Plan de Continuidad de Negocios (BCP)
Transcript of Plan de Continuidad de Negocios (BCP)
-
7/30/2019 Plan de Continuidad de Negocios (BCP)
1/6
Plan de Continuidad de Negocios (BCP) para el rea de Sistemas de una empresadedicada a la manufactura de papel; por el perodo terminado al 31 de Diciembre
del 2008 en la ciudad de Guayaquil.
J. Snchez L. Fierro
Instituto de Ciencias MatemticasEscuela Superior Politcnica del Litoral
Campus Gustavo Galindo, Km. 30,5 Va PerimetralApartado 09-01-5863, Guayaquil, Ecuador
[email protected]@espol.edu.ec
Resumen
El presente trabajo abarca la investigacin, anlisis y proceso que debe contener un plan de continuidad denegocio en caso de contingencia o desastre que afecte a la continuidad de las operaciones de la compaa Clark
S.A. La interrupcin de las operaciones se pueden dar por diversas causas tales como desastres naturales,
humanos, tecnolgicos y operacionales esto causa un impacto grave que producira prdidas humanas y
econmicas segn la severidad del desastre en caso de no tener implementado un BCP.
Para la realizacin de nuestro trabajo nos enfocamos en analizar los controles, polticas y procedimientos
establecidos por la gerencia para el rea de Sistemas IT, el cual nos permiti planificar nuestro plan. Analizamos
las amenazas, vulnerabilidades y riesgos en los procesos de IT. Adems se determin la realizacin de pruebas de
control que permita verificar el correcto funcionamiento del plan, tambin se estableci el proceso de recuperacin
de las actividades y un manual de crisis que permita a la compaa enfrentar cualquier tipo de contingencia.
Como herramientas de ayuda para nuestro trabajo nos basamos en cuestionarios, tablas, grficos, check list que
sirvan de herramientas de control para evaluar los procesos de IT, as como el anlisis de la ejecucin del plan.
Palabras Claves: Plan de Continuidad de Negocio (BCP), Anlisis de Impacto del negocio (BIA), Corebusiness, Contingencia, Desastre, Amenaza, Vulnerabilidad, Riesgo, Backup, Punto de Recuperacin,Tiempo de Recuperacin.
Abstract
This work involves research, analysis and process that must include a business continuity plan in case of
contingency or disaster that affects the continuity of operations of the company Clark S.A. . The interruption of
operations can be given for various reasons such as natural disasters, human, technological and operational
impacts that cause severe human and economic losses occur according to the severity of the disaster in case of not
having implemented a BCP.
For the realization of our work we focus on analyzing the controls, policies and procedures established by
management for the area of IT systems, which allowed us to plan our plan. Analyze the threats, vulnerabilities and
risk in IT processes. Was determined by testing control to verify the proper functioning of the scheme, also set the
recovery process of the crisis and a manual that allows the company to face any contingency. As tools for our work
we relied on questionnaires, tables, charts, check lists that serve as control tools to assess the IT processes, and
analysis of the plan.
Key Words: Business Continuity Plan (BCP), Business Impact Analysis (BIA), Core business, ContingencyPlanning, Disaster, Threat, Vulnerability, Risk, Backup, Recovery Point, Time Recovery.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/30/2019 Plan de Continuidad de Negocios (BCP)
2/6
1. Introduccin
Durante las operaciones normales de negocioexiste la probabilidad de prdidas potenciales ointerrupciones no programadas asociadas con undesastre o contingencia mayor, por lo que esimportante el desarrollo de un plan viable y factiblede recuperacin que asegure la continuidad de lasoperaciones de la Compaa
1. Marco Terico
Plan de Continuidad de Negocio (BCP).-Planque define los pasos que se requieren para elRestablecimiento de los Procesos de Negociodespus de una interrupcin
Anlisis de Impacto del negocio (BIA).- Es elque permite abordar un plan de accin con slidoselementos de criterio basados no slo en necesidadesde capacidad, sino tambin de seguridad
Core business.- Es la parte principal de laoperaciones del negocio. Es el producto principal delnegocio, la razn de venta al cliente.
2. Identificacin de la Empresa
El segundo captulo abarca la identificacin de laempresa. Para el desarrollo del mismo obtenemos
una breve descripcin del conocimiento del negocio;analizamos causas, riesgos, probabilidad yvulnerabilidad de los procesos, que conlleven a unainterrupcin del negocio; identificamos el corebusiness, desarrollamos el anlisis de impacto denegocio (BIA) que permita analizar lasconsecuencias de una ruptura en los componentes delsistema.
