7/23/2019 Equivida CIA Seguros

1/9

DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO

PARA LA EMPRESA EQUIVIDA S.A PARA EL PERODO 2012-2015

Andrs Crdenas Pallo1,Mario Ron Egas2 ,Vctor Paliz3

1 Escuela Politcnica del Ejrcito, Ecuador, andrewca.leo@gmail.com2 Escuela Politcnica del Ejrcito, Ecuador, mbron@espe.edu.ec3 Escuela Politcnica del Ejrcito, Ecuador, vmpaliz@espe.edu.ec

RESUMEN

Las empresas experimentan situaciones de emergencia, directa o indirectamente, las cuales necesitan

respuestas inmediatas. El Plan de Continuidad del Negocio (BCP) permite establecer los procedimientospara asegurar la continuidad de una empresa en caso de que esta se viera sometida a una interrupcin nodeseada de su negocio. El presente trabajo est orientado al desarrollo del Plan de Continuidad del Negocio(BCP) dentro de una empresa de servicios de Seguros de Vida por la factibilidad de conocer sus procesos ytener la apertura para este plan. El desarrollo est basado en la norma ISO 22301 Sistema de Gestin dela Continuidad del Negocio, siguiendo sus fases el trabajo incluye una breve descripcin de la empresa, seevala los posibles riesgos y amenazas a las que est expuesta, se realiza un Anlisis de Impacto delNegocio(BIA) que es el punto de partida para crear las estrategias de continuidad, se define un conjunto deequipos para el restablecimiento de operaciones y los procedimientos a utilizarse , y se definiobjetivamente los procesos crticos de la compaa que apoya a la toma de decisiones empresariales.

Palabras Clave: Plan de Continuidad del Negocio, Anlisis de Impactos del Negocio, Riesgos, Amenazas,Equipos de Crisis.

ABSTRACT

Companies have emergency situations, directly or indirectly, which need immediate answers. The BusinessContinuity Plan ( BCP ) set procedures to ensure the continuity of the process company in case this isseeing subjected to unwanted interruption. The work will develop the Business Continuity Plan ( BCP ) for aLife Insurance company because the feasibility to obtain their processes and knowledge of their business.The development is based on the ISO 22301 Management System " Business Continuity , following workstages a brief description of the company, we evaluate the potential risks and threats to which it is exposed,it takes an Analysis Business Impact Assessment (BIA) which is the starting point to create continuitystrategies, defines a set of equipment for the restoration of operations and procedures to be used, andobjectively defined critical processes of the company that supports business decisions.

KeyWords: Business Continuity Plan, Business Impact Analysis, Risk, Threats, Crisis Teams.

7/23/2019 Equivida CIA Seguros

2/9

2

I. INTRODUCCIN

EQUIVIDA COMPAA DE SEGUROS Y REASEGUROS S.A, es una empresa que se dedicaa ofrecer seguros y reaseguros para vida y riesgos personales a travs de plizas individualesy colectivas desde hace 18 aos. La empresa tiene 300 colaboradores los mismos que seencuentran en las diferentes ciudades donde opera.

La empresa EQUIVIDA S A inici un proceso de mejoramiento de sus polticas y procesos yencontr la necesidad de desarrollar un Plan de Continuidad del Negocio[1] con enfoque en losprocesos crticos de la compaa.

Los directivos tendrn a su alcance un plan estratgico de prevencin y recuperacin que lespermita tomar decisiones asertivas en momentos de crisis, tambin la empresa afirmar lasolidez de sus servicios ante cualquier desastre.

El plan contiene las polticas de Continuidad del Negocio, los procesos crticos del negocio, losresultados del anlisis de riesgos y las estrategias y procedimientos de mitigacin yrecuperacin.

II. MTODOS

METODOLOGA PARA EL PLAN DE CONTINUIDAD DEL NEGOCIO.

La metodologa aplicada se basa en la norma ISO 22301 Sistema de Gestin de Continuidaddel Negocio que inicia desde el entendimiento del negocio, la identificacin de posiblesriesgos, su impacto y valoracin, definicin de estrategias, elaboracin del plan, desarrollo deuna cultura, hasta la prueba, mantenimiento y auditora del plan[7]; Las fases planteadas en lametodologa son:

Anlisis de impacto en el negocio: Esta actividad permite que una organizacin identifiquelos procesos crticos que apoyan a sus productos y servicios claves, las interdependenciasentre procesos y recursos requeridos para operar los procesos en un nivel mnimamente

aceptable.

