTIFICACION NOMBRAMIENTO Formulario 1.6 Selección del equipo del PCN Elaborado por: Inés Fernández 41

42 1.5.3 Reunión inicial del equipo para el proyecto PCN La primera reunión que cita el Gerente del Proyecto es a todas las personas que formarán el Equipo de Proyecto ya que juntos deberán determinar los objetivos en los que se basarán para la elaboración del proyecto. Como es una reunión que debe cumplir con todas las características que las políticas internas determinan, se sugiere que en el orden del día consten los siguientes ítems a tratarse: Introducción de que es un PCN por el Gerente del Proyecto. Estructura organizacional del proyecto entrega de nombramientos a todas las personas que van a formar parte del equipo que realizará el proyecto. Requerimientos iniciales de información del proyecto una breve explicación de que es lo que se quiere con el proyecto. 42

43 Determinar que podría causar una emergencia y los desastres potenciales que se pueden presentar. Breve descripción de los procesos del negocio que se consideran claves. Examinar el impacto de los desastres potenciales o emergencias. Metodología PCN. Que se piensa utilizar Cronograma del proyecto (primero que se elabora). Prueba del PCN (fechas y las actividades). Entrenamiento y capacitación en PCN. Frecuencia de las reuniones del equipo de PCN lo que es muy importante ya que es una de las maneras de controlar el progreso que se tiene Objetivos del proyecto La definición de los objetivos es una tarea que se debe abordar desde el principio de la investigación. Los objetivos deben permanecer inalterables hasta el informe final del proyecto. Esto es porque los objetivos constituyen la guía más general de todos los pasos del 43

44 proyecto. Con esto se evitará malgastar el tiempo del equipo del PCN y enfocar sus esfuerzos en los asuntos con mayor importancia y asegurar que el trabajo empezado por el equipo sea acorde en el contexto de los objetivos originales del proyecto. En función de los objetivos se plantean los métodos de recolección de datos, las pruebas estadísticas, las formas de presentar la información y demás elementos que conforman la elaboración del PCN. Los objetivos son el punto de partida y guía de todas las acciones que se ejecutarán. Uno de los objetivos generales del plan puede ser: Restablecer el normal funcionamiento de la empresa tan pronto como sea posible. Dependiendo de lo que se quiera lograr la organización puede tener sub-objetivos que podrían cubrir los asuntos menos relacionados con el PCN pero que de manera insignificante lo afecten También se pueden determinar propósitos para el plan y estos pueden ser: 44

45 Asegurar la disponibilidad de los recursos para sobrellevar el desastre. Reducir el impacto de un desastre para el negocio. Un método que se puede utilizar para verificar que los objetivos se cumplan es una matriz en la que se relacionan los objetivos con los sub-proyectos (al proyecto PCN se lo dividirá para optimizar el trabajo). A continuación se muestra un esquema general Sub-Proyecto 1 Sub-Proyecto 2. Sub-Proyecto m Objetivo 1 Objetivo 2 Objetivo n Ejemplo 1.1 Matriz objetivos vs proyectos Elaborado por: Inés Fernández Documentos a elaborar El Gerente del Proyecto debe pensar de forma anticipada Qué, Cómo y Quiénes elaborarán los entregables para que el proyecto no finalice con grandes problemas para localizar información relevante así como el tener que lidiar con formatos de entregables 45

46 inconsistentes. Lo que probablemente derivará en esfuerzos adicionales para rehacer trabajo que ya se había finalizado. Los entregables, antes de determinar si se debe o no elaborarlo dependen de: Riesgos e Impacto al Negocio Actividades documentadas para preparar a la organización ante posibles emergencias (incluyendo medidas de recuperación estratégicas) Detalle de las actividades en la fase de la recuperación del desastre. Procedimiento para manejar el proceso de la recuperación del negocio. Plan para probar el proceso de la recuperación del negocio. Plan para entrenar el personal en el proceso de la recuperación del negocio. Procedimiento para mantener el plan actualizado. 46

47 Nuevas medidas de seguridad de la información Cronograma del proyecto Al momento de definir el cronograma del proyecto es necesario tomar en cuenta todas las tareas y subtareas que se van a realizar por lo que las fechas y los tiempos que se que se asignen deben ser prácticos y alcanzables y mantener siempre monitoreado por un miembro del grupo. El objetivo de un cronograma es dividir el gran proyecto en proyectos pequeños para que sea más fácil manejarlos y controlarlos. Como se ha venido mencionando las partes que deben ser tomadas en cuenta para dividir el proyecto son: Aprobación del inicio del proyecto. Iniciación del proyecto. Análisis de Riesgo y Análisis de Impacto al Negocio 47

