ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO

Transcripción

1 ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO A. CONSIDERACIONES GENERALES I) REQUERIMIENTOS... 2 B. OBJETIVO DE PROYECTO... 3 C. ALCANCE... 3 D. LUGAR... 3 E. PERSONAL REQUERIDO PARA DESARROLLAR EL PROYECTO... 3 F. SOLUCIÓN REQUERIDA... 5 G. ENTREGABLES INFORME DE EVALUACIÓN DE RIESGOS DE PROCESOS DE NEGOCIO (RA) INFORME DE ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD I. VIGENCIA DEL CONTRATO... 7 J. CONDICIONES GENERALES... 7 K. CALENDARIO DE PAGO CONFORME A ENTREGABLES.... 8

2 A. CONSIDERACIONES GENERALES. El presente ANEXO TÉCNICO contiene las especificaciones técnicas del PROYECTO Servicio de Análisis de Riesgo de Procesos de Negocio y Análisis de Brechas de la Estrategia de Continuidad. I) REQUERIMIENTOS La SAGARPA (Secretaría de Agricultura, Ganadería, Desarrollo Rural, Pesca y Alimentación) ha solicitado al INFOTEC los servicios de Estrategias de continuidad del negocio BIA-AR institucional, que permita Identificar los requerimientos necesarios para proteger los procesos críticos de la Dependencia, contra desastres o incidentes mayores, mitigando las posibles consecuencias que se puedan generar, como pérdidas económicas, financieras; impactos legales, en imagen y credibilidad, etc., a través de un Análisis de Brechas de la Estrategia de Continuidad de la Secretaría. II. SITUACIÓN ACTUAL La SAGARPA se ha visto afectada en su operación en diferentes ocasiones, por diversos eventos naturales, sociales y siniestros, mismos que han sido atendidos de forma inmediata, sin embargo se carece de un procedimiento de recuperación de la operación de servicios de la Secretaría que permita minimizar el impacto a las operaciones. En el año 2009, se presentó un incendio en el inmueble de Municipio Libre, el citado siniestro se originó en el noveno piso del edificio y se extendió a los niveles 10, 11 y 12, el cuerpo de bomberos controló las llamas del incendio después de una hora de labor, sin embargo por el agua con la que se combatió el citado siniestro se vieron afectados todos los pisos del inmueble del Ala A, ya que se filtraba de piso en piso, el Ala B se vio afectada ya que todo el hollín que se generó por el incendio voló dañando documentos oficiales, equipos de tecnologías de información y comunicaciones, así como el mismo mobiliario. También se ha visto afectada la SAGARPA, por toma de instalaciones ya sea por sociedad rural, maestros, sociedades privadas, etc. evitando que los funcionarios públicos ingresen a los inmuebles, lo que ocasiona que los responsables de las operaciones críticas de la Secretaría no se encuentren en sus espacios de trabajo o con la información necesaria, y manteniendo el riesgo de que en caso de que se presentara un incidente en los servicios de las tecnologías de información y comunicaciones o fuera necesario realizar algún cambio en las mismas, no se atendería en tiempo. Durante el 2010 por el huracán Alex, la empresa Axtel reporto suspensión en los servicios de Telecomunicaciones, impactando la operación de la Secretaría por ser el único proveedor de servicios a nivel Nacional. Por lo anterior se revisó la conveniencia de contratar al INFOTEC, para realizar un análisis de brechas de la Estrategia de Continuidad de la Secretaría para identificar los requerimientos necesarios para implementar un Plan de Continuidad del Negocio, a fin de que cada uno de los involucrados conozca sus roles, responsabilidades y recursos, con la finalidad de que la recuperación sea en un menor tiempo con un menor impacto y costo.