Evaluacin de riesgos: La meta de este requisito es establecer, implantar y mantener unproceso formal documentado de valoracin de riesgos que identifique, analice y evalesistemticamente el riesgo de incidentes que generen interrupciones en la organizacin.

Estrategia de continuidad de negocio: Las estrategias son desarrolladas para identificardisposiciones que permitan que la organizacin proteja y recupere actividades crticas, basadasen la tolerancia de riesgo organizacional y dentro de objetivos de tiempo de recuperacindefinidos.

Procedimientos de continuidad de negocio: La organizacin debe documentar losprocedimientos (incluyendo las disposiciones necesarias) para asegurar la continuidad de lasactividades, los procedimientos establecen un protocolo adecuado de comunicaciones internasy externas, son especficos y flexibles para responder a amenazas no anticipadas y acondiciones internas y externas cambiantes.

III. DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIOPara el desarrollo del plan es imprescindible el conocimiento de la empresa, su estrategiaempresarial, su misin y los procesos del negocio.

Estrategia Empresarial de EquividaCrear con el cliente soluciones innovadoras que le permitan visualizar un futuro tranquilo antelos eventos trascendentales de su vida y la de su familia.

Ser una empresa slida y rentable; Crear productos y servicios innovadores y de alta calidad;Contar con personal profesional y comprometido; Mejorar continuamente los productos yservicios al cliente.

7/23/2019 Equivida CIA Seguros

3/9

3

Anlisis del Negocio y Evaluacin de RiesgosPara el anlisis del negocio los procesos de la compaa son divididos en: Procesos Primarios,

Procesos de Apoyo y Procesos de Gestincomo lo muestra la Fig.1

Fig. 1: Macroprocesos Equivida

Los procesos crticos que soportan las operaciones de la compaa son los indicados en laTabla 1, con su anlisis de impacto con enfoque al cliente y empresa.

Tabla 1: Anlisis impacto procesos

MACROPROCESOS CDIGO PROCESO IMPACTO

EN LA

EMPRESA

IMPACTO

EN EL

CLIENTE

TOTAL

Gestin Comercial PR-021 Ventas Colectivo 3 1 4

Gestin Comercial PR-022 Incremento de

negocio y fidelizacin

de los clientes

3 1 4

Gestin Comercial PR-023 Ventas Masivas 3 1 4Gestin Comercial PR-025 Gestin Posventa

Individual

Mantenimiento

3 2 5

Gestin de

Contratos

PR-031 Administracin de

operaciones

contractualescolectivo

3 3 6

Gestin de

Contratos

PR-032 Movimientos y

facturacin colectivo

3 3 6

Gestin de

contratos

PR-033 Recaudos 3 3 6

Gestin de

Contratos

PR-034 Beneficios y

prestaciones al cliente

siniestros

3 3 6

Gestin de

Contratos

PR-035 Administracin de

contratos individuales

3 3 6

Servicio al cliente y

canales

PR-041 Atencin al cliente ycanales vida individual

3 3 6

Gestin Contable -Financiera

PR-123 Pagos 3 3 6

7/23/2019 Equivida CIA Seguros

4/9

4

A continuacin se realiza el anlisis de riesgo y se determina su probabilidad e impacto. Latabla 2 permite determinar los riesgos propensos de la compaa [4][5].

Tabla 2: Anlisis de ri esgos propensos

DESCRIPCIN PROBABILIDAD IMPACTO RIESGO

Incendio Media Alto ALTO

Robo de equipos Alta Media ALTO

Robo de datos / documentos Alta Media ALTO

Virus Media Media MEDIO

Accesos no autorizados Media Media MEDIO

Falla en los servicios de comunicacin Alta Media ALTO

Prdida de confidencialidad Media Media MEDIO

Fallo de suministro elctrico Alta Media ALTO

Errores en los sistemas firewall Media Media MEDIO

En funcin de los riesgos que se marco como posibles, se establece los escenarios en que unaamenaza puede convertirse en un incidente de seguridad. La tabla 3 determina los escenariosy vulnerabilidades expuestas.