48 Plan de preparación ante posibles emergencias. Plan de Recuperación del Negocio Plan de prueba del PCN Entrenamiento del PCN. Para ayudar al control del proyecto se recomienda el uso de una herramienta de planificación Reportes para control de avance Los reportes de avance de un proyecto son la única manera de saber si los cronogramas fijados y las actividades se están cumpliendo por esto es necesario que el Gerente del Proyecto de PCN presente un reporte mensual detallado de las actividades que han sido cumplidas en el últimos días o meses, identificando dificultades encontradas y vías de solución, para que se las tome en cuenta en los días o meses siguientes ayudando a reducir tiempo en solucionar problemas que se presenten con frecuencia. 48

49 El reporte debería contener un resumen ejecutivo, el cual se debería entregar a la Junta Directiva o a quien la represente Recolección de documentos e información El equipo encargado del PCN debe preparar toda la documentación e información necesarias del departamento que representan; en esa lista se deben incluir los documentos con información delicada (confidencial) y sensitiva, y se debe garantizar que la información no salga de la empresa. El uso compartido de documentos electrónicos y en papel en un gran proyecto se vuelve cada vez más difícil porque muchas personas deben compartir información de manera fluida con otros o con todos los miembros del equipo. Esto es particularmente cierto cuando más de una persona trabaja en documentos grandes. El Gerente del proyecto debe lograr almacenar información básica para la planificación del proyecto. Los 49

50 documentos útiles e información que se pueden incluir se listan en el formulario 1.7: Documentos SI NO Observaciones Organigrama con nombres y posiciones PCN existente Información de contactos de emergencia para el personal Lista de proveedores y números de contacto Lista de asesores y contactos de emergencia Lista de servicios de emergencia y números de contacto Direcciones y mapas Especificaciones de los sistemas IT Especificaciones de los sistemas de comunicaciones Copias de los acuerdos de mantenimiento Procedimientos existentes de evacuación y regulaciones anti-incendio Procedimientos de seguridad y primeros auxilios Procedimientos de operación y administración Procedimientos del personal administrativo Copias de los planos del edificio y plantas físicas Información del inventario de activos Inventarios de IT Procedimiento del almacenamiento fuera de la empresa ("Off-site storage") Regulaciones y directivas relevantes de la industria Información de seguros y pólizas Otros (especifique sus Nombres) Formulario 1.7 Recolección de documentos e información Elaborado por: Inés Fernández 50

51 CAPITULO 2 2 EVALUACIÓN DEL RIESGO E IMPACTO 2.1 Evaluación del riesgo Un PCN esta básicamente construido sobre los riesgos que la empresa puede tener por esto es muy importante definir el riesgo potencial para el negocio en caso de que se presente una emergencia cualquiera. Todo riesgo posee dos características que se deben analizar que son: La incertidumbre si el acontecimiento puede o no suceder y la pérdida si el riesgo se convierte en realidad. La clave para el éxito de las empresas no consiste en ignorar los riesgos sino en analizarlos y controlarlos de manera efectiva. Existen una serie de eventos que amenazan a las empresas y éstas son las que el equipo del PCN debe evaluar detenidamente, considerando todas aquellas que tienen alguna probabilidad de presentarse (No considerar tormentas de nieve 51

52 o maremotos en Quito) y determinar el impacto. Los escenarios deben ser creíbles, probables y simular el peor caso. El análisis del riesgo se relaciona con la seguridad de la información en la integridad, confidencialidad y disponibilidad de los recursos. Para escoger el mejor análisis de riesgo es necesario revisar los dos tipos más comunes: análisis cualitativo y cuantitativo. El análisis cualitativo es subjetivo por naturaleza y brinda más facilidades para poder generar el proceso y obtener reportes. En este método se evalúa la probabilidad y el impacto de los riesgos identificados, priorizando los mismos según su potencial impacto sobre el negocio El método cuantitativo analiza numéricamente la probabilidad de cada riesgo y su consecuencia sobre los objetivos del negocio, pero causa mayores problemas por las dificultades que se tiene para determinar una probabilidad real basada en la información que se logra recolectar Se lo utiliza en empresas con escasa o ninguna medida de protección, utilizando información disponible en libros y manuales como: análisis de riesgo, seguridad, auditoria. 52