3 B. OBJETIVO DE PROYECTO Realizar un Análisis de Riesgos de Procesos de Negocio (RA) que considere la identificación y calificación de los riesgos y escenarios de riesgo potenciales para la SAGARPA. Con base en este Análisis de Riesgos y los resultados del Análisis de Impacto al Negocio (BIA) desarrollado por INFOTEC se realizará un análisis de brechas entre dichos resultados y la estrategia de continuidad actualmente implementada en la SAGARPA. C. ALCANCE Este proyecto incluirá la evaluación de los procesos de la Secretaría mediante el análisis de la documentación de los mismos, como políticas, procedimientos y organigramas; entrevistas con las distintas áreas y la aplicación de los cuestionarios del Análisis de Riesgos de Procesos de Negocio. Así mismo incluirá la evaluación de los riesgos a los que están expuestas las oficinas centrales de la SAGARPA. El alcance del proyecto es el siguiente: D. LUGAR I) Análisis de Riesgos de Procesos de Negocio a. Análisis de las principales amenazas. b. Identificación de las principales vulnerabilidades en el control interno. c. Calificación del nivel de riesgo potencial. d. Definición de un mapa de riesgos de procesos de negocio II) Análisis de Brechas de la Estrategia de Continuidad: Identificar las brechas existentes entre la Estrategia de Continuidad actual de la Secretaría y los resultados del Análisis de Impacto al Negocio (BIA) y Evaluación de Riesgos (RA) para determinar los requerimientos adicionales de personal, políticas y procedimientos necesarios para responder a los escenarios de interrupción identificados. El desarrollo del proyecto deberá realizarse en las instalaciones de la SAGARPA, ubicadas en la Cd. de México con domicilio Avenida Municipio libre No Col. Santa Cruz Atoyac Del. Benito Juárez C.P México D.F. Todas las actividades relacionadas con el levantamiento de información y entrevistas, deberán desarrollarse en las oficinas de la dependencia, en donde se encuentra ubicada la información o funcionarios requeridos. El trabajo de gabinete podrá realizarse en las instalaciones de la SAGARPA o en las instalaciones del proveedor, previo acuerdo con el Administrador del contrato. E. PERSONAL REQUERIDO PARA DESARROLLAR EL PROYECTO I) El perfil de los especialistas que participen en el desarrollo del proyecto deberán de cubrir con experiencia en este tipo de proyectos, de la siguientes forma:

4 Perfil Escolaridad Actividades Director de proyectos Licenciatura en carrera administrativa o afín. Se comprueba con copia de título o cédula profesional Entendimiento del marco estratégico de las organizaciones Definición de la estrategia de implementación de proyectos de mejora organizacional Determinación de directrices para los integrantes del equipo del proyecto Coordinación de las actividades del equipo de trabajo del proyecto Supervisión de los productos y entregables resultantes de las actividades Vigilar el cumplimiento de los beneficios buscados por los proyectos en consistencia con las expectativas de los clientes Líder de proyecto Consultor Licenciatura en carrera administrativa o afín. Se comprueba con copia de título o cédula profesional Certificación PMP por el PMI Licenciatura en carrera administrativa o afín. Se comprueba con copia de título o cédula profesional Entendimiento de los proyectos respecto al marco estratégico de las organizaciones Entendimiento de los procesos de las organizaciones y los riesgos asociados Revisión de informes de avance de proyectos Producción de Informes de Supervisión de proyectos para grupos de interés Emisión de recomendaciones para cerrar brechas en proyectos de ejecución respecto a la planeación de los mismos Entendimiento del modelo operativo de las organizaciones Identificar riesgos existentes en la operación de las organizaciones Identificar oportunidades de mejora de las en los procesos de las organizaciones Definir mecanismos para la mejora operativa de las organizaciones Definir requerimientos de información asociados a los mecanismos de mejora organizacional Implementar mecanismos definidos para mejora operativa de las organizaciones

5 II) Se deberá de considerar el personal suficiente para realizar las actividades necesarias con el fin de cumplir en tiempo y forma las entregas y desarrollo de las actividades planteadas en su propuesta. F. SOLUCIÓN REQUERIDA La solución requerida por INFOTEC considera los siguientes aspectos a desarrollar para la SAGARPA: 1. ANÁLISIS DE RIESGOS DE PROCESOS DE NEGOCIO. En esta fase se realizará la identificación y evaluación de riesgos que pueden una afectación en la operación de los procesos críticos de la SAGARPA, considerando: I. Identificar los riesgos que pueden provocar una afectación en la operación de los procesos críticos, con base en las amenazas y vulnerabilidades identificadas. II. Calificar los riesgos identificados con base en su probabilidad de ocurrencia e impacto. III. Definir un mapa de riesgos. IV. Determinar las medidas preventivas, detectivas y correctivas a implementar para mitigar los riesgos operacionales identificados de conformidad con el apetito por el riesgo de la Secretaría. V. Determinar los escenarios de riesgo. 2. ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD En esta fase se deberá realizar un análisis de brechas de la Estrategia de Continuidad actual contra los resultados del Análisis de Impacto al Negocio (BIA) y la Evaluación de Riesgos (RA), considerando: I. Determinar si la Estrategia de Continuidad actual considera los escenarios de interrupción identificados durante la fase de Evaluación de Riesgos (RA) II. Determinar si los requerimientos de personal, registros vitales, tiempos de recuperación y puntos de recuperación de los procesos críticos identificados durante la fase de Análisis de Impacto al Negocio (BIA) están cubiertos por la Estrategia de Continuidad actual. III. Determinar si la capacidad de continuidad del negocio de los proveedores críticos incluidos en la Estrategia actual cumplen con los requerimientos identificados durante la fase de Análisis de Impacto al Negocio (BIA). IV. Determinar las políticas, procedimientos, roles y responsabilidades que deben de ser implementados y formalizados en la Secretaría para la gestión y para la implementación de un Plan de Continuidad del Negocio que responda ante los escenarios de riesgo identificados.