3. Identificacin del rea de trabajo derecuperacin
4. Identificacin del rea de IT
El rea de IT de la Compaa Clark S.A. detalla
el inventario que existe en las tres ramas de los
Sistemas de Informacin: Hardware, Software ytelecomunicaciones.
5. Fabricacin y Produccin
5.1. Portafolio de Productos
Existen dos divisiones comerciales: De consumocon las Categoras de Cuidado Familiar y la otradivisin comercial es la de productos institucionalesClark Profesional.
A continuacin clasificamos los productos en lassiguientes categoras como muestra la tabla:
PRODUCTOS CATEGORIAS
Papel Higinico
Papel Higinico Jumbo.
Papel Higinico Bulk pack.
Papel Higinico Convencional.
Servilletas
Servilletas dispensadas.
Servilletas convencionales.
Servilletas de lujo.
Toallas de Mano
Toallas de Mano dobladas.
Toallas de Mano en rollo
vertical.
Toallas de Mano en rollo
horizontal.
Pauelos
Faciales
Pauelos Faciales 100 hojas
caja grande.
Pauelos Faciales 65 hojas
caja pequea.
Pauelos
Faciales
Pauelos Faciales 100 hojas
caja grande.
Pauelos Faciales 65 hojas
caja pequea.
Jabones
Jabones uso personal.
Jabones antibacteriales.
Jabones uso industrial.
Toallas
desechables
Toallas desechables para elcuerpo
Toallas desechables funda
5.2. Procesos del Producto Estrella
La empresa elabora su producto principal que seconvierte en sinnimo de suavidad, calidad, limpieza,cuidado y confort. El objetivo de la compaa es elde fabricar un papel de superior calidad,confeccionado enteramente con hebras de lino yalgodn.
-
7/30/2019 Plan de Continuidad de Negocios (BCP)
3/6
5.3.SectoresyPromesadeVenta Sector Oficinas Sector Industrial Sector Salud Sector Hotelera y Turismo Sector Procesadora de Alimentos y Restaurantes Sector Alto Trfico
5.4. Anlisis de Productividad
CUENTAS EFS SALDOS
Ventas 104,398,975.48Costo de Ventas 76,568,655.17
Utilidad Neta 27,830,320.31
Activos Fijos Netos 10,306,300.26Total Activos 65,817,136.20
6. Fase de Recuperacin
6.1. Estrategia de recuperacin
Una vez de que la gerencia indique a ITS ladecisin de proceder con los trabajos de recuperacinse mantendr el siguiente esquema de comunicacin.
Diagrama Paso a Paso de Recuperacin
6.2. Manual de Administracin de Crisis
Plan de UnidadUna crisis se define como algn evento el cual:
Envuelve prdidas de vida reales o potenciales oheridas serias a clientes, empleados u otros afectadospor las operaciones de la compaa; o
Causa daos importantes a los activos de la
compaa y necesariamente causa al menos unainterrupcin temporal de la produccin normal de launidad afectada; o
Presenta un posible efecto adverso significante alas operaciones continuas de la compaa, reputacinde los negocios o resultados financieros.
El equipo central decidir si un evento particulares una crisis, si es as, debera ser manejado bajo esteprocedimiento o un procedimiento de la Unidad.
7. Plan de Contingencia
7.1. Estructura del Plan
Minimizar los efectos de una contingencia odesastre en las funciones crticas al proveer de unconjunto de procedimientos y tareas a ser usados enel evento.
Responder a una situacin de contingencia odesastre rpida y efectivamente.
Reunir al personal necesario para reactivar elproceso con las interrupciones menores respecto alservicio al cliente.
Restauracin por fases en el tiempo de todas lasaplicaciones y servicios posteriormente a la
interrupcin a causa de la contingencia o desastre.
El alcance de estos objetivos asegurar laestabilidad operacional a travs de un proceso derecuperacin.
7.2. Procedimiento para atencin de fallas eninfraestructura
Conexin fsica a la red local Acceso al Enterprise Network
Acceso al File&Print Server Acceso al Correo ElectrnicoResumen Enlaces Contingencia
SITIO ENLACE CONTINGENCIA
Oficina Quito Frame Relay 34000K
ISDN
Of. Distribucin Banda Ancha 350K
Acceso RAS
Of. Ventas Frame Relay 1024K
Acceso RAS
Bodega deProductos
Frame Relay 2048
Enlace redundante
Bodega de Fibra Frame Relay
2048
Enlace Redundante
-
7/30/2019 Plan de Continuidad de Negocios (BCP)
4/6
8. Prueba del Plan de Contingencia
8.1. Antecedentes
Nombre del Plan: Plan de Continuidad deNegocios.Fecha Ejercicio: Enero de 2009Localidad: Oficinas de Clark S.A.Participantes: Dpto. ITS
Acciones a seguir: Aplicaciones del negocio Estrategia de Continuidad de Negocio Almacenamiento respaldos fuera de las oficinas Actividades de respuesta Actividades de reanudacin Consideraciones Generales Procedimientos de Referencia Externos Capacitaciones peridicas al personal
8.2. Pruebas y verificacin de la lista dechequeo
Lista de Chequeo ComentariosContacto del personal
Est actualizada la lista decontactos de ITS en quien
corrige la Aplicacin?