53 En el gráfico 2.1 permite conocer los riesgos más frecuentes a los que las empresas están expuestas. Evaluación del Riesgo Desastres ambiental es Interrupción en el suministro de servicio público Otros situaciones de emergencia Falla de los equipos o del sistema Interrupción organizada o deliberada Incidentes mayores de seguridad de la información Gráfico 2.1 Evaluación del Riesgo Elaborado por: Desastres ambientales Los desastres o fenómenos naturales, difíciles de prevenir y controlar por el hombre han generado políticas y acciones de emergencias en el momento en que éstas ocurren o después que han ocurrido, resultando insuficientes para disminuir significativamente los daños y pérdidas resultantes. En la tabla 2.1 se tienen los desastres naturales que se tomarán como las potenciales emergencias que se pueden tener y los daños significativos que pueden ocasionar: 53

54 Temblores Incendios Inundaciones Tormentas eléctricas Deslaves Erupciones volcánicas Epidemias Daños en la X X X X X infraestructura Pérdida de energía X X X X X X (luz) Pérdida de X X X X X X X comunicación Interrupción de X X X X X servicio de agua Fuego X X X Contaminación del X X X agua Pérdida del personal X X X X X X X Tabla 2.1 Desastres ambientales Elaborado por: Inés Fernández 54

55 2.1.2 Interrupción organizada o deliberada 1 Aquí se incluirán los casos en que otros grupos o personas son las culpables de las interrupciones como son: Actos de terrorismo Actos de sabotaje Actos de guerra Robo Piromancia Problemas sindicales Interrupción en el suministro de servicios públicos Falla en suministro de energía de la red publica. Falla en el servicio de acueducto y alcantarillado (agua) Escasez de petróleo (gasolina) Caída del servicio de telefonía pública o celular 1 PCN Empresa Ecuatoriana 55

56 Escasez de gas Falla de los equipos o del sistema Falla en el suministro de energía interna Falla en el aire acondicionado Falla en los equipos de producción Incidentes mayores de seguridad de la información Cyber crimen Perdida de información (pobres backups o esquemas de recuperación) Divulgación de información sensitiva Fallas de sistemas IT Otras situaciones de emergencia Paros en transporte público Ética Profesional de los empleados Adquisiciones Problemas legales 56

57 2.2 Análisis del Impacto al Negocio Es necesario considerar todos los posibles incidentes, y el impacto que cada uno puede tener en la organización y las consecuencias que se pueden generar para impedir el desempeño normal de los procesos del negocio. Se examinarán las posibilidades de incidentes en diferentes niveles tomando en cuenta la criticidad del proceso dentro de la organización y también determinar el impacto y consecuencias de la pérdida del servicio o la reducción de los niveles normales. Análisis del impacto al negocio Procesos del Negocio Definición de períodos de tiempo objetivo Impacto financiero y operacional Gráfico 2.2 Análisis del impacto al negocio Elaborado por: El formulario 2.1 se lo puede utilizar para realizar éste análisis. 57

58 EVALUACIÓN DEL RIESGO Y DEL IMPACTO TIPO DE DESASTRE PROBABILIDAD IMPACTO FACTOR DEL RIESGO BREVE DESCRIPCION DE LAS CONSECUENCIAS POTENCIALES Formulario 2.1 Evaluación del riesgo Elaborado por: Inés Fernández En cada desastre ambiental o situación de emergencia que se plantee se debe analizar el riesgo y la probabilidad de presentarse y plantear una consecuencia. El factor del riesgo es el resultado obtenido de la suma de la probabilidad de que ocurra un desastre más el impacto que provocaría, Los resultados que de este factor se obtengan se los analizaran y los que sumen mayor a igual a 6 serán las prioridades para el PCN. La tabla 2.1 nos permite calificar probabilidad e impacto del formulario 2.1. PROBABILIDAD IMPACTO CALIFICACIÓN NIVEL CALIFICACIÓN NIVEL 5 MUY ALTO 5 TERMINAL 4 ALTO 4 DEVASTADOR 3 MEDIO 3 CRITICO 2 BAJO 2 CONTROLABLE 1 MUY BAJO 1 ACEPTABLE Tabla 2.2 Probabilidad e impacto Fuente: EMPRESA ECUATORIANA 58

