MANUAL DE POLÍTICAS POLÍTICA DE CONTINUIDAD DE NEGOCIO

Transcripción

1 MANUAL DE POLÍTICAS POLÍTICA DE CONTINUIDAD PÁGINA: 1 de 9 ÍNDICE TÍTULO PÁGINA 1. INTRODUCCIÓN OBJETIVO ALCANCE ÁREAS INVOLUCRADAS CONCEPTOS POLÍTICAS SANCIONES DOCUMENTOS DE REFERENCIA. 9 REALIZADO POR: AUTORIZADO POR: Emilio Martínez-Parente Director de Sistemas TI Angel Morales Subdirector de Sistemas TI Joaquín Brockman Lozano Director General Consejo de Administración

2 PÁGINA: 2 de 9 1. INTRODUCCIÓN. Los aportes tecnológicos, los procesos de rápida evolución y el constante cambio en el mundo empresarial, pueden introducir riesgos de interrupción que impactan negativamente en una empresa y su capacidad de generación de valor. En este documento se establecen los lineamientos para que el Plan de Continuidad del Negocio sea implementado, evaluado, mantenido y difundido de forma conciliada y de este modo sea parte la cultura organizacional de Quálitas. 2. OBJETIVO. Los objetivos de la presente política son los que ante una contingencia se asegure que Quálitas puede: Seguir operando los procesos críticos al menos con un 90% de éxito en el tiempo RTO definido para cada proceso de acuerdo al dominio de recuperación, siguiente: o DR0.- Si el proceso debe estar recuperado en menos de 2 horas. o DR1.- Si el proceso debe estar recuperado entre 2 y 24 horas. o DR2.- Si el proceso debe estar recuperado en más 24 horas y menos de 72 horas. o DR3.- Si el proceso debe estar recuperado en 1 semana. Ver RTO para cada servicio crítico en el documento de Análisis de Impacto al Negocio. Evitar impactos operativos y financieros inaceptables que comprometan la viabilidad del negocio, en casos de contingencia o desastre.

3 PÁGINA: 3 de 9 2. ALCANCE. Este documento debe ser observado por todo el personal que labora o presta sus servicios a Quálitas, de forma directa o indirecta, en adelante colaborador. Dentro de esta Plan de Continuidad de Negocio, se contemplan las siguientes oficinas: o Quálitas Cuajimalpa, ubicada en: José Ma. Castorena 426 Cuajimalpa de Morelos, Distrito Federal. o Quálitas San Ángel, ubicada en: Blvd. Adolfo López Mateos #2601 Col. Progreso Tizapán, Álvaro Obregón, Distrito Federal. o Quálitas San Jerónimo, ubicada en: Avenida San Jerónimo número 478, Col. Jardines del Pedregal, Álvaro Obregón, Distrito Federal. o Quálitas Ajusco, ubicada en: Boulevard Picacho Ajusco No. 236 Col. Jardines de la Montaña C.P México, D.F. o Quálitas Monterrey, ubicada en: Humberto Junco Voigt #2311, Col. Valle Oriente San Pedro Garza García, N.L., CP o Quálitas Guadalajara, ubicada en: López Mateos Sur No Col. Chapalita C.P Guadalajara, Jalisco o Quálitas Valle, ubicada en: Capulín No. 46 P.H. Col. Del Valle C.P México, D.F. o Quálitas Anzures, ubicada en: México, D.F. Tecamachalco No. 14 Piso 4 Col. Reforma Social C.P. Para el resto de las oficinas se considera la notificación de inicio y final de la contingencia, de acuerdo a las Estrategias de Continuidad de Negocio. El Plan de Continuidad del Negocio considera todos los servicios informáticos, de negocio, administrativos, financieros, personal clave de la organización y de los Servicios Críticos definidos en el Documento Análisis de Impacto al Negocio.

