Plan de Continuidad de Negocios (BCP)

7/30/2019 Plan de Continuidad de Negocios (BCP)

1/6

Plan de Continuidad de Negocios (BCP) para el rea de Sistemas de una empresadedicada a la manufactura de papel; por el perodo terminado al 31 de Diciembre

del 2008 en la ciudad de Guayaquil.

J. Snchez L. Fierro

Instituto de Ciencias MatemticasEscuela Superior Politcnica del Litoral

Campus Gustavo Galindo, Km. 30,5 Va PerimetralApartado 09-01-5863, Guayaquil, Ecuador

[email protected]@espol.edu.ec

Resumen

El presente trabajo abarca la investigacin, anlisis y proceso que debe contener un plan de continuidad denegocio en caso de contingencia o desastre que afecte a la continuidad de las operaciones de la compaa Clark

S.A. La interrupcin de las operaciones se pueden dar por diversas causas tales como desastres naturales,

humanos, tecnolgicos y operacionales esto causa un impacto grave que producira prdidas humanas y

econmicas segn la severidad del desastre en caso de no tener implementado un BCP.

Para la realizacin de nuestro trabajo nos enfocamos en analizar los controles, polticas y procedimientos

establecidos por la gerencia para el rea de Sistemas IT, el cual nos permiti planificar nuestro plan. Analizamos

las amenazas, vulnerabilidades y riesgos en los procesos de IT. Adems se determin la realizacin de pruebas de

control que permita verificar el correcto funcionamiento del plan, tambin se estableci el proceso de recuperacin

de las actividades y un manual de crisis que permita a la compaa enfrentar cualquier tipo de contingencia.

Como herramientas de ayuda para nuestro trabajo nos basamos en cuestionarios, tablas, grficos, check list que

sirvan de herramientas de control para evaluar los procesos de IT, as como el anlisis de la ejecucin del plan.

Palabras Claves: Plan de Continuidad de Negocio (BCP), Anlisis de Impacto del negocio (BIA), Corebusiness, Contingencia, Desastre, Amenaza, Vulnerabilidad, Riesgo, Backup, Punto de Recuperacin,Tiempo de Recuperacin.

Abstract

This work involves research, analysis and process that must include a business continuity plan in case of

contingency or disaster that affects the continuity of operations of the company Clark S.A. . The interruption of

operations can be given for various reasons such as natural disasters, human, technological and operational

impacts that cause severe human and economic losses occur according to the severity of the disaster in case of not

having implemented a BCP.

For the realization of our work we focus on analyzing the controls, policies and procedures established by

management for the area of IT systems, which allowed us to plan our plan. Analyze the threats, vulnerabilities and

risk in IT processes. Was determined by testing control to verify the proper functioning of the scheme, also set the

recovery process of the crisis and a manual that allows the company to face any contingency. As tools for our work

we relied on questionnaires, tables, charts, check lists that serve as control tools to assess the IT processes, and

analysis of the plan.

Key Words: Business Continuity Plan (BCP), Business Impact Analysis (BIA), Core business, ContingencyPlanning, Disaster, Threat, Vulnerability, Risk, Backup, Recovery Point, Time Recovery.
mailto:[email protected]:[email protected]:[email protected]:[email protected]


2/6

1. Introduccin

Durante las operaciones normales de negocioexiste la probabilidad de prdidas potenciales ointerrupciones no programadas asociadas con undesastre o contingencia mayor, por lo que esimportante el desarrollo de un plan viable y factiblede recuperacin que asegure la continuidad de lasoperaciones de la Compaa

1. Marco Terico

Plan de Continuidad de Negocio (BCP).-Planque define los pasos que se requieren para elRestablecimiento de los Procesos de Negociodespus de una interrupcin

Anlisis de Impacto del negocio (BIA).- Es elque permite abordar un plan de accin con slidoselementos de criterio basados no slo en necesidadesde capacidad, sino tambin de seguridad

Core business.- Es la parte principal de laoperaciones del negocio. Es el producto principal delnegocio, la razn de venta al cliente.

2. Identificacin de la Empresa

El segundo captulo abarca la identificacin de laempresa. Para el desarrollo del mismo obtenemos

una breve descripcin del conocimiento del negocio;analizamos causas, riesgos, probabilidad yvulnerabilidad de los procesos, que conlleven a unainterrupcin del negocio; identificamos el corebusiness, desarrollamos el anlisis de impacto denegocio (BIA) que permita analizar lasconsecuencias de una ruptura en los componentes delsistema.