59 2.2.1 Procesos del Negocio Una empresa tiene un gran número de procesos para sus productos o servicios. Los procesos son un conjunto de recursos y actividades interrelacionados que transforman elementos de entrada en elementos de salida que son los que se le entregan al cliente. Los diferentes tipos de procesos son: Los procesos estratégicos son los que proporcionan las directrices a todos los demás procesos y son realizados por la gerencia. Se refieren a las leyes, normativas, reglamentos aplicables al servicio que se quiere brindar. Los procesos claves La revisión y evaluación efectiva de los procesos claves del negocio es una decisión básica para optimizar el desempeño y alcanzar los objetivos del negocio. Los procesos claves de la empresa corresponden a diferentes áreas de servicio que tienen impacto en el cliente creando valor para éste. Es decir son las actividades esenciales del servicio, la 59

60 razón de existir. Son aquellos procesos que inciden de manera significativa en los objetivos estratégicos y son críticos para el éxito del negocio. Algunos ejemplos pueden ser: diseño, montaje, ensamblaje, Investigación sobre nuevas técnicas, dependiendo del servicio que brinde la empresa. Los procesos de soporte son los que dan apoyo a los procesos fundamentales que realiza un servicio, son los procesos que realizan otros procesos dentro de la empresa. PROCESOS DEL NEGOCIO ORGANIZADOS POR PRIORIDAD ÁREAS DEL NEGOCIO DESCRIPCION DE LOS PROCESO QUE MANEJA PRINCIPALES PROCESOS IMPLICADOS Formulario 2.2 Procesos del Negocio Elaborado por: Inés Fernández Definición de los tiempos de recuperación Cuando se presenta un desastre es necesario saber el tiempo que cada servicio va a estar fuera, como también, que procesos estarán fuera de servicio y que tan grave es para la organización. 60

61 Estos tiempos o períodos son analizados para cada servicio buscando determinar el Tiempo Esperado de Recuperación o Recovery Time Objective que son aquellos espacios de tiempo antes de restablecer los procesos. Los intervalos de tiempo que se establezcan deben adaptarse a los requerimientos específicos de cada empresa. Por ejemplo: PERIODO TIEMPO DE MEDIDA 1 Menos de 2 horas horas horas horas días 6 Mas de 5 días Tabla 2.3 Ejemplo de intervalos de tiempo Elaborado por: Inés Fernández Impacto financiero y operacional Resulta un problema al momento de evaluar el impacto financiero de un desastre, ya que, se requiere calificar 61

62 por medio de la tabla 2.3 como fueron afectados los procesos, los equipos como también y los puntos que constan en el formulario 2.3. IMPACTO FINANCIERO Y OPERACIONAL ITEMS CALIFICACIÓN Impacto en servicio al cliente Pérdida de clientes Pérdida de Ingresos Costos adicionales de recuperación Pérdida de información Impacto financiero negativo Posibles problemas legales Costos de nuevas infraestructuras Compra de nueva maquinaria Pérdida de equipos IMPACTO FINANCIERO CALIFICACIÓN NIVEL COSTO APROXIMADO 1 TERMINAL 2 DEVASTADOR 3 CRITICO 4 CONTROLABLE 5 ACEPTABLE Formulario 2.3 Calificación del Impacto financiero y operacional Elaborado por: Inés Fernández Para determinar el impacto financiero de una emergencia se debe establecer costo aproximado para cada nivel dependiendo de las organizaciones y el tiempo que se va a requerir para volver a funcionar. 62

63 2.3 Políticas de Seguridad Las políticas de seguridad son las normas e instrucciones que se deben cumplir para que la información, cualquiera sea la manera en que se guarde, se encuentre protegida. Son la base para la implantación efectiva de un plan de negocios, un plan de continuidad del negocio o cualquier otro proyecto. Lamentablemente las empresas no les dan la importancia que deberían a éstas políticas y se convierten en el problema más grave ante los peligros externos e internos. El objetivo de las políticas de seguridad es definir qué están haciendo los usuarios con la información de la empresa, y evitar el mal uso de los recursos de hardware y software. Las políticas varían considerablemente según el objetivo social que tenga la empresa, en general incluyen declaraciones generales sobre objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. 63