Tabla 3: Anlisi s de vulnerabilidades

ESCENARIOS VULNERABILIDAD

Fuego inesperado por cortocircuito de cablesencima del cielo raso

Material inflamable en todas las reas dela compaa

Ingreso de personas extraas al edificio yrobo de equipos

No se cuenta con controles de acceso aledificio

Extraccin de informacin confidencial atravs de disposit ivos portables

No existe polticas de desactivacin de lospuertos de los dispositivos

Cdigo mal intencionado instalado en losexploradores Web para robo de credenciales

Ausencia de procedimientos paradeteccin de programas espas.

Accesos a sistemas de informacin declientes por personas inescrupulosas

Informacin de clientes en bases de datosno ofuscada

Indisponibilidad del internet por un fallo delproveedor.

No se cuenta con un proveedor secundariode internet

Informe de Roles de pagos en carpetascompartidas para toda la empresa

Carpetas compartidas a nivel de toda laempresa sin controles de autentificacin

Interrupcin de la energa elctrica por ms de5 horas

No se cuenta con una planta elctrica dealta capacidad

Mala configuracin de los firewalls expuestosa internet.

Falta de expertos en seguridades dedispositivos fsicos

Para gestionar los riesgos y mitigarlos en lo posible, se propone las siguientes contramedidasdescritas en la Tabla 4:

7/23/2019 Equivida CIA Seguros

5/9

5

Tabla 4: Contramedidas de amenazas

DESCRIPCIN CONTRAMEDIDAS

IncendioContar con un sistema de deteccin de humo.Informar a cada rea de los extintores ms cercanos.Mantener los materiales inflamables bajo supervisin.

Robo de equipos

Controlar los accesos de personas ajenas a la compaa a lasoficinas internas.Instalar cmaras de vigilancia.Habilitar bloqueos y borrado de informacin remotaContratar una pliza de seguros contra robos de componentestecnolgicos.

Robo de datos /documentos

Generar encriptacin y ofuscacin de la informacin sensible de losrepositoriosCrear polticas de acceso y extraccin de informacin pordispositivos digitalesCrear polticas de respaldo para la informacin ms crtica para lacompaa.Contratar una empresa especializada en la administracin y custodia

de documentos fsicos (ej. plizas)Virus

Gestionar los logs que arroja el antivirus.Quitar permisos de administradores en las pcsMonitorear los sistemas que no pertenecen a la compaa

Accesos noautorizados

Establecer un control de acceso fsico al lugar donde se encuentranlos equipos con informacin clave para la compaa.

Falla en los serviciosde comunicacin

Contar con un proveedor alterno en casos de emergencia.Definir SLAs ajustados a la realidad del negocio

Prdida deconfidencialidad

Establecer polticas y niveles de confidencialidad de los documentos.

Fallo de suminis troelctrico

Adquirir un sistema de energa ininterrumpida UPS ms robusto.Contar con un sistema de proteccin de variacin de voltaje (picos ycadas de tensin)

Errores en lossistemas firewall

Definir polticas de seguridad correspondientes a cada redContar con diseo para la configuracin de cada firewallCapacitar al personal tcnico con las marcas especficas con las quese cuenta en la empresa.

IV. PROCEDIMIENTOS DE RECUPERACIN Y CONTINUIDAD

En esta fase se define los procedimientos[3], polticas y equipos para el restablecimiento delnegocio.

a. PROCEDIMIENTOS PARA LA CONTINUIDAD

PROCEDIMIENTO DE NOTIFICACIN DEL DESASTRE: Cualquier empleado de Equivida quesea consciente de un incidente grave que puede afectar a la empresa, debe comunicar a sujefe inmediato y este a su vez al comit de crisis para su respectiva evaluacin.

PROCEDIMIENTO DE EJECUCIN DEL PLAN: Una vez notificado del incidente el Comit decrisis se reunir en el punto de encuentro definido, se evaluar el grado del incidente y decidirsi el Plan de Continuidad del Negocio es puesto en marcha.