Si
Los miembros del grupode ITS responsables de la
Aplicacin conocen comoutilizar y actualizar el
Quien corrige (Whofixes)?
Si.
Tiene el equipo de ITS dela Aplicacin una lista
actualizada de como
contactar a los actualesusuarios y nmeros de
telfono para cualquier
usuario que necesite serlocalizado, para darle
soporte a la Recuperacin
de la Aplicacin? Si larespuesta es si, en donde
estn almacenados la listade contactos y lostelfonos?
Si, se encuentra en la carpetaCOBTFN01\Share\Santillana\MIS\Desarrollos\Sysgold\
La lista de Contactos seencuentra al final delprocedimiento:http://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmProcedimiento ITS 023.
Quin tiene acceso a lista
de contactos de usuarios?Carlos Londoo. Lder ITS
Tiene el equipo de ITS de
la Aplicacin una lista
actualizada de como
contactar cualquiera de losclientes externos y/o
proveedores que sean
necesario localizar, siocurre un desastre? Si la
respuesta es si, en donde
estn almacenados la listade contactos y los
telfonos?
Si, existe. Referencia Plan deContinuidad del Negocio.
Quin tiene acceso a la
lista de clientes y
proveedores?
Carlos Pelez, JaimeValderrama, Adriana Gmez.
Est el equipo de ITS de la
Aplicacin seguro de que
Procedimiento deRecuperacin en caso de
Desastres de la Aplicacinprovee suficiente detalle de
cules grupo de servicios
del sistema deben ser
contactados?
Si.
Lista de Chequeo ComentariosEl team de ITS de laaplicacin ha documentado si
existe cualquier cinta(s)
archivos dentro de laRecuperacin de esta
Aplicacin que deba ser
recuperada antes que otros?
No hay ninguna secuenciaen particular.
Para aplicaciones basadas en
servidor, el team de ITS de la
Aplicacin requiere cualquiercomponente especfico de la
Aplicacin que deba ser
instalado en el servidor? Sehan hecho revisiones a los
componentes especficos
desde la ltima actualizacindel Procedimiento de
Recuperacin de la
Aplicacin en caso deDesastres, a fin de incluir los
nuevos componentes?
Si. El SQL Server, IIS yservicios de FTP deben estarcorrectamente instalados yconfigurados.
Si la aplicacin est basada
en ambiente web y requiereseguridad en pginas web
especficas, se handocumentado esos
requerimientos especficos en
este Procedimiento deRecuperacin de la
Aplicacin en caso de
Desastres?
La aplicacin no es ambiente
WEB.El servidor tiene un grupo decontrol de usuarios, quetienen capacidad de FTP.Adems los usuarios debenestar habilitados para hacerconexiones tipo RAS ycontar con tarjetas SecurID.
Si la aplicacin tiene gruposde seguridad asignados en el
Group Manager, el team de
ITS de la aplicacin estseguro de que stos son
listados en este
procedimiento?
Si est seguro.
Test reales del Procedimiento
Se han probado losProcedimientos de
Recuperacin de la
Aplicacin en caso deDesastres durante una
prueba real de recuperacin
de la plataforma? Si es as, encual fecha fue probada y/o
para cuando se haprogramado la siguiente
prueba?
La ltima prueba se realizen Febrero 2008..
Si fue as, quienes fueron los
participantes (ITS/usuarios)?Los participantes fueronCarlos Londoo, Juan B.Mesa, Andrs Felipe Garcay personal de Sysgold.
Se hicieron cambios a los
Procedimientos de
Si se cre un manual de lanueva instalacin el cual se
http://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htm -
7/30/2019 Plan de Continuidad de Negocios (BCP)
5/6
Recuperacin de la
Aplicacin en caso de
Desastres para resolverproblemas que surgieron
durante el ltimo test de
Recuperacin?
encuentra en:S:\Santillana\MIS\Desarrollos\Sysgold\Manuales\Sysgold- Gua de Instalacin mSalesWeb Server.doc
Para las aplicaciones crticas
corriendo en mainframes,estn los nombres de los data
sets incluidos en la seccin
C.x.d del Procedimiento de
Recuperacin de la
Aplicacin? En que fecha severific o se planea verificar?