3. Identificacin del rea de trabajo derecuperacin

4. Identificacin del rea de IT

El rea de IT de la Compaa Clark S.A. detalla

el inventario que existe en las tres ramas de los

Sistemas de Informacin: Hardware, Software ytelecomunicaciones.

5. Fabricacin y Produccin

5.1. Portafolio de Productos

Existen dos divisiones comerciales: De consumocon las Categoras de Cuidado Familiar y la otradivisin comercial es la de productos institucionalesClark Profesional.

A continuacin clasificamos los productos en lassiguientes categoras como muestra la tabla:

PRODUCTOS CATEGORIAS

Papel Higinico

Papel Higinico Jumbo.

Papel Higinico Bulk pack.

Papel Higinico Convencional.

Servilletas

Servilletas dispensadas.

Servilletas convencionales.

Servilletas de lujo.

Toallas de Mano

Toallas de Mano dobladas.

Toallas de Mano en rollo

vertical.

Toallas de Mano en rollo

horizontal.

Pauelos

Faciales

Pauelos Faciales 100 hojas

caja grande.


caja pequea.

Pauelos

Faciales


caja grande.


caja pequea.

Jabones

Jabones uso personal.

Jabones antibacteriales.

Jabones uso industrial.

Toallas

desechables

Toallas desechables para elcuerpo

Toallas desechables funda

5.2. Procesos del Producto Estrella

La empresa elabora su producto principal que seconvierte en sinnimo de suavidad, calidad, limpieza,cuidado y confort. El objetivo de la compaa es elde fabricar un papel de superior calidad,confeccionado enteramente con hebras de lino yalgodn.


3/6

5.3.SectoresyPromesadeVenta Sector Oficinas Sector Industrial Sector Salud Sector Hotelera y Turismo Sector Procesadora de Alimentos y Restaurantes Sector Alto Trfico

5.4. Anlisis de Productividad

CUENTAS EFS SALDOS

Ventas 104,398,975.48Costo de Ventas 76,568,655.17

Utilidad Neta 27,830,320.31

Activos Fijos Netos 10,306,300.26Total Activos 65,817,136.20

6. Fase de Recuperacin

6.1. Estrategia de recuperacin

Una vez de que la gerencia indique a ITS ladecisin de proceder con los trabajos de recuperacinse mantendr el siguiente esquema de comunicacin.

Diagrama Paso a Paso de Recuperacin

6.2. Manual de Administracin de Crisis

Plan de UnidadUna crisis se define como algn evento el cual:

Envuelve prdidas de vida reales o potenciales oheridas serias a clientes, empleados u otros afectadospor las operaciones de la compaa; o

Causa daos importantes a los activos de la

compaa y necesariamente causa al menos unainterrupcin temporal de la produccin normal de launidad afectada; o

Presenta un posible efecto adverso significante alas operaciones continuas de la compaa, reputacinde los negocios o resultados financieros.

El equipo central decidir si un evento particulares una crisis, si es as, debera ser manejado bajo esteprocedimiento o un procedimiento de la Unidad.

7. Plan de Contingencia

7.1. Estructura del Plan

Minimizar los efectos de una contingencia odesastre en las funciones crticas al proveer de unconjunto de procedimientos y tareas a ser usados enel evento.

Responder a una situacin de contingencia odesastre rpida y efectivamente.

Reunir al personal necesario para reactivar elproceso con las interrupciones menores respecto alservicio al cliente.

Restauracin por fases en el tiempo de todas lasaplicaciones y servicios posteriormente a la

interrupcin a causa de la contingencia o desastre.

El alcance de estos objetivos asegurar laestabilidad operacional a travs de un proceso derecuperacin.

7.2. Procedimiento para atencin de fallas eninfraestructura

Conexin fsica a la red local Acceso al Enterprise Network

Acceso al File&Print Server Acceso al Correo ElectrnicoResumen Enlaces Contingencia

SITIO ENLACE CONTINGENCIA

Oficina Quito Frame Relay 34000K

ISDN

Of. Distribucin Banda Ancha 350K

Acceso RAS

Of. Ventas Frame Relay 1024K

Acceso RAS

Bodega deProductos

Frame Relay 2048

Enlace redundante

Bodega de Fibra Frame Relay

2048

Enlace Redundante


4/6

8. Prueba del Plan de Contingencia

8.1. Antecedentes

Nombre del Plan: Plan de Continuidad deNegocios.Fecha Ejercicio: Enero de 2009Localidad: Oficinas de Clark S.A.Participantes: Dpto. ITS

Acciones a seguir: Aplicaciones del negocio Estrategia de Continuidad de Negocio Almacenamiento respaldos fuera de las oficinas Actividades de respuesta Actividades de reanudacin Consideraciones Generales Procedimientos de Referencia Externos Capacitaciones peridicas al personal

8.2. Pruebas y verificacin de la lista dechequeo

Lista de Chequeo ComentariosContacto del personal

Est actualizada la lista decontactos de ITS en quien

corrige la Aplicacin?