4 PÁGINA: 4 de 9 Los escenarios típicos de Contingencia que contempla el Plan de Recuperación de Negocio son: a) Imposibilidad de Acceso. b) Falla Tecnológica. c) Combinación de escenarios a) y b). d) Falta de personal operativo estratégico. Los cuales se encuentran descritos en el documento Estrategias de Continuidad de Negocio. 3. ÁREAS INVOLUCRADAS. Dirección General. Dirección de Finanzas. Dirección de Inversiones, Relación con Inversionistas y Proyectos Especiales. Dirección Técnica. Dirección Administración Integral de Riesgos. Dirección de Operaciones. Dirección de Servicio Comercial. Dirección de Atención a Oficinas. Dirección Servicio Siniestros. Dirección Planeación Estratégica. Dirección de Sistemas TI. Dirección de Recursos Humanos. Dirección de Oficina Guadalajara. Dirección de Oficina Anzures. Dirección de Oficina Monterrey. Dirección de Oficina Valle. Subdirección de Sistemas. Subdirección de Compras Siniestros. Subdirección de Ventas a Agencias. BCP BIA RA RTO DR 4. CONCEPTOS. Concepto Descripción Plan de Continuidad de Negocio Análisis de Impacto al Negocio Análisis de Riesgo Tiempo de recuperación objetivo Dominio de Recuperación. Clasificación que sirve de base para asignar la prioridad para recuperar el servicio.

5 PÁGINA: 5 de 9 5. POLÍTICAS. 5.1 POLÍTICAS GENERALES El apego y conocimiento del Plan de Continuidad de Negocio es de carácter obligatorio, por todo colaborador Se consideran Servicios Críticos, Cabina, SISE, Servicios Web, OPL, Agentes, Valuación y Correo, los cuales están definidos en el documento Análisis de Impacto al Negocio La Dirección General es la única facultada para declarar o finalizar una contingencia, con excepción de cuando sea delegada esta facultad por escrito El área de Recursos Humanos, es responsable de la difusión del Plan de Continuidad de Negocio (BCP) a todo colaborador, con el fin de que sepan cómo actuar en caso de presentarse una contingencia Todo colaborador debe conocer si pertenece o no a un Servicio Critico. En consecuencia sí pertenece a un servicio crítico, debe conocer su línea de comunicación (Participante). La relación de Participantes y colaborador de un servicio crítico se encuentran definidos en los documentos Estructura de respuesta y finalización de incidentes y en Estrategias de Continuidad de Negocio Todo colaborador que identifique un incidente tendiente a un escenario de contingencia (definido en el alcance) dentro de los servicios críticos debe informarlo al Participante responsable de su área definido en el documento Estructura de respuesta y finalización de incidentes, en caso de no existir notificar al responsable de área nivel mínimo Gerente Durante una contingencia todo colaborador debe mantener contacto con su linea de comunicación definida en los documentos Estructura de respuesta y finalización de incidentes y en Estrategias de Continuidad de Negocio.

6 PÁGINA: 6 de Cada responsable de un Servicio Critico, debe proporcionar la capacitación adecuada para que sus colaboradores conozcan cómo deben actuar ante una contingencia, es decir conocer el Plan de Continuidad de Negocio, definido acorde a sus actividades que se detallan en el documento Estrategias de Continuidad de Negocio El documento Estructura de respuesta y finalización de incidentes contiene los datos de contacto de cada colaborador que participa en un Servicio Critico, estos datos debe ser tratados de acuerdo a la Ley de Protección de Datos Personales y es responsabilidad tanto del colaborador como el responsable del área mantenerlos actualizados Se definen como sitios alternos para las áreas con Servicios Críticos, una vez decretada una contingencia, los siguientes: Oficina San Ángel Oficina Ajusco Las condiciones para el uso de los sitios alternos se encuentran descritas en el documento Estrategias de Continuidad de Negocios Es responsabilidad de la Dirección de Sistemas TI, mantener actualizados, disponibles, habilitados y configurados los equipos y sistemas necesarios en cada sitio alterno Se definen como responsable de la ejecución del Plan de Continuidad de Negocio al Director de Sistemas TI quien deberá comunicar la declaratoria de contingencia, coordinar y mantener informados a los responsables de los servicios críticos y a la Dirección General así como de comunicar la finalización de la contingencia Al término de una contingencia el responsable de cada Servicio Critico deberá realizar un informe del impacto que tuvo durante la misma, este deberá entregarse máximo al día hábil siguiente, una vez finalizada la contingencia. Se deberá utilizar el formato Afectación de Servicio Critico y marcar copia al Director de Sistemas TI Por su parte el área de Sistemas TI elaborará su propio informe de la contingencia utilizando el formato Reporte Post Mortem de Afectación al Servicio, contando con un máximo de un día hábil, posterior a la finalización de la contingencia para su entrega.