6 G. ENTREGABLES El proveedor deberá de desarrollar los procedimientos y/o documentación necesaria de todas las etapas antes citadas, para todos los entregables, conforme a la siguiente tabla: ENTREGABLES DE PROYECTO Desarrollo del Proyecto 1. Informe de Evaluación de Riesgos de Procesos de Negocio. 2. Informe de Análisis de Brechas de la Estrategia de Continuidad. 1. INFORME DE EVALUACIÓN DE RIESGOS DE PROCESOS DE NEGOCIO (RA). Documento de Informe de Evaluación de Riesgos de Procesos de Negocio que contenga como mínimo: a) Objetivo. b) Alcance. c) Identificación de riesgos de procesos de negocio. d) Definición de criterios para la evaluación de riesgos. Impactos, probabilidades. Nivel de Riesgo. e) Resultados de la evaluación de los riesgos de procesos de negocio. Mapa de riesgos. Definición de acciones propuestas para el tratamiento de los riesgos identificados. Definición de escenarios de riesgo. 2. INFORME DE ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD. Documento con el análisis de las brechas de la Estrategia de Continuidad actual de la Secretaría contra los resultados del Análisis de Impacto al Negocio (BIA) y la Evaluación de Riesgos (RA), que incluya: a) Objetivo. b) Alcance. c) Análisis de los requerimientos de continuidad identificados en el BIA contra la Estrategia de Continuidad Actual para determinar los requerimientos que deben de ser implementados: Procesos críticos. Personal crítico y suplentes. Registros vitales. Productos y servicios de proveedores externos, organismos y entidades regulatorias. Tiempos de Recuperación. Puntos de Recuperación. b) Análisis de las políticas, procedimientos, roles y responsabilidades requeridos para la gestión de la Continuidad del Negocio contra los componentes de la Estrategia de Continuidad actual, considerando:

7 Políticas de Continuidad del Negocio. Roles y responsabilidades. Árboles de llamadas. Plan de Continuidad del Negocio (BCP). Procesos para la Gestión de Continuidad del Negocio (SGCN) Supervisión, medición y evaluación. Capacitación y concientización. Pruebas. Actualización de documentos. H. DOCUMENTACIÓN QUE DEBE DE ENTREGAR LOS PARTICIPANTES Los participantes deberán de entregar los siguientes documentos: Los entregables correspondientes descritos en el punto G de este documento El licitante ganador deberá de presentar los currículos de los participantes en el proyecto I. VIGENCIA DEL CONTRATO La vigencia y período de los servicios será del 3 de noviembre al 19 de diciembre de J. CONDICIONES GENERALES a) Administracion del proyecto, el proveedor deberá de presentar: i. Definición de roles y responsabilidades del personal involucrado en el proyecto. ii. Identificación de la planeación, arranque y administración del proyecto. b) Todos los procesos, entregables y documentación que se requiera deberá de ser desarrollado por el proveedor, con el personal necesario para entregar en tiempo y forma cada una de las etapas (deberá de documentar de manera escrita, todos y cada uno de los procesos incluyendo las entrevistas con el personal de la secretaría a fin de contar con la información lo más fidedigna posible). c) Responsable del Proyecto por parte del proveedor i. Responsabilidades: Entender la organización y el negocio. Desarrollar el plan de trabajo, en donde se identifiquen las fechas y entregables. Integrar equipo de trabajo. Llevar a cabo sesión de Kick-Off. ii. Funciones: Administrar el proyecto. Coordinar la entrega. Informar status de actividades. Indicar Nivel de servicios entregados. Presentar planes y programas de optimización. Al menos una vez cada dos semanas durante la vigencia del proyecto, el Responsable del Proyecto deberá reunirse con el personal que designe el administrador de la SAGARPA, para revisar el estado de avance del proyecto, solucionar los eventos que se deriven de la prestación del servicio y en su caso llevar a cabo las medidas correctivas requeridas. d) Las entregas deberán de ser completas en cada etapa del proyecto, no se recibirán entregas parciales.

8 e) El proveedor está sujeto a los reglamentos, esquemas de seguridad y normatividad de la SAGARPA, aplicables en la materia. K. CALENDARIO DE PAGO CONFORME A ENTREGABLES. La forma de pago se realizará con la aceptación de cada uno de los entregables del proyecto, por el Administrador del Contrato. 1. Informe de Evaluación de Riesgos de Procesos de Negocio, Informe de Análisis de Impacto al Negocio 2. Informe de Análisis de Brechas de la Estrategia de Continuidad Noviembre Diciembre ATENTAMENTE Autorizado por Ing. Carlos Alberto Ricaño Alcalá Gerente de Consultoría Mtro. Armando Peralta Díaz Director Adjunto de Competitividad