Si

Los miembros del grupode ITS responsables de la

Aplicacin conocen comoutilizar y actualizar el

Quien corrige (Whofixes)?

Si.

Tiene el equipo de ITS dela Aplicacin una lista

actualizada de como

contactar a los actualesusuarios y nmeros de

telfono para cualquier

usuario que necesite serlocalizado, para darle

soporte a la Recuperacin

de la Aplicacin? Si larespuesta es si, en donde

estn almacenados la listade contactos y lostelfonos?

Si, se encuentra en la carpetaCOBTFN01\Share\Santillana\MIS\Desarrollos\Sysgold\

La lista de Contactos seencuentra al final delprocedimiento:http://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmProcedimiento ITS 023.

Quin tiene acceso a lista

de contactos de usuarios?Carlos Londoo. Lder ITS

Tiene el equipo de ITS de

la Aplicacin una lista

actualizada de como

contactar cualquiera de losclientes externos y/o

proveedores que sean

necesario localizar, siocurre un desastre? Si la

respuesta es si, en donde

estn almacenados la listade contactos y los

telfonos?

Si, existe. Referencia Plan deContinuidad del Negocio.

Quin tiene acceso a la

lista de clientes y

proveedores?

Carlos Pelez, JaimeValderrama, Adriana Gmez.

Est el equipo de ITS de la

Aplicacin seguro de que

Procedimiento deRecuperacin en caso de

Desastres de la Aplicacinprovee suficiente detalle de

cules grupo de servicios

del sistema deben ser

contactados?

Si.

Lista de Chequeo ComentariosEl team de ITS de laaplicacin ha documentado si

existe cualquier cinta(s)

archivos dentro de laRecuperacin de esta

Aplicacin que deba ser

recuperada antes que otros?

No hay ninguna secuenciaen particular.

Para aplicaciones basadas en

servidor, el team de ITS de la

Aplicacin requiere cualquiercomponente especfico de la

Aplicacin que deba ser

instalado en el servidor? Sehan hecho revisiones a los

componentes especficos

desde la ltima actualizacindel Procedimiento de

Recuperacin de la

Aplicacin en caso deDesastres, a fin de incluir los

nuevos componentes?

Si. El SQL Server, IIS yservicios de FTP deben estarcorrectamente instalados yconfigurados.

Si la aplicacin est basada

en ambiente web y requiereseguridad en pginas web

especficas, se handocumentado esos

requerimientos especficos en

este Procedimiento deRecuperacin de la

Aplicacin en caso de

Desastres?

La aplicacin no es ambiente

WEB.El servidor tiene un grupo decontrol de usuarios, quetienen capacidad de FTP.Adems los usuarios debenestar habilitados para hacerconexiones tipo RAS ycontar con tarjetas SecurID.

Si la aplicacin tiene gruposde seguridad asignados en el

Group Manager, el team de

ITS de la aplicacin estseguro de que stos son

listados en este

procedimiento?

Si est seguro.

Test reales del Procedimiento

Se han probado losProcedimientos de

Recuperacin de la

Aplicacin en caso deDesastres durante una

prueba real de recuperacin

de la plataforma? Si es as, encual fecha fue probada y/o

para cuando se haprogramado la siguiente

prueba?

La ltima prueba se realizen Febrero 2008..

Si fue as, quienes fueron los

participantes (ITS/usuarios)?Los participantes fueronCarlos Londoo, Juan B.Mesa, Andrs Felipe Garcay personal de Sysgold.

Se hicieron cambios a los

Procedimientos de

Si se cre un manual de lanueva instalacin el cual se
http://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htmhttp://cosaaw01.kcc.com/Auditoria/PROCEDIMIENTOS/index.htm


5/6

Recuperacin de la

Aplicacin en caso de

Desastres para resolverproblemas que surgieron

durante el ltimo test de

Recuperacin?

encuentra en:S:\Santillana\MIS\Desarrollos\Sysgold\Manuales\Sysgold- Gua de Instalacin mSalesWeb Server.doc

Para las aplicaciones crticas

corriendo en mainframes,estn los nombres de los data

sets incluidos en la seccin

C.x.d del Procedimiento de

Recuperacin de la

Aplicacin? En que fecha severific o se planea verificar?