7 PÁGINA: 7 de Los reportes de Afectación de Servicio Critico y Post Mortem de Afectación al Servicio, deberán remitirse a la Dirección General y Dirección de Administración Integral de Riesgos, quienes los darán a conocer al Comité de Auditoria El resultado de cada simulacro o prueba debe ser documentado y avalado por los responsables de los Servicios Críticos, y deben ser notificados a la Dirección General y Dirección de Administración Integral de Riesgos, en favor de la mejora continua. En un lapso no mayor a una semana posterior a su realización. 5.2 POLÍTICAS PARTICULARES RESPONSABILIDADES DE LA DIRECCIÓN GENERAL. Asegurar que los objetivos de continuidad son compatibles con las estrategias de QUÁLITAS. Definir el alcance del Plan de Continuidad del Negocio con relación a los procesos de negocio críticos así como sus limitaciones y exclusiones. Asegurar la disponibilidad de los recursos necesarios para cumplir los objetivos de continuidad estipulados, definiendo roles específicos por área crítica. Comunicar la importancia de que el Plan de Continuidad de Negocio (BCP) se implemente MANTENIMIENTO DEL PLAN DE CONTINUIDAD La Dirección de Sistemas TI es la responsable de elaborar, implementar y mantener actualizado las Estrategias de Continuidad de Negocio para los Servicios Críticos de la organización, en coordinación con los responsables de cada área así como de todos los documentos relacionados al Plan de Continuidad de Negocio Las actualizaciones al Plan de Continuidad de Negocio, se deberán realizar cuando se presente las siguientes condiciones: Se registren cambios en los Servicios Críticos. Existan cambios en la legislación aplicable. Existan cambios importantes en la estrategia y responsabilidades de Negocio. Después de la implementación de un nuevo proceso de negocio y que se considere crítico en Quálitas.

8 PÁGINA: 8 de 9 Posterior al resultado de una prueba o simulacro o bien una contingencia o desastre real. Cambios en la estructura organizacional relacionados a los Servicios Críticos (se consideran cambios en los colaboradores y cambios en la dependencia del área que provee los Servicios Críticos) El Plan de Continuidad de Negocio debe estar alineado a los resultados obtenidos del Análisis de Impacto al Negocio La finalidad de la prueba o simulacros es identificar los puntos vulnerables y proporcionar experiencia sobre la ejecución al personal que lo lleve a cabo. Esta actividad debe realizarse al menos de forma anual o antes si se presenta un cambio importante al Plan de Continuidad de Negocio. Ante una actualización del Plan de Continuidad de Negocio, el alcance de la prueba o simulacro podrá ser parcial de acuerdo al cambio realizado y esta deberá ejecutarse dentro de los siguientes 90 días Con cada actualización del Plan de Continuidad de Negocio, los responsables de los Servicios Críticos deben garantizar la capacitación de los colaboradores involucrados CAPACITACIÓN La campaña se debe realizar en los siguientes escenarios: El curso de inducción debe contener un apartado relacionado al Plan de Continuidad de Negocio, informando al colaborador de nuevo ingreso si se integra a un área de Servicio Critico. Todo colaborador reconocerá el Plan de Continuidad de Negocio, como parte de la vida y cultura organizacional. Cuando se asignen nuevos integrantes a los grupos de recuperación. Cuando se dé una reorganización de la Organización. Deber realizarse una capacitación periódica anual a todos los empleados Cuando exista una actualización del Plan de Continuidad de Negocio.

9 PÁGINA: 9 de DE LOS SIMULACROS O PRUEBAS El alcance del simulacro será definido por la Dirección General, indicando Servicios críticos y escenarios a probar Debe calendarizarse la ejecución de pruebas o simulacros, considerando lo previsto en el apartado Mantenimiento del Plan de Continuidad de Negocio punto , y estas fechas deben ser del conocimiento de las áreas consideradas con Servicios Críticos Los responsables de los Servicios Críticos, deben colaborar en las pruebas o simulacros y tomar las debidas consideraciones para no afectar los niveles de servicio Las pruebas o simulacros deben realizarse conforme a las actividades definidas en el documento Estrategias de Continuidad de Negocio. 6. SANCIONES. La infracción a las normas contenidas en este documento traerá como consecuencia, según la gravedad del caso, la imposición de las sanciones previstas en el Reglamento Interior de Trabajo y, de ser necesario, las establecidas en las leyes que sean aplicables. 7. DOCUMENTOS DE REFERENCIA. Referencia Título (1) Análisis de Impacto al Negocio (2) Estrategias de Continuidad de Negocio (3) Análisis de Riesgo Quálitas (4) Estructura de respuesta y finalización de incidentes (5) Reporte Post Mortem de afectación al Servicio (6) Afectación del Servicio (7) Política Corporativa de Seguridad de la Información.