PROCEDIMIENTO DE NOTIFICACIN DE EJECUCIN DEL PLAN: El rbol de notificacin yllamadas para avisar a los diferentes equipos se detalla en la Fig. 2

7/23/2019 Equivida CIA Seguros

6/9

6

Fig. 2: Procedimiento de ejecucin del plan

PROCEDIMIENTOS PARA INCIDENTES DISRUPTIVOS: Los incidentes relacionados contecnologa de la informacin y de la comunicacin son informados telefnicamente a laJefatura de Sistemas, los dems incidentes son informados telefnicamente a la Jefatura deadministracin.

GESTIN DE INCIDENTES DISRUPTIVOS: Para la gestin se informa a todas las personasresponsables sobre la ocurrencia del incidente dentro de su rea de responsabilidad y senotifica al comit de crisis, que debe evaluar si es necesario alertar a alguna de las partesinteresadas, la persona responsable de erradicar el incidente debe registrar en el Registro deincidentes todas las acciones tomadas.

EQUIPO DE RECUPERACIN: El equipo de recuperacin [2] es el encargado de poner en marchatodo el proceso de recuperacin para restaurar los servicios en las Oficinas de la Sucursal

Viscaya, siguiendo los procedimientos de traslado, recuperacin de sistemas ycomunicaciones.Los equipos de recuperacin se dividen en:

EQUIPO DE COORDINACIN LOGSTICA: Es responsable de todo lo relacionado con lasnecesidades logsticas en funcin del tipo de incidente.

.EQUIPO DE RELACIONES PBLICAS: Es responsable de la comunicacin externa e interna.Segn el incidente ser el responsable de comunicar a clientes y proveedores el tiempo en elque los servicios sern restablecidos.

EQUIPO DE UNIDADES DEL NEGOCIO: Formado por las personas que trabajan con las

aplicaciones crticas, y sern los encargados de gestionar a sus supervisados para realizar laspruebas de funcionamiento para verificar la operatividad de los sistemas.

b. FASE DE TRANSICIN

PROCEDIMIENTO DE CONCENTRACIN Y TRASLADO DE MATERIAL Y PERSONAS:Notificados todos los equipos involucrados y activado el Plan, debern acudir al centro dereunin indicado, adems del traslado del personal al centro de recuperacin hay quetrasladar todo el material necesario para poner en marcha las actividades.

PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIN: Una vezque el equipo de recuperacin llegue al Centro de recuperacin y que los materiales empiecen

a llegar, pueden comenzar a instalar las aplicaciones en los equipos que se encuentran en estaoficina.

7/23/2019 Equivida CIA Seguros

7/9

7

c. FASE DE RECUPERACIN

PROCEDIMIENTO DE RESTAURACIN

El orden de recuperacin de las funciones se realizar segn la criticidad los sistemas definidosen la Tabla 4.

Tabla 4: Contramedidas de amenazas

Sistema Descripcin Criticidad

VECTOR Sistema de modelamiento, control y seguimiento de procesos. 1

ADAM Sistema que administra la nmina de la compaa. 1

RISK CONTROL

SERVICE

Herramienta de control que tiene como objetivo minimizar el riesgo deestablecer vnculos con posibles involucrados o sealados enactividades ilcitas como lavado de activos, narcotrfico o terrorismo,

2

SISE

Sistema Integrado de Seguros. Este sistema soporta el core del negocio

y la parte administrativa financiera, tiene mdulos de:Emisin/Facturacin Individual y Colectivo, Reaseguros, Siniestros,Generacin Intereses, Retiros y Prstamos, Caja Ingresos, Caja Egresos,Contabilidad, Cierres Mensuales, Consultas, Informtica.

1

CRM Sistema automatizado para el control de la fuerza de ventas individual 2

PORTAL WEB Portal diseado para la prestacin de servicios online 2

PROCEDIMIENTOS PARA LA RECUPERACIN DE INFORMACIN DESDE LOS BACKUP.:Dentro de las operaciones diarias en la realizacin de respaldos el departamento de sistemas

genera los respaldos mediante los procesos batch los cuales se encargan de crear los archivosde backup, copiarlos a dispositivos de almacenamiento externos los cuales son: servidoresalternos dentro de la misma infraestructura, discos duros en estado compartido y cintasmagnticas.

PROCEDIMIENTO DE DOCUMENTACIN Y REGISTRO DE CONFIGURACIONES PARARECUPERACIN: SOFTWARE Y HARDWARE: El departamento de sistemas es el encargadode coordinar la distribucin e instalacin de los sistemas en los equipos entregadosprovisionalmente para reanudar las actividades.

PROCEDIMIENTO DE SOPORTE Y GESTIN: Una vez recuperados los sistemas, se avisara los equipos de los departamentos que gestionan los sistemas, fig.3 (listado del equipo deUnidades de Negocio) para que realicen las comprobaciones necesarias que certifiquen quefuncionen de manera correcta.

7/23/2019 Equivida CIA Seguros

8/9

8

Fig. 3: Procedimiento de soporte y gestin

d. FASE DE VUELTA A LA NORMALIDADUna vez restablecido los procesos crticos y solventados la contingencia, hay que definir lasdiferentes estrategias y acciones para recuperar la normalidad de todos los servicios de lacompaa, se realiza una valoracin detallada de los equipos e instalaciones daada. Para ello,el equipo de recuperacin junto con el equipo de seguridad, realizarn un listado de loselementos que han sido daados gravemente y son irrecuperables, as como de todo elmaterial que se puede volver a utilizar. Esta evaluacin deber ser comunicada lo antes posibleal equipo director para que determinen las acciones necesarias que lleven a la operacinhabitual lo antes posible.

ADQUISICIN DE NUEVO MATERIAL: Realizada la evaluacin del impacto, se determinar lanecesidad de nuevo material. El Comit de Crisis contactar con el seguro de la compaa para

conocer qu parte cubre el seguro y qu inversin tendr que hacer la compaa en el materialque no se pueda recuperar.

e. FIN DE LA CONTINGENCIADependiendo de la gravedad del incidente, la vuelta a la normalidad de operacin puede variarentre unos das (si no hay elementos clave afectados) e incluso meses (si hay elementos claveafectados). Lo importante es que durante el transcurso de este tiempo de vuelta a lanormalidad, se siga dando servicio a los clientes y trabajadores por parte de la compaa y quela incidencia afecte lo menos posible al negocio.

V. CONCLUSIONES, RECOMENDACIONES Y TRABAJO FUTURO.

El desarrollo del Plan define objetivamente los procesos crticos de la compaa y permite unaconsolidacin de intereses entre la Alta Direccin y las diferentes Unidades organizativas alconstatar que diferentes reas apoyan a procesos idnticos y generar estrategias efectivaspara los incidentes no previstos.

Como trabajo futuro se recomienda:

Dar continuidad al plan con revisiones de los procesos, personas y componentes involucradosa travs de talleres al menos una vez al ao para generar conciencia de la utilidad del Plan ydifundir a los nuevos colaboradores que ingresan a la compaa, para hacerles participe delmismo y fortalecer los Equipos que componen el plan.

7/23/2019 Equivida CIA Seguros

9/9

9

VI. REFERENCIAS BIBLIOGRFICAS

[1] Borrmart S.ALa necesidad de implantacin de un Plan de Continuidad del Negocio. [2] Dejan Kosutic (2012) Equipo del Plan de Continuidad Business

ImpactAssessmentTool.

[3] Juan Gaspar Martnez El Plan de Continuidad del Negocio. 1996. McGraw-HillInteramericana, 2da Edicin.[4] Martin Carrion, Gua Prctica para el Desarrollo de Planes de Contingencia de

Sistemas de Informacin Instituto Nacional de Estadstica e Informtica. Lima,Febrero 2001

[5] Cristina Gallardo Piedra. Anlisis de Riesgos Informticos y elaboracin de un Plan deContingencia TI, Quito Febrero 2011

[6] Marcelo Moran A., Tesis: Elaboracin del Plan de Continuidad del Negocio para laEmpresa Compteco compra por telfono consorcio comercial S.A, Escuela Politcnicadel Ejercito, Sangolqu Ecuador 2011

[7] Gallardo Mara, Pal Jcome, Tesis: Anlisis de riesgos informticos y elaboracin deun plan de contingencia T.I. para la empresa elctrica Quito S.A, Escuela PolitcnicaNacional, Quito Ecuador 2011

[8] Laura del Pino J, Tesis: Gua de Desarrollo de un Plan de Continuidad del Negocio,Universidad Politcnica de Madrid, Espaa Madrid 2009