N/A

8.3. Modelo del acta de prueba del plan decontingencia

LOGISTICA-FACTURACIN 2008Con la premisa de que debemos estar preparados

para cualquier tipo de eventualidades parciales ototales de nuestras instalaciones. El departamento deITS se ha preparado para realizar la siguiente pruebadel plan de contingencia.

El siguiente documento respalda las diferentesactividades realizadas durante el proceso.

INFRAESTRUCTURA DEL LOCAL.Entre el 12 y 16 de noviembre de 2008 se haprocedido a dejar listo el sitio de contingenciadejando instaladas los paquetes y probandocon xito el enlace de Internet. Y el ingreso

al sistema SAP y su correspondienteimpresin.

PROCEDIMIENTOS Y FORMATOSUTILIZADOSEl procedimiento que se est aplicando es elSTM08, este procedimiento es paracontinuacin de la operacin. Los formatosutilizados sern documentos para facturas yguas de remisin.

REAS INVOLUCRADAS.Las reas involucradas en el ejercicio del planson:ITS KCE (Vicente Vanegas).Crditos (Patricia Guzmn).Logstica (Nelson Alvarado).Auditoria (Manuel Ruiz)Las asignaciones por usuario las dar cadauno de los encargados de las reasinvolucradas, los cargos que intervienen estnel procedimiento de recuperacin delnegocio.

PRUEBAS DE CONTINGENCIA.Para el da 17 de diciembre del 2008 serealiz la prueba de contingencia con el

personal ya comunicado por mail. Estaprueba es una capacitacin del plan, la pruebase baso en realizar un simulacro decontingencia, para lo cual se moviliz al

personal a la ciudad de Babahoyo dondequedan las instalaciones del centro decomputo alterno, se tomaron los tiempos paramedir el punto y tiempo de recuperacin. Laspruebas son sustentadas con toda lainformacin recolectada y los resultados quearrojaron los hechos.

DOCUMENTACINUna vez realizada la prueba se procedi a lasrespectivas correcciones del caso yactualizaciones del plan de contingencia enlos diferentes sitios (Banco, Caja deseguridad y documentos internos).

9. Anlisis y Conclusiones

9.1. Anlisis

En nuestra visita a las instalaciones del rea desistemas de la Compaa Clark S.A. observamossituaciones que fueron expuestas a anlisis, para locual podemos decir:

Los resultados que arrojaron fueron favorablespara la compaa, est a su vez debe analizar la

implementacin de un BCP que salvaguarden susactivos.

No existieron dificultades para la realizacin delplan ya que la empresa nos dio todas las facilidadespara cumplir con el trabajo.

Los resultados a travs de pruebas de controlfueron los esperados, aunque est expenso amodificaciones cuando se amerite.

Las actividades que no fueron visualizadas en elproceso son:

Emergencias de edificios y procedimientos deevacuacin.

Recuperacin de las diferentes unidades y

departamentos de la Compaa.Equipos no relacionados con la red de datos

(PBX, mquinas de fax, fotocopiadoras, etc.)Para la realizacin del plan contamos con la

colaboracin de todos los que conforman eldepartamento de sistemas y el rea de administracinde seguridad de la misma.

El plan justifica su implementacin mediante elanlisis financiero y operacional, debido a quemayor es el beneficio que obtiene la empresa a loscostos que se incurren al implementarlo.


6/6

9.2. Conclusiones

La Ca. Clark S.A. cuenta con el personaladecuado y capacitado segn la responsabilidad yactividad que realice. Adems observamos que parael departamento de Sistemas el perfil de cadacolaborador es el adecuado para ocupar el cargocorrespondiente.

Finalmente agregamos que la mayor parte de losproblemas que se suscitan en la compaa sonoperativos, pero estos a su vez son suplidos pormanuales departamentales para el debido caso.Citamos algunos ejemplos de los problemas que sepresentan:

rea de Produccin:Dao de maquinaria, Instalacin ymantenimiento de la misma

rea de Logstica y Distribucin:Guas de remisin

rea de IT:Desconfiguracin de equipos, instalacin deprogramas.Sobrecarga de Transacciones.

Bibliografa

[1] AKHTAR SYED PH.D, AFSAR SYEDBMATH Business Continuity Planning, 2004.[2] STANLEY B. BLOCK, GEOFFREY A.HIRT Fundamentos de Gerencia Financiera,MC GRAW-HILL. NOVENA EDICIN, 2002.

Ing. Jacqueline Meja

Director de Tesis

Plan de Continuidad de Negocios (BCP)

Documents

Transcript of Plan de Continuidad de Negocios (BCP)