N/A
8.3. Modelo del acta de prueba del plan decontingencia
LOGISTICA-FACTURACIN 2008Con la premisa de que debemos estar preparados
para cualquier tipo de eventualidades parciales ototales de nuestras instalaciones. El departamento deITS se ha preparado para realizar la siguiente pruebadel plan de contingencia.
El siguiente documento respalda las diferentesactividades realizadas durante el proceso.
INFRAESTRUCTURA DEL LOCAL.Entre el 12 y 16 de noviembre de 2008 se haprocedido a dejar listo el sitio de contingenciadejando instaladas los paquetes y probandocon xito el enlace de Internet. Y el ingreso
al sistema SAP y su correspondienteimpresin.
PROCEDIMIENTOS Y FORMATOSUTILIZADOSEl procedimiento que se est aplicando es elSTM08, este procedimiento es paracontinuacin de la operacin. Los formatosutilizados sern documentos para facturas yguas de remisin.
REAS INVOLUCRADAS.Las reas involucradas en el ejercicio del planson:ITS KCE (Vicente Vanegas).Crditos (Patricia Guzmn).Logstica (Nelson Alvarado).Auditoria (Manuel Ruiz)Las asignaciones por usuario las dar cadauno de los encargados de las reasinvolucradas, los cargos que intervienen estnel procedimiento de recuperacin delnegocio.
PRUEBAS DE CONTINGENCIA.Para el da 17 de diciembre del 2008 serealiz la prueba de contingencia con el
personal ya comunicado por mail. Estaprueba es una capacitacin del plan, la pruebase baso en realizar un simulacro decontingencia, para lo cual se moviliz al
personal a la ciudad de Babahoyo dondequedan las instalaciones del centro decomputo alterno, se tomaron los tiempos paramedir el punto y tiempo de recuperacin. Laspruebas son sustentadas con toda lainformacin recolectada y los resultados quearrojaron los hechos.
DOCUMENTACINUna vez realizada la prueba se procedi a lasrespectivas correcciones del caso yactualizaciones del plan de contingencia enlos diferentes sitios (Banco, Caja deseguridad y documentos internos).
9. Anlisis y Conclusiones
9.1. Anlisis
En nuestra visita a las instalaciones del rea desistemas de la Compaa Clark S.A. observamossituaciones que fueron expuestas a anlisis, para locual podemos decir:
Los resultados que arrojaron fueron favorablespara la compaa, est a su vez debe analizar la
implementacin de un BCP que salvaguarden susactivos.
No existieron dificultades para la realizacin delplan ya que la empresa nos dio todas las facilidadespara cumplir con el trabajo.
Los resultados a travs de pruebas de controlfueron los esperados, aunque est expenso amodificaciones cuando se amerite.
Las actividades que no fueron visualizadas en elproceso son:
Emergencias de edificios y procedimientos deevacuacin.
Recuperacin de las diferentes unidades y
departamentos de la Compaa.Equipos no relacionados con la red de datos
(PBX, mquinas de fax, fotocopiadoras, etc.)Para la realizacin del plan contamos con la
colaboracin de todos los que conforman eldepartamento de sistemas y el rea de administracinde seguridad de la misma.
El plan justifica su implementacin mediante elanlisis financiero y operacional, debido a quemayor es el beneficio que obtiene la empresa a loscostos que se incurren al implementarlo.
-
7/30/2019 Plan de Continuidad de Negocios (BCP)
6/6
9.2. Conclusiones
La Ca. Clark S.A. cuenta con el personaladecuado y capacitado segn la responsabilidad yactividad que realice. Adems observamos que parael departamento de Sistemas el perfil de cadacolaborador es el adecuado para ocupar el cargocorrespondiente.
Finalmente agregamos que la mayor parte de losproblemas que se suscitan en la compaa sonoperativos, pero estos a su vez son suplidos pormanuales departamentales para el debido caso.Citamos algunos ejemplos de los problemas que sepresentan:
rea de Produccin:Dao de maquinaria, Instalacin ymantenimiento de la misma
rea de Logstica y Distribucin:Guas de remisin
rea de IT:Desconfiguracin de equipos, instalacin deprogramas.Sobrecarga de Transacciones.
Bibliografa
[1] AKHTAR SYED PH.D, AFSAR SYEDBMATH Business Continuity Planning, 2004.[2] STANLEY B. BLOCK, GEOFFREY A.HIRT Fundamentos de Gerencia Financiera,MC GRAW-HILL. NOVENA EDICIN, 2002.
Ing. Jacqueline Meja
Director